Zero Trust - Drei Regeln für mehr Sicherheit in Ihrem Unternehmen

Zero Trust: Vertrauen ist gut, Kontrolle ist besser!

Immer mehr Unternehmen nutzen das Internet nicht mehr nur als Informationsquelle, sondern als Infrastruktur für unternehmenkritische oder -wichtige Datenübertragung. Aus der Presse wissen wir, dass immer mehr Angriffe durch Hacker oder gar staatliche Institutionen auf selbst kleine Unternehmensnetze verübt werden. Dabei sprechen wir hier nur von der Spitze des Eisbergs, denn viele Angriffe werden niemals öffentlich oder schlimmer – bleiben sogar unerkannt.

Viele Unternehmen betrachten eine Firewall und einen Virenscanner als State Of The Art – Sicherheit und nutzen diese auch. Das Problem dabei ist, sobald jemand in das Firmennetz gekommen ist, findet der Angreifer in der Regel nur noch geringe bis gar keine Sicherheitsvorkehrungen mehr.

Hier setzt das Zero Trust Model an. Eine von Forrester für das NIST (National Institute of Science and Technology) durchgeführte Analyse – getrieben durch die Cybersecurity Executive Order (CEO) von Präsident Obama – empfielt eine Reihe von Maßnahmen, die Ihre Sicherheit insgesamt deutlich erhöhen. Aus unserer Sicht beinahe eine Art Paradigmenwechsel, in dem man nun davon ausgeht, dass die Gefahr auch von innen kommen kann, sprich aus Ihrem eigenen Netzwerk.

Drei Regeln zur Umsetzung des Zero Trust Models:

  1. Stellen Sie sicher, dass alle Ressourcen unabhängig vom Standort sicher aufgerufen werden.
  2. Minimieren Sie alle Rechte um eine strikte Zugriffskontrolle zu etablieren.
  3. Überprüfen und protokollieren Sie den gesamten Verkehr.

Zu 1)

Nehmen Sie an, dass jeglicher Datenverkehr ein Angriff ist, bis Sie sicherstellen können, dass der Zugriff erlaubt und sicher ist. Ein zusätzlicher Ansatz zur Umsetzung kann auch sein, den legalen internen Datenverkehr zu verschlüsseln.

Zu 2)

Wenn Sie nur zulassen, was erlaubt ist, kommt auch niemand in die menschliche Versuchung auf Daten oder Anwendungen zuzugreifen, für die er keine Berechtigung hat. Wichtig ist hier das Konzept der minimalen Berechtigung.

Zu 3)

Auch scheinbar berechtigte Zugriffe können Angriffe sein, wenn beispielsweise jemand die Identität eines anderen annimmt. Nach dem Motto von Zero Trust ändert sich der Paradigmenwechsel „vertraue aber prüfe“ zu „prüfe und vertraue niemals“. Die Tools dafür sind beispielsweise Intrusion Detection Systeme und Log-Anaylser.

Soweit so gut, aber wie sieht es in der Praxis aus?

Ganz einfach, dies alles ist nur mit einem enormen Aufwand zu realisieren. Zum einen muss Zeit vorhanden sein, was oft nicht der Fall ist. Weiterhin bedarf es gewisser Investitionen, was eher selten ein k.o.-Kriterium ist und nicht zuletzt muss die Notwendigkeit dieser Ansätze auch in den Köpfen der Verantwortlichen ankommen.

Der erste Schritt

Prüfen Sie Ihre Benutzerberechtigungen. Jeder darf nur das, was er zu Erledigung seiner Aufgaben benötigt. Das kostet nur Zeit und kein Geld. In diesem Zusammenhang weisen wir auch gerne noch einmal auf sichere Passwörter hin. Bedenken Sie aber, Benutzerberechtigungen sind nur ein kleiner Teil der Sicherheit.

Der zweite Schritt

Relativ einfach und mit geringem finanziellem Aufwand durchzuführen ist eine Netzwerksegmentierung. Basis wäre hier eine Segmentierung durch VLAN’s. Dadurch kann der Datenverkehr zumindest deutlich besser kontrolliert werden. Aber VLAN’s bieten absolut keinen Sicherheitslevel. Datenverkehr kann daher nur kontrolliert werden, wenn auch interner Datenverkehr beispielweise durch eine separate Firewall oder ein Intrusion-Detection-System gesteuert wird.

Der dritte Schritt

Jetzt kommt die Analyse des Datenverkehrs und damit der Aufwand. Alle uns bekannten Tools zur Überwachung des Datenverkehrs sind ohne menschliches Zutun relativ nutzlos, da die Analyse a) ein permanenter Process ist und b) sich laufend Änderungen ergeben. Die Prüfung des Datenverkehrs erfordert laufend Maßnahmen zu Anpassung der Regeln. Die gute Nachricht: Eine Visualisierung des Verkehrs ist ebenfalls mit einfachen Mitteln auch aus der Opensource-Gemeinde gut zu lösen. Sie werden staunen was sich alles in Ihrem Netzwerk abspielt – und vieles davon ohne dass Sie es wussten.

Abschließend

Wir können nur raten: Nehmen Sie sich die Zeit und beginnen Sie in kleinen Schritten diese Sicherheitsmaßnahmen zu implementieren.