Immer noch verteilen IT-Verantwortliche in vielen Unternehmen recht freimütig Berechtigungen und Zugriffe an alle Betriebszugehörigen. Diese Methode ist aus Security-Sicht alles andere als sicher. Doch jetzt, da immer mehr Organisationen ihre Anwendungen und Workloads von internen Rechenzentren in die Cloud verlagern, wächst die Angriffsfläche für unberechtigte Zugriffe, zum Beispiel durch Hacker. Wie Unternehmen ihre IT-Landschaft durch Zero-Trust-Prinzipien sicherer gestalten​.

“Vertrauen ist gut – Kontrolle ist besser: So trocken und zugegebenermaßen kühl dieser altbekannte Spruch auch klingen mag, so richtig ist er in modernen IT- und Netzwerkumgebungen“, sagt Roman Oberauer, Country Managing Director von NTT Ltd. in Österreich. „Die Vielteiligkeit von IT-Landschaften bietet eine Vielzahl von Angriffsmöglichkeiten, intern wie extern. Mit dem Vorgehensmodell ‚Zero-Trust‘, werden entlang der Technik und vor allem der Prozesse möglichst alle cyber-kriminellen Eventualitäten betrachtet und user-spezifische Zugriffsrechte auf IT-Ressourcen eingeräumt. Die Stärke des Zero-Trust-Modells liegt zudem in der End-to-End Betrachtung von Zugriffsrechten. Hierbei ist es uns von NTT Ltd wichtig, die „Kron-Juwelen“ unseren Kunden zu erörtern und von dort ausgehend das Zero-Trust“-Konzept auszurollen. Folgende Schritte empfiehlt der IT-Dienstleister bei der Umsetzung:

Überblick verschaffen: Um eine erfolgreiche Zero-Trust-Strategie einzuführen, sollten sich Unternehmen zuerst einen umfassenden Überblick über alle cloudbasierten Anwendungen, Sicherheitsstrukturen, Nutzeridentitäten und autorisierte Geräte verschaffen. Diese Bestandsaufnahme legt offen, welche Zugriffsrechte bestehen und ist die Basis für den Aufbau einer neuen Sicherheitsarchitektur, in der implizites Vertrauen durch die Erteilung minimaler Berechtigungen ersetzt wird.

Identity Management aufbauen: Die Zero-Trust-Strategie steht und fällt mit dem Identity-Management-System, in dem Sicherheitsteams alle Zugriffsberechtigungen verwalten. An diesem zentralen Ort definieren Spezialisten die Berechtigungen für Nutzer und Geräte – das System weist sie dann automatisiert zu. Im Sinne der Zero-Trust-Philosophie sind die Regeln für die Identifizierung und Authentifizierung sehr fein granuliert, um die Sicherheit der IT-Landschaft zu gewährleisten.

In der Praxis bedeutet das: Anwender erhalten keine weitreichenden Rechte, sondern nur Zugang zu jenen Anwendungen, die sie für ihre Arbeit benötigen. Die Verifizierung vor jedem einzelnen Zugriff verhindert, dass sich Hacker mit den Berechtigungen eines Nutzers Zutritt zu allen Programmen verschaffen können, sobald sie eines seiner Geräte infiltriert haben.

Auf einfache Bedienbarkeit achten: Sich bei jeder App-Nutzung neu anzumelden, ist Mitarbeitenden nicht zuzumuten. Verkompliziert die Zero-Trust-Strategie die Arbeitswelt der Nutzer, sind diese schnell genervt und finden Mittel und Wege, um die Hürden zu umgehen. Ein Single-Sign-on-Ansatz ist für die Akzeptanz der neuen Sicherheitsarchitektur also unerlässlich. Nach einer Systemanmeldung müssen die Mitarbeitenden Zugriff auf alle Anwendungen erhalten, für die sie autorisiert sind. 

Alle Unternehmensanwendungen integrieren: Viele Unternehmen haben einen Multi-Cloud-Ansatz; das heißt, sie nutzen für verschiedene Geschäftsanforderungen die Cloud-Dienste unterschiedlicher Anbieter. Die IT-Umgebung wird durch die große Anzahl der Anwendungen in verschiedenen Clouds noch unübersichtlicher. Eine Zero-Trust-Strategie bedeutet, dass Security-Verantwortliche die Zugriffsrechte zentral verwalten und Rollen vergeben, sodass die Berechtigungen der Anwender gleichzeitig in allen Clouds gelten und lästige Mehrfach-Anmeldungen entfallen. Dieser Aspekt erleichtert auch deutlich die Arbeit der IT-Teams, denn für diese entfällt die separate Verwaltung der Berechtigungen für mehrere Clouds. Steht die neue Sicherheitsarchitektur für die Cloud, können übrigens auch technische Altlasten wie Legacy-Applikationen und sämtliche andere Netzwerkkomponenten mittels Zero Trust Network Access (ZTNA) in die Struktur und den Single-Sign-on-Ansatz integriert werden.

Kontinuierlich überwachen: Ein weiterer wichtiger Aspekt im Zero-Trust-Modell ist die kontinuierliche Überwachung der Zugriffe. Ein Monitoring prüft, ob Berechtigungen sinngemäß verwendet werden und deckt Anomalien in der Kommunikation zwischen Client und Applikation auf. Kommt ein Zugriff verdächtig vor, können Security-Experten Gegenmaßnahmen ergreifen und beispielsweise die Verbindung beenden oder ein Endgerät isolieren.