Kontaktieren Sie uns
Partner Login
Kontaktieren Sie uns
Partner Login

Zero-Trust-Strategie: Ein Leitfaden für Unternehmen

Die Zero-Trust-Strategie folgt dem Prinzip: „Vertrauen ist gut, Kontrolle ist besser“ - jeder Zugriff erfordert eine vorherige Authentifizierung. Erfahren Sie, wie Zero Trust funktioniert und Unternehmen schützt.

zero-trust-header

Was ist Zero Trust?

Die Zero-Trust-Strategie ist ein IT-Sicherheitskonzept, das auf dem Prinzip basiert, niemandem und nichts zu vertrauen, ohne vorherige Authentifizierung. Ziel ist es, den Zugriff auf Ressourcen strikt zu kontrollieren, indem jede Identität – ob Nutzer, Gerät oder Prozess – überprüft und für eine begrenzte Zeit zugelassen wird.

Gut zu wissen: Was Zero Trust nicht ist

Es handelt sich um keine Fix-und-Fertig-Lösung, die einmal implementiert wird und dann abgeschlossen ist. Vielmehr bezeichnet Zero Trust ein IT-Sicherheitskonzept, das einem übergreifenden Grundsatz folgt: Nichts und niemandem darf ohne Authentifizierung, also ohne eine Feststellung der Identität, vertraut werden – sei es ein Gerät, eine Person oder ein Prozess. Ist die Prüfung erfolgreich, wird zwar der Zugang gewährt, dieser ist aber zeitlich begrenzt und umfasst ausschliesslich diejenigen Ressourcen (z.B. Applikationen, Laufwerke), die ausdrücklich für die jeweilige digitale Identität freigegeben wurden.

Für wen ist die Zero-Trust-Strategie gedacht?

Die Zero-Trust-Strategie richtet sich in erster Linie an Unternehmen, die den Zugang für ihre Mitarbeitenden schützen möchten. Ziel ist es, sensible Unternehmensdaten und -ressourcen vor unautorisiertem Zugriff zu bewahren, indem jeder Zugriff auf das Netzwerk und Anwendungen ständig überprüft wird – unabhängig vom Standort oder der Rolle des Mitarbeitenden.

Im Bereich der Kundenidentität, wie zum Beispiel im E-Banking, wird jeder Kunde als potenziell unsicher betrachtet. Hier zeigt sich Zero Trust besonders deutlich: Nutzer müssen sich bei jedem Zugriff auf ihr Konto authentifizieren, um die Sicherheit ihrer Daten zu gewährleisten.

Funktionsweise der Zero-Trust-Strategie

Die Zero-Trust-Strategie funktioniert, indem alle Benutzer, Geräte und Anwendungen innerhalb und ausserhalb des Netzwerks als potenziell unsicher betrachtet werden. Dieser Ansatz geht davon aus, dass Bedrohungen sowohl von innen als auch von aussen bestehen können und jeder Zugriff nur nach einer umfassenden Verifizierung gewährt wird.

Für weitere hilfreiche Artikel zu grundlegenden Themen besuchen Sie unsere Grundlagen-Übersicht.

Wichtige Funktionsprinzipien:

  • Identitätsbasierte Authentifizierung:
    Benutzer und Geräte werden mit mehreren Faktoren authentifiziert, bevor sie Zugriff auf Ressourcen erhalten.
  • Minimierung der Zugriffsrechte:
    Zugriff wird nur auf das Notwendigste beschränkt, was als Prinzip der „geringstmöglichen Rechte“ bezeichnet wird. Dies verhindert, dass bei einem erfolgreichen Angriff umfassender Schaden entstehen kann.
  • Segmentierung des Netzwerks:
    Durch die Aufteilung des Netzwerks in kleinere Zonen wird der Datenfluss streng kontrolliert und Bewegungen im System werden erschwert. Dies hilft, potenzielle Angreifer im Falle eines Angriffs zu isolieren.
  • Kontinuierliche Überwachung und Überprüfung:
    Ein Kernelement der Zero-Trust-Strategie ist die laufende Überwachung aller Aktivitäten und Verbindungen im Netzwerk. Durch maschinelles Lernen und Verhaltensanalysen kann das System anormales Verhalten frühzeitig erkennen und blockieren.
  • Automatisierte Entscheidungen über PEP:
    Der Policy Enforcement Point (PEP) vereint die Funktionen von PDP und EDP. Er analysiert in Echtzeit Zugriffsanfragen, prüft ihre Übereinstimmung mit Sicherheitsrichtlinien (PDP-Funktion), und setzt die getroffenen Entscheidungen direkt um, indem er den Zugriff ermöglicht oder verweigert (EDP-Funktion).

Die Rolle von PEP in der Zero-Trust-Strategie

Soll ein Zugriff auf Ressourcen innerhalb des Netzwerks stattfinden, greift das „Zero Trust“-Prinzip: Grundsätzlich darf ein solcher Datenaustausch erst dann stattfinden, wenn er anhand eines Regelwerks als zulässig klassifiziert und auf eine Whitelist gesetzt wurde. In der praktischen Umsetzung müssen diese Regeln zwei zentrale Bedingungen erfüllen:

Alle Bestandteile des Netzwerks müssen ein- und ausgehende Anfragen zum Datenaustausch an einen zentralen Entscheidungspunkt, den Policy Decision Point (PDP) senden. Anhand der verfügbaren Informationen, der sogenannten Attribute, sowie der geltenden Sicherheitsrichtlinien entscheidet der PDP, ob Anfragen genehmigt werden oder nicht.

Der PDP muss über entsprechende Schnittstellen alle vorhandenen Sicherheitskomponenten, die Policy Enforcement Points (PEP), ansteuern können, um so die Zugangsregeln umzusetzen. Als PEP eingesetzt werden können etwa die Multi-Faktor-Authentifizierung (MFA), Web Application Firewalls (WAF), eine Host-basierte Netzwerksegmentierung und zahlreiche andere Lösungen. Welche davon zum Einsatz kommen, hängt von der zuvor ermittelten Ausgangssituation im Unternehmen ab.