Zero-Trust-Architekturen: Eine Frage des Vertrauens
Eine Zero-Trust-Architektur gilt als Stand der Technik, um Unternehmensnetze vor unbefugten Zugriffen zu schützen. Wer eine solche „Null-Vertrauen“-Architektur einführen will, benötigt entsprechende Sicherheitssoftware, muss dabei aber nicht „bei null anfangen“.
Kurz & knapp
- Erkennen von Cyberangriffen kann sehr lange dauern ohne entsprechende interne Kontrolle.
- Zero Trust ist keine Einzellösung, sondern ein Konzept aus mehreren aufeinander aufbauenden Elementen.
- UEM ist eines dieser Elemente, um das eigene Netzwerk zu schützen und im Ernstfall schnell wieder funktionsfähig zu machen.
Unser gesamtes Miteinander basiert auf Vertrauen. Ohne dieses Grundvertrauen gäbe es keine Zivilgesellschaft und keine Weltwirtschaft. Ob man sich zur Begrüßung zuwinkt oder per Handschlag begrüßt, Ursprung war stets die Aussage: „Ich habe keine Waffe in der Hand, du brauchst mir nicht zu misstrauen!“ Und beim Tauschhandel mussten unsere Vorfahren darauf vertrauen: Wenn ich meinem Gegenüber die geforderten fünf Schafsfelle gebe, dann erhalte ich im Gegenzug die angebotene Bernsteinkette.
Vertrauen muss Grenzen haben
Stichwort Schafsfell: Mancher Mitmensch erweist sich leider doch als Wolf im Schafspelz. Deshalb: Vertrauen ist gut, Kontrolle ist besser. Im digitalen Raum greift diese Maxime erst recht.
Denn hier treffen wir unser Gegenüber nicht persönlich und können niemanden per Handschlag begrüßen (oder diesen verweigern).
Gesundes Misstrauen äußert sich im Unternehmensnetz in Form von Firewall, VPN und Zugangskontrollen. Doch hier gilt, wie auch bei der Zugangskontrolle am Firmentor:
Wer drin ist, ist drin. Hat der verkleidete Wolf den digitalen Empfangstresen passiert, kann er ungestört sein Unwesen treiben, solange er nicht allzu auffällig
wütet.
Laut Googles Security-Abteilung Mandiant bleiben Eindringlinge im Unternehmensnetz
durchschnittlich zehn Tage unentdeckt. Dies schließt jedoch Ransomware-Angriffe mit ein – und die Verschlüsselung soll ja auffallen, damit die Angreifer Lösegeld erpressen können. Nach
Mandiant-Angaben gelingt es nur in 43 Prozent der Fälle, Kompromittierungen innerhalb der ersten Woche zu erkennen. Dies lässt Eindringlingen viel Zeit, um Schaden
anzurichten.
Laufende Überwachung statt nur Zugangskontrolle
Deshalb hebt Zero Trust nun die Kontrolle auf eine neue Stufe – daher auch der Name „Zero Trust“, kein Vertrauen. Security-Software überwacht das Zugriffsverhalten der Anwender und
Endgeräte kontinuierlich, nicht nur einmalig am Zugangspunkt. Zero Trust schließt
natürlich auch Mobilgeräte mit ein und bei Auffälligkeiten schlägt die Software Alarm.
Um das Übliche und Erlaubte automatisch zu ermitteln, setzen Security-Anbieter heute bevorzugt auf maschinelles Lernen (ML), somit auf Künstliche Intelligenz (KI): KI-Algorithmen beobachten
das Netzwerkgeschehen einige Zeit und errechnen daraus ein Modell, mit dem sie das beobachtete Verhalten vergleichen.
Dies scheint auf den ersten Blick als Zaubermittel gegen Angreifer. Doch Zero Trust ist keine Lösung, die ein Unternehmen einfach kaufen könnte. Vielmehr ist die laufende Überwachung nur
ein Baustein von vielen. Darum sprechen Fachleute von einer „Zero-Trust-Architektur“, nicht von einer „Zero-Trust-Lösung“. Die umfasst fünf Kernbausteine.
Die fünf Säulen der Zero-Trust-Architektur
- Identitäten: Die Basis für das Identitätsmanagement und strenge Zugangskontrollen liefert in Windows-Infrastrukturen das Active Directory. Als Stand der Technik gilt, Benutzername und Passwort um eine weitere Security-Abfrage zur Mehr-Faktor-Authentifizierung (MFA) zu erweitern, etwa per Hardware-Tokens oder Soft-Token-Apps wie Google Authenticator.
- Geräte: Die genutzten Endgeräte müssen abgesichert und auf dem neuesten Patch-Stand sein. Fällt ein Endgerät durch verdächtiges Verhalten, Malware-Befall oder veraltete Patch-Stände auf, muss das IT-Team es schnell isolieren können.
- Netzwerk: Das Netzwerk muss geschützt und sinnvoll segmentiert sein. Ziel ist es, den Wirkungskreis eines Angriffs möglichst klein zu halten.
- Applikationen: Der Zugriff auf Applikationen inklusive Cloud-Workloads ist geschützt durch eine Abfrage der Identität, des Gerätestatus und ggf. weiterer Attribute. Es gilt das Prinzip: Alle erhalten nur den jeweils benötigten Zugriff.
- Daten: Sie stehen im Fokus aller Zero-Trust-Bemühungen. Unternehmen müssen sich zunächst den Überblick über ihren Datenbestand verschaffen und die wichtigen Daten identifizieren, um sinnvolle Kontrollmechanismen etablieren zu können.
UEM spielt bei Zero Trust eine tragende Rolle
Im Hinblick auf Punkt 2, den Schutz der Geräte, können Unternehmen meist schon auf eine UEM-Lösung (Unified Endpoint Management) zurückgreifen. Idealerweise verfügen sie über eine Suite wie
die baramundi Management Suite (bMS), die alle Funktionen bietet, um Endgeräte zentral zu verwalten und bei Bedarf schnell zu isolieren oder zu
aktualisieren. Noch besser, wenn sie bei Zugriffen von außen mittels Per-App-VPN die Angriffsfläche minimiert.
Mit strenger Identitäts- und Zugangskontrolle, laufendem Monitoring von Netzwerk, Endgeräten und Nutzerschaft sowie einer UEM-Lösung haben Unternehmen eine solide Basis für eine
„Null-Vertrauen-Architektur“. Dank der bewährten Software von baramundi weiß das IT-Team: Wenn ich im Ernstfall schnell handeln muss, dann kann ich wenigstens meiner UEM-Lösung
voll vertrauen.
Kontrolle ist besser – Mobilgeräte sicher im Unternehmensnetzwerk verwenden
Erfahren Sie, wie Sie Ihre mobilen Endgeräte in Ihrem Netzwerk automatisiert und sicher verwalten können. Unser Enterprise Mobility Management (EMM) Whitepaper gibt Ihnen einen profunden Einblick ins Thema.