Zero Trust

IT-Security neu gedacht

01.09.2020
Von 
Andreas Fuchs ist Director Product Management bei DriveLock.
Anzeige  Ein grundlegendes Problem heutiger IT-Sicherheitskonzepte ist das Vertrauen in interne Nutzer – das neue Motto heißt deshalb „Traue niemandem.“ Im Fachjargon: Zero Trust.

In herkömmlichen Bedrohungsszenarien kommt die Gefahr immer von außen: Ein Angreifer, der von extern versucht, in das Unternehmensnetzwerk einzudringen, um dort Schaden anzurichten. Herkömmliche Sicherheitskonzepte schützen das Unternehmensnetzwerk wie ein Wassergraben die Burg. Ist der Wassergraben erst einmal überwunden, bewegen sich Angreifer frei mit fast unbegrenztem Zugang zu Unternehmens-Assets. Das heißt: Was in der "Burg" - im Unternehmensnetzwerk - geschieht bzw. wer sich dort bewegt, ist zunächst einmal vertrauenswürdig und wird selten überprüft. Das ist ein Problem.

Im Zuge der Digitalisierung existieren keine klaren Grenzen mehr in den IT-Landschaften der Unternehmen. Innerhalb des Netzwerks interagieren Mitarbeiter, Partner und Endkunden über unterschiedlichste Anwendungen virtuell miteinander. Das umfasst Homeoffice, Bring Your Own Device und immer mehr Endgeräte, die ans Internet angeschlossen sind - Stichwort (Industrial) Internet of Things.

Diese Entwicklungen machen es unmöglich, klare Grenzen zwischen intern und extern beziehungsweise vertrauenswürdig und nicht-vertrauenswürdig zu ziehen.

Never trust, always verify

In der Konsequenz muss ein modernes Sicherheitskonzept nach der Maxime "Zero Trust" aufgebaut sein: never trust, always verify - nie vertrauen, immer überprüfen. Das bedeutet, dass sich Nutzer nicht nur beim Zugriff auf das Unternehmensnetz authentifizieren müssen, sondern jedes Mal beim Zugriff auf Datenbanken und Dienste. Eine Grenzarchitektur wird im gesamten digitalen Unternehmensumfeld aufgebaut. Jeder Bereich stellt dabei einen Mikroperimeter dar, der eine Authentifizierung, meist unterstützt mit Multi-Faktor-Maßnahmen, erfordert. Ein Eindringling müsste sich erst Zugang zum Netzwerk und dann jeweils Zugang zu jedem Bereich verschaffen.

Zero Trust sieht vor, nichts und niemandem per se zu vertrauen.
Zero Trust sieht vor, nichts und niemandem per se zu vertrauen.
Foto: Shutter Baby photo - shutterstock.com

Weitere Einschränkungen werden über Berechtigungen umgesetzt. Benutzer bekommen nur Zugriff auf so viele Daten, Dienste und Tools wie für ihre spezifischen Aufgaben nötig. Denn das strategische Ziel für Cybersicherheit im Zero Trust-Ansatz ist die Datenintegrität und die Bekämpfung bzw. Eindämmung von Datenschutzverletzungen. Dabei werden so viele Hürden und Einschränkungen wie möglich aufrechterhalten, um das höchste Maß an IT-Sicherheit zu gewährleisten.

In 6 Schritten zur Zero Trust Plattform

Mit den folgenden sechs Schritten kann Zero Trust - und damit ein umfassender Schutz unternehmenskritischer Daten - in der eigenen Organisation umgesetzt werden:

1. Assessment

Im ersten Schritt ist es wichtig, den organisatorischen Rahmen festzulegen. Dafür muss eine Reihe von Fragen möglichst präzise beantwortet werden:

  • Was soll weshalb geschützt werden?

  • Wo befinden sich diese digitalen und physikalischen Assets?

  • Welche Daten sind als öffentlich klassifiziert und welche sind hochsensibel?

  • Wie sehen die Touchpoints mit Mitarbeitern, Partnern, Zulieferern oder Endkunden aus?

  • Wie, von wo und über welches Medium erfolgt der Zugriff? Neben Desktops und Laptops erweitern u. a. mobile Endgeräte, Virtual Environments und Virtual Desktop Infrastructures die Netzwerkgrenzen.

Firmenrichtlinien für Sicherheit und Geräte spielen eine bedeutende Rolle. Erlaubt das Unternehmen "Bring Your Own Device" (BYOD), sind die Sicherheitsrisiken potentiell höher. Dürfen nur firmeneigene Geräte verwendet werden, sind die Mitarbeiter dagegen stärker eingeschränkt. Auch für Wechseldatenträger können ähnliche Restriktionen gelten, beispielsweise indem Schreibrechte verweigert werden oder die Nutzung sogar gänzlich verwehrt wird. Bestimmte Anwender, wie Wartungsmitarbeiter für Produktionsanlagen, können auch erweiterte Rechte erhalten, um zum Beispiel eigene USB-Sticks für einen Datentransfer anzuschließen.

Grundsätzlich sollte der Sicherheitsverantwortliche wissen, wie die Prozesse im Unternehmen aussehen und welche Geräte, Applikationen, Dienste und Workloads verwendet werden. Für eine erfolgreiche Einführung von Zero Trust ist es entscheidend, alle betroffenen Personen im Unternehmen einzubeziehen.

2. Discovery & Inventory

Als nächstes werden alle Daten in einer Bestandsaufnahme visualisiert, um weitere sicherheitsrelevante Aspekte und potentielle Schwachstellen zu ermitteln. Die Inventur umfasst die gesamte angeschlossene Hardware sowie Software und Betriebssysteme. Wurden alle Updates und Patches aufgespielt? Gibt es noch Support vom Hersteller oder ist das System bereits veraltet? Diese Fragen sind äußerst kritisch für die IT-Sicherheit. So hat sich Microsoft nach den verheerenden Folgen des Trojaners WannaCry entschieden, für das veraltete Windows XP noch einen Patch zu liefern.

Lösungen für automatisiertes Schwachstellen- und Patch-Management erleichtern Security-Teams die Arbeit erheblich. Ein Überblick über das Security Posture, also den Zustand und die aktuellen Einstellungen aller Endpunkte, leitet den nächsten Schritt ein.

3. Präventionsmaßnahmen

Die möglichen Maßnahmen, um Cybergefahren von vornherein zu eliminieren und Datenintegrität zu gewährleisten, sind zahlreich. Das Bundesamt für Sicherheit in der Informationstechnik oder das Center of Information Security bieten umfassende Leitfäden. Zu den wichtigsten Werkzeugen gehören:

  • Festplatten- und File & Folder-Verschlüsselung: Festplatten und Dateien sollten immer verschlüsselt werden, egal ob sie auf mobilen Datenträgern, lokalen Servern oder in der Cloud liegen. Richtlinien für Datenverschlüsselung auf Wechseldatenträgern schützen gegen Verlust, Diebstahl und Industriespionage.

  • Device Control: Schnittstellenkontrolle ist enorm wichtig, denn USB-Sticks sind nach wie vor ein Einfallstor für Schadsoftware und Datenklau. Richtlinien müssen klären, wer was mit welchen Geräten machen darf.

  • Application Control mit Whitelisting: Nur vertrauenswürdige und erlaubte Anwendungen, die auf der Whitelist stehen, werden vom System ausgeführt. Das gewährleistet bestmöglichen Schutz vor Zero Day Exploits, also noch unbekannten oder nicht-gepatchten Sicherheitslücken, und neuer Malware. AV-Test registriert pro Tag 350.000 neue Malware-Programme. Ein zusätzliches Sicherheitsnetz zu Firewalls und Antivirus ist daher essentiell. Dank Application Control wird Schadsoftware, die es doch ins System schafft, nicht ausgeführt. Zudem sollte es keine lokalen Administrationsrechte geben, damit Anwendungen nicht ungeprüft heruntergeladen und installiert werden können.

  • Identity & Access Management: Zugriffskontrolle ist eine weitere kritische Sicherheitsmaßnahme. 2-Faktor- oder Multi-Faktor-Authentifizierung, beispielsweise mittels Smartcard, schützt besonders dort vor den Folgen von Social Engineering, wo schwache Passwörter verwendet werden. Angreifer erhalten so trotz erbeuteter Login-Daten keinen Zugriff auf Daten und Systeme.

4. Detection & Response

Detection Tools erkennen bestimmte Aktionen, Muster oder Applikationen und ordnen sie ein. So ermitteln sie Anomalien und potentiell gefährliche Verhaltensmuster. Wenn zum Beispiel unverhältnismäßig viele Dateien auf einen Wechseldatenträger kopiert werden, könnte das auf Industriespionage hindeuten.

Bei unbekannten Anwendungen helfen File Reputation Services, um die richtige Response-Maßnahme, wie beispielsweiseBlacklisting, zu treffen. Diese Listen sammeln alle Informationen zu Applikationen und stellen sie öffentlich zur Verfügung, denn nicht alles Unbekannte muss zwangsläufig auch gefährlich sein. Bei Bedarf können Geräte auch abgeschaltet, vom Netz genommen oder unter Quarantäne gestellt, Prozesse abgebrochen und Schwachstellen geschlossen werden.

Analyse- und Forensik-Funktionen können schließlich ermitteln, wie die Malware in das System gelangt ist. Aus diesen Erkenntnissen können Security-Teams weitere Response-Maßnahmen ableiten. Indem das Team die Daten in eine Security-Incident- und Event-Management-Lösung wie Splunk oder Lockrhythm einspeist, profitiert es von zusätzlichen Funktionen wie Alerting und automatisierter Priorisierung.

5. Continuous Improvement Process

Schließlich sollte der gesamte Zero Trust Prozess immer wieder von vorne anfangen, um das Sicherheitslevel in der Organisation stets auf dem höchsten Stand zu halten.

6. Security Education

All diese Sicherheitsmaßnahmen greifen erst dann optimal, wenn die gesamte Belegschaft mitzieht. Natürlich können die Einschränkungen durch die Sicherheitsmaßnahmen Mitarbeiter frustrieren. Denn heutzutage sind sie im Zuge des Mobile-Trends gewohnt, selbstbestimmt zu arbeiten. Aber Unternehmen müssen ihren Mitarbeitern verdeutlichen, dass sie ein wichtiger Teil der Sicherheitsstrategie sind. Gleichzeitig müssen sie eine hohe Produktivität gewährleisten. Hier könnten privilegierte User in einem streng geregelten Self-Service-Prozess Anwendungen selbst freigeben. Schulungen und Kommunikationsmaßnahmen schaffen das nötige Sicherheitsbewusstsein und verhindern Frustration.

Fazit

Zero Trust ist ein Zusammenspiel von mehreren, sich ergänzenden Sicherheitsmaßnahmen mit dem strategischen Ziel, Datenintegrität zu gewährleisten und Datenschutzverletzungen zu verhindern. Das Zero-Trust-Konzept erreicht dieses Höchstmaß an IT-Sicherheit, indem es so viele Hürden und Einschränkungen wie möglich errichtet und alle Assets, Anwender und Aktionen im System überprüft.

Zero Trust fordert, dass Sicherheitsteams die Transparenz und Kontrolle über ihr gesamtes digitales Geschäftsumfeld behalten, unabhängig von Standort, Gerät, Benutzerzahl oder Hosting-Modell.

Tools wie traditionelles Security Information Management (SIM) Systeme oder fortgeschrittene Security-Analytics-Plattformen, sowie Security User Behavior Analytics (SUBA) und andere Analysesysteme schaffen Transparenz, was im Netzwerk und auf den Endpoints passiert.

Automation & Orchestration

Eine Zero-Trust Plattform nutzt Technologien, die die Automatisierung und Orchestrierung ermöglichen.

Analysen in diesem Bereich haben gezeigt, wie wichtig es für Unternehmen und Sicherheitsteams ist, Werkzeuge und Technologien zu nutzen, die eine Automatisierung und Orchestrierung im gesamten Unternehmen ermöglichen. Dabei muss es möglich sein, dass führende Anbieter einer Zero-Trust Plattform sich in andere Systeme integrieren können, um komplementäre Security Informationen nutzen oder sinnvoll verwendbare Daten weiter geben zu können. Umgekehrt müssen Unternehmen ihre betrieblichen Abläufe automatisieren können.

DriveLock entwickelt seine Lösungen stringent entlang des Zero-Trust-Sicherheitskonzepts. Das Münchener Unternehmen bringt Zero Trust auf den Endpoint: Die mehrschichtige und voll integrierte Plattform vereint die relevanten Elemente des Zero Trust-Sicherheitsmodells: Data und Endpoint Protection, Endpoint Detection & Response sowie Identity & Access Management.

Mit dem Release 2020.1 verbessert DriveLock nicht nur die Sicherheitsmaßnahmen seiner Zero Trust Plattform, sondern vereinfacht die tägliche Nutzung der Lösung für Administratoren und Anwender. Neue Ansichten und Filterfunktionen, eine intuitive Navigation, intelligente Tools und erweiterte Automatisierungsmöglichkeiten erhöhen die Benutzerfreundlichkeit signifikant und reduzieren zusätzlich den administrativen Aufwand, damit sich Anwender auf die wichtigen Aufgaben konzentrieren können.

Sie möchten noch mehr wissen?

Erfahren Sie mehr zum Thema Zero Trust und IT Security auf dem DriveLock Cyber Summit - der virtuellen DriveLock Web-Konferenz für alle IT-Entscheider und IT-Security Interessierte.