Zero Trust
Zero Trust: Warum das Konzept ein wichtiger Baustein ist, wenn die Basis stimmt
Von Marc Schieder, CIO von DRACOON
Beinahe 30 Jahre ist es her – der Wissenschaftler Stephen Paul Marsh schreibt im April 1994 seine Doktorarbeit über Rechensicherheit an der Schottischen Universität von Sterling und verwendet wohl als erster den Begriff "Zero Trust" im Kontext der IT-(Security).
Marsh schaffte damit die Grundlage eines Konzepts, das heute in der IT-Welt tagtäglich genutzt wird und gerade in den letzten Jahren deutlich an Beliebtheit gewonnen hat. Ist das Prinzip heute allgegenwärtig, war es Mitte der 90er-Jahre noch alles andere als bekannt. Erst im Jahre 2010 sorgte der Forrester Analyst John Kindervag dafür, dass der Begriff an Popularität gewann. Wenig später, im Jahr 2003, beschäftigte sich das Jericho-Forum (ein Zusammenschluss von CISOs, die sich mit allen Themen rund um IT-Sicherheit befassen) mit den Grundlagen des Prinzips. Schließlich begannen auch IT-Giganten wie Google sich mehr und mehr für das Konzept zu interessieren und Google führte 2009 eine Zero-Trust-Architektur ein, die der Konzern als BeyondCorp bezeichnet. Obwohl der Begriff also schon mehrere Jahrzehnte alt ist, dauerte es einige Zeit, bis das Thema zur festen Größe in der Diskussion um betrieblichen IT Security wurde.
Netzwerkgrenzen verschwimmen: Ist "kein Vertrauen" hier die Lösung?
Grundsätzlich geht es bei Zero Trust darum, Datenschutzverletzungen zu verhindern, indem die Idee von "Vertrauen" komplett eliminiert wird, wenn es um die Sicherheit der IT-Infrastruktur einer Firma geht. Der radikale Grundsatz lautet stattdessen: "never trust, always verify". Im Vergleich zu vorherigen Security-Ansätzen geht das Prinzip davon aus, dass es keinen traditionellen, fest abgesteckten Netzwerkrand gibt – Netzwerke können lokal, in der Cloud, oder hybrid sein, mit Anwendungen, Daten und Mitarbeitern an jedem Ort. Deshalb besteht Zero Trust auf die ständige Authentifizierung und Autorisierung aller Benutzer (innerhalb und außerhalb des Unternehmensnetzwerks) und die kontinuierliche Überprüfung von Sicherheitskonfigurationen dieser Nutzer, bevor der Zugang zu Daten erteilt oder aufrechterhalten wird. Die Tatsache, dass das Prinzip heute in aller Munde ist, ist nicht zuletzt dem Siegeszug der Cloud und der Allgegenwärtigkeit mobiler Endgeräte und Dienste zu verdanken. Es ist mittlerweile Normalität, dass Mitarbeiter am Montag von ihrem Firmen-PC aus arbeiten, am Dienstag im Homeoffice sind und den Laptop nutzen, und in den nächsten Woche wegen einer Geschäftsreise über das Smartphone arbeiten. Dabei greifen sie auf eine Vielzahl an (cloudbasierten) Anwendungen zu.
Es ist mittlerweile klar, dass Hybrid Work das Arbeitsmodell der Zukunft ist. Laut einer aktuellen Studie von Stepstone möchten 47 Prozent der Befragten über ihren Arbeitsort frei bestimmen können, 36 Prozent wünschen sich eine feste Anzahl an Homeoffice-Tagen. Nur 4 Prozent möchten aber komplett und dauerhaft von Zuhause aus arbeiten. Diese Entwicklungen sorgen dafür, dass die Grenzen der IT-Infrastruktur immer mehr verschwimmen und möglichst strenge Schutzmechanismen benötigt werden, um Betriebe abzusichern. Dabei ist wichtig zu betonen, dass Zero Trust an sich keine einzelne Technologie, oder gar ein einzelnes Produkt ist – es beschreibt eher einen ganzheitlichen Ansatz oder eine Philosophie, die auch operative Aspekte beinhaltet, abseits der Technologie.
Die Basis muss stimmen: Daten sicher speichern und austauschen
Die Tatsache, dass Zero Trust im Unternehmenskontext kein "one size fits all" ist, wird Entscheidern immer mehr klar. Denn das Prinzip lässt sich nicht über Nacht im kompletten Betrieb implementieren, weder auf technologischer noch auf organisatorischer Ebene. Es wird zunehmend deutlich, dass jeder Betrieb, der an der Umsetzung einer Zero Trust Strategie interessiert ist, seine eigene Definition von Zero Trust und der Umsetzung des Prinzips für sich finden muss. Generell ist die Idee des Nicht-Vertrauens jedoch sehr sinnvoll, denn je mehr Schutzebenen zwischen geschäftskritischen Daten und den Personen, die auf sie zugreifen wollen, umso sicherer sind diese. Eine wichtige Säule, die einige Betriebe als einen der wichtigsten Aspekte von Zero Trust identifiziert haben, sind Methoden wie die Zwei-Faktor- oder Multi-Faktor-Authentifizierung beim Zugriff auf Daten und Accounts. Aber auch Lösungen aus dem Bereich Identity-as-a-Service und die Netzwerksegmentierung werden häufig im Zusammenhang mit Zero Trust genannt.
Diese Aspekte können unter Umständen für Unternehmen von Vorteil sein, aber einer der wichtigsten Punkte, die mehr und mehr Firmen als einen der Grundpfeiler von Zero Trust erkennen, ist die Sicherheit bei der Speicherung und Übertragung von Daten. Denn selbst wenn der Zugriff auf Informationen eingeschränkt und die Angriffsfläche durch Segmentierung reduziert wird, sind Unternehmen immer noch anfällig für Sicherheitsverletzungen, Datenlecks und das Abfangen von Daten, wenn sie ihre Informationen bei der Speicherung und Übertragung nicht genug sichern. Ende-zu-Ende-Verschlüsselung ist deshalb ein absolutes Muss, etwa bei der Anschaffung von Lösungen für die Datenspeicherung und die Kollaboration – sei es Cloud-basiert, on-premise, oder Hybrid. Optimalerweise ist diese Verschlüsselung zusätzlich offengelegt, damit IT-Admins sich selbst von der Lückenlosigkeit überzeugen können. Im Bereich Datenspeicherung und -Austausch haben sich innerhalb der letzten Jahre besonders Lösungen aus dem Bereich Enterprise File Service bewährt, da sie schnell und unkompliziert zu implementieren sind und (im Idealfall) durch diverse Sicherheitsfeatures ein Maximum an Datensicherheit von Vornherein mitbringen. Hierzu zählt neben lückenloser Ende-zu-Ende Verschlüsselung zum Beispiel auch ein integriertes Reporting-Tool, bzw. ein Audit-Log, das jederzeit Auskunft gibt über den Datenzugriff. Auch verfügen manche Anbieter über einen integrierten Storage-Ransomware-Schutz. Hier können im Falle einer Ransomware-Attacke verschlüsselte Daten über den Papierkorb ohne Zeitverlust wiederhergestellt werden, weil alle Daten versioniert gespeichert werden.
Entscheidend bei der Einführung einer Zero Trust-Sicherheitsstrategie ist jedoch, dass sämtliche eingesetzte Software den höchsten IT-Security-Anforderungen entspricht. Das gilt für alle Lösungen, aber besonders für den Bereich Datenspeicherung und -Austausch, da er das Fundament von Datensicherheit im Betrieb ist. Werden geschäftskritische Daten zum Beispiel durch mangelnde Verschlüsselung abgefangen, entsteht oft ein massiver finanzieller Schaden – von Imageschäden gegenüber Kunden und Partnern nicht zu sprechen.
Fazit:
Das Prinzip Zero Trust ist nicht neu, sondern es wurde schon Mitte der 90er-Jahre entwickelt. Der Umstand, dass das Konzept gerade in den letzten fünftzehn Jahren mehr und mehr an Bedeutung gewonnen hat und viele Unternehmen umtreibt, ist erst einmal positiv. Es ist definitiv mehr als nur ein leeres "Buzzword". Je früher Betriebe erkennen, wie wichtig IT-Sicherheit und Datenschutz für ihren Betrieb sind und wie hoch die Fallhöhe bei mangelnder Security ist, desto besser. Wichtig ist hier aber, dass Firmen nicht vergessen, erst einmal die Grundlagen für eine ganzheitliche, starke Zero Trust-Strategie sicherzustellen und nicht den fünften Schritt vor dem ersten zu machen. Die Basis aller Bemühungen ist hier klar die sichere Speicherung und der Transport von Unternehmensdaten, damit alle anderen Maßnahmen überhaupt greifen können. In Zeiten von Remote Work gilt es hier, genau hinzuschauen, was Lösungen bieten und keine Kompromisse einzugehen. Nur wenn diese Grundvoraussetzung erfüllt ist, können Unternehmen weiter planen und langfristig für sich selbst herausarbeiten, was Zero Trust für ihre Firma bedeutet und welche Maßnahmen zusätzlich Sinn machen.
Über den Autor Arved Graf von Stackelberg, CSO – CMO bei DRACOON GmbH
Arved Graf von Stackelberg war vor seinem Einstieg bei DRACOON CEO bei der KeyIdentity GmbH mit Sitz in Weiterstadt, einem weltweiten Anbieter von Multi-Faktor-Authentifizierungslösungen. Vor seiner Tätigkeit bei KeyIdentity hatte er die Position des Director Continental Europe bei Veracode inne, einem Anbieter aus dem Cloud-Security-Bereich. Mehrere Jahre verantwortete er die Sicherheitssparte der HP in Deutschland und das Zentraleuropageschäft von Fortify. Mit mehr als 20 Jahren Erfahrung in Führungspositionen innerhalb der Bereiche IT und Security zeichnet sich Arved von Stackelberg für die Markteinführung bedeutender Security-Produkte im deutschen und zentraleuropäischen Markt verantwortlich. Seine weiteren Stationen umfassen eine Reihe amerikanischer und israelischer Software-Startups. Heute fungiert er bei DRACOON als einer von zwei Geschäftsführern und steuert mit seinen Teams den kompletten Sales- und Marketingprozess.
Über DRACOON
„Your key to digital freedom“ Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. DRACOON aus Regensburg ist Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum und hat es sich mit seiner Plattform zur Aufgabe gemacht, der Welt die Souveränität über ihre Daten zurückzugeben. Die Plattform wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet, außerdem bescheinigen verschiedene Zertifikate, Siegel und Testate wie BSI C5, ISO27001 und IDW PS 951 DRACOON höchste Sicherheitsstandards. Nach dem Prinzip „Privacy by Design“ verfügt DRACOON über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten sind maximal geschützt, denn der Schlüssel zur Entschlüsselung bleibt immer beim Besitzer. Nicht einmal der Admin oder DRACOON als Betreiber haben Zugriff. Das feingranulare Benutzer- und Rechtemanagement bietet individuelle Zugriffsrechte auf alle abgelegten Daten. Somit behalten autorisierte Nutzer die volle Kontrolle. Das universelle API ermöglicht die Integration externer Services und Applikationen, über sichere E-Mail-Kommunikation bis hin zur vollständigen Modernisierung des File Services.
Diese Unternehmen vertrauen DRACOON:
DATEV, Rossmann, Helios Kliniken, Rödl & Partner, ElringKlinger, EbnerStolz, Volksbanken Raiffeisenbanken, Nürnberger Versicherung, Thyssen Steel, Deutsche Telekom, Hutchison, Bechtle u.v.m.
