Zero Trust in der Praxis

Die Zero Trust Strategie schützt wertvolle Unternehmensdaten. Die Umsetzung lässt sich oft mit ohnehin anstehenden Investitionen verbinden.

Mai 17, 2022 - 2 Min.

Hacker effektiv ausbremsen und Datenleaks verhindern: das ist das Ziel der sogenannten Zero Trust Strategie. Grundsatz dabei ist es, allen verbundenen Geräten und Personen erst einmal zu misstrauen, bis sie sich eindeutig und sicher authentifiziert haben. Dafür erhalten sie immer nur die wirklich benötigten Berechtigungen. Im ersten Teil unseres Blogbeitrages zu Zero Trust haben wir gesehen, was Unternehmen beachten sollten, bevor sie eine solche Sicherheitsstrategie umsetzen. Im zweiten Teil wollen wir nun beleuchten, wie die eigentliche Umsetzung abläuft.

Nach der im ersten Planungsschritt erfolgten Bilanzierung der eigenen schützenswerten Daten, der Datenströme innerhalb des Unternehmens sowie der notwendigen Schutzklassen ist es an der Zeit, die zukünftigen Zugriffsregeln festzulegen. Als Grundlage dient das im Vorlauf erworbene Wissen: Wer sind die Benutzer? Welche Daten, Anwendungen und anderen Ressourcen nutzen sie? Und mit welchen Endgeräten und über welche Verbindungen – etwa via Intranet oder über einen VPN-Server – greifen sie auf die Unternehmensdaten zu?

PDP mit PEP

Soll ein Zugriff auf Ressourcen innerhalb des Netzwerks stattfinden, greift das „Zero Trust“-Prinzip: Grundsätzlich darf ein solcher Datenaustausch erst dann stattfinden, wenn er anhand eines Regelwerks als zulässig klassifiziert und auf eine Whitelist gesetzt wurde. In der praktischen Umsetzung müssen diese Regeln zwei zentrale Bedingungen erfüllen:

  • Alle Bestandteile des Netzwerks müssen ein- und ausgehende Anfragen zum Datenaustausch an einen zentralen Entscheidungspunkt, den Policy Decision Point (PDP) senden. Anhand der verfügbaren Informationen, der sogenannten Attribute, sowie der geltenden Sicherheitsrichtlinien entscheidet der PDP, ob Anfragen genehmigt werden oder nicht.
  • Der PDP muss über entsprechende Schnittstellen alle vorhandenen Sicherheitskomponenten, die Policy Enforcement Points (PEP), ansteuern können, um so die Zugangsregeln umzusetzen. Als PEP eingesetzt werden können etwa die Multi-Faktor-Authentifizierung (MFA), Web Application Firewalls (WAF), eine Host-basierte Netzwerksegmentierung und zahlreiche andere Lösungen. Welche davon zum Einsatz kommen, hängt von der zuvor ermittelten Ausgangssituation im Unternehmen ab.

Los geht’s: Der Umstellungsprozess

Da die Zero-Trust-Strategie ein lebender Prozess ist, der nicht in einer einzigen Hauruck-Aktion umgesetzt und abgeschlossen werden kann, darf bei der Umsetzung nichts überstürzt werden. Im Gegenteil, Bedachtsamkeit zahlt sich sogar aus. Die einmal gesteckten Leitlinien geben den weiteren Weg der Zero-Trust-Implementierung vor – wie schnell und mit welchen Hilfsmitteln dies geschieht, kann jedoch anhand übergreifender betriebswirtschaftlicher Kriterien entschieden werden: 

  • Stehen ohnehin Neuanschaffungen oder Ersatzinvestitionen an? Laufen beispielsweise Lizenzen für bislang genutzte Sicherheitsprodukte aus oder ist ein Umzug von On-Premise- zur Cloud-Speicherung geplant? Dann sollten IT-Verantwortliche darauf achten, dass neue Hard- und Software auf das Ziel Zero Trust einzahlt und sich in die neue Sicherheitsarchitektur einfügt.
  • In welchem Bereich bringen neue Zero-Trust-Komponenten den grössten Sicherheitsgewinn? Kann dort ein rascher Return on Investment (RoI) erzielt werden? An dieser Stelle sollte begonnen werden, um eine solide Basis für den weiteren Ausbau zu legen.
  • Die Erhöhung der Sicherheit ist kein Selbstzweck und oft ein nicht unerheblicher Kostenfaktor, kann aber bei vielen Projekten als sinnvolle Ergänzung eingepreist werden: Wird etwa ohnehin ein neues Customer Management eingerichtet, sollte bei der Auswahl der Lösung darauf geachtet werden, dass sie wichtige Zero Trust Sicherheitsfaktoren abdeckt – etwa die Multi-Faktor- oder passwortfreie Authentifizierung.

Kurz und gut: Bei Zero Trust ist zwar einerseits langer Atem gefragt, andererseits lassen sich die notwendigen Investitionen über einen längeren Zeitraum verteilen. So senken sie das Betriebsergebnis nicht unnötig und tragen gleichzeitig zum kontinuierlichen Aufbau einer zukunftssicheren Zero Trust Architektur bei.