Warum ist Zero-Trust-Cybersicherheit heute so wichtig?

Der Begriff „Zero Trust“ wurde 2010 von Forrester Researchgeprägt. Seitdem versuchen Sicherheitsanbieter immer wieder, aus dem Hype um das Konzept Kapital zu schlagen. Heute wird der Begriff so überstrapaziert und missbraucht, dass viele ihn für ein bedeutungsloses Schlagwort halten – doch das ist weit von der Wahrheit entfernt. Tatsächlich zeigt der weitverbreitete Missbrauch die Bedeutung der Zero-Trust-Cybersicherheit. Warum sonst würden zahllose Anbieter versuchen, daraus Kapital zu schlagen? Nachahmung ist bekanntlich die aufrichtigste Form der Schmeichelei.

„Zero Trust“ ist nicht nur ein Etikett. Vielmehr handelt es sich bei Zero Trust um eine Architektur (obwohl Sie auch von einer Zero-Trust-Methodik, einem Zero-Trust-Framework, einem Zero-Trust-Paradigma und einer Zero-Trust-Infrastruktur hören werden), die auf der Grundannahme beruht, dass kein User und keine Verbindung automatisch als vertrauenswürdig eingestuft werden darf. Das zentrale Zero-Trust-Prinzip der minimalen Rechtevergabe besagt, dass einem User ausschließlich Zugriff auf eine bestimmte IT-Ressource gewährt werden darf, für die er eine Zugriffsberechtigung hat, und zwar nur dann, wenn er sie benötigt. Daher gilt die Zero-Trust-Maxime: „Nie vertrauen, immer überprüfen.“

Als Netzwerk- und Sicherheitsstrategie steht Zero Trust in krassem Gegensatz zu herkömmlichen netzwerkzentrierten, perimeterbasierten Architekturen mit Firewalls und VPNs, die übermäßige Berechtigungen erfordern und das Cyberrisiko erhöhen. In diesem E-Book erfahren Sie mehr über die Schwächen dieses Ansatzes.

In diesem Blogbeitrag geht es hauptsächlich um einen Kernpunkt: Mit Firewall- und VPN-zentrierten Architekturen ist Zero Trust nicht möglich. Diese Ansätze sind nicht auf die komplexen Cyberbedrohungen der heutigen Wirtschaftswelt ausgelegt. Deshalb ist Zero Trust heute der Schlüssel zur Cybersicherheit.

Welche Kriterien zeichnen Zero Trust als zuverlässiges Sicherheitskonzept für zukunftsfähige Unternehmen aus?

Schlüsselaspekte von Zero Trust

Segmentierung ist nicht gleich Segmentierung

Laterale Bewegung ist ein Schritt in der Angriffskette, der auftritt, wenn eine Bedrohung die Abwehrmaßnahmen eines Unternehmens umgeht und in das Netzwerk gelangt, wo sie sich über verbundene Apps ausbreitet und mit der Reichweite auch das Schadenspotenzial der Sicherheitsverletzung vergrößert. Dies ist eine inhärente Schwäche perimeterbasierter Architekturen, die User mit dem gesamten Netzwerk verbinden und ihnen so umfassenden Zugriff auf alle darin enthaltenen Ressourcen gewähren.

Als Lösung für dieses Problem werden häufig Netzwerksegmentierung und Mikrosegmentierung angesehen, bei denen das Netzwerk und seine Inhalte in kleinere Segmente aufgeteilt werden, die voneinander getrennt und durch Firewalls geschützt sind. Diese Strategie ist jedoch komplex und teuer in der Implementierung und Wartung. Zudem ist sie darauf ausgelegt, ein Symptom veralteter Architekturen zu lindern, ohne die zugrunde liegenden Probleme zu lösen: die Architekturen selbst.

Die eigentliche Lösung ist eine Zero-Trust-Segmentierung. Die Zero-Trust-Architektur verbindet User direkt mit autorisierten Apps und gibt ihnen niemals Zugriff auf das gesamte Netzwerk. Dadurch wird das Potenzial für eine laterale Ausbreitung von Bedrohungen eliminiert, ebenso wie Komplexität und Kosten.

Schutz für alle Verbindungen zwischen Entitäten und Ressourcen

Oft wird „Zero Trust“ mit Zero Trust Network Access (ZTNA) gleichgesetzt. Bei ZTNA handelt es sich jedoch um eine spezifische Lösung, nicht um eine Architektur. Trotz der ungenauen Namenskonvention gewährleistet ZTNA Zero-Trust-basierten Direktzugriff direkt auf private Unternehmensanwendungen, die in Rechenzentren und privaten Clouds gehostet werden, ohne Usern Zugriff auf das Netzwerk zu gewähren.

ZTNA ist zwar ein unverzichtbarer Bestandteil jeder Plattform, die eine Zero-Trust-Architektur bereitstellt, reicht jedoch längst nicht aus. Schließlich greifen User nicht nur auf private Unternehmensanwendungen zu, sondern auch in unterschiedlichen Umgebungen auf das Internet, SaaS-Apps und andere IT-Ressourcen.

Darüber hinaus benötigen nicht nur User einen sicheren Zugriff. Auch Workloads, IoT- und OT-Geräte und B2B-Partner stellen regelmäßig Verbindungen zu IT-Ressourcen her. Eine vollständige Zero-Trust-Architektur gewährleistet daher sicheren Zugriff auf beliebige IT-Ressourcen für alle diese Entitäten. Aus diesem Grund wird oft die Analogie einer intelligenten Telefonzentrale verwendet, die sichere Einzelverbindungen zwischen sämtlichen Geräten ermöglicht.

Kontext, Kontext, Kontext

Von dem Moment an, in dem wir unser erstes Gerät in die Hand bekommen, werden wir darauf konditioniert, die Identitätsauthentifizierung als Standard für die Cybersicherheit zu betrachten. Entsprechend wird die Überprüfung der Useridentität im Rahmen des Identity and Access Management (IAM) als ideales Mittel angesehen, um festzustellen, ob jemandem Zugriff auf eine Ressource gewährt werden sollte. Doch Identität allein reicht nicht aus – und zwar selbst dann nicht, wenn dabei die Usergruppe berücksichtigt wird.

Dafür gibt es zwei Gründe. Erstens können User-Identitäten gestohlen werden, wie zahllose Sicherheitsverstöße im Zusammenhang mit dem Diebstahl von VPN-Anmeldedaten zeigen. Zweitens können auch authentifizierte User böswillige oder fahrlässige Handlungen begehen, die Unternehmen dem Risiko von Cyberangriffen und Datenverlust aussetzen.

Anstatt an diesem riskanten Status quo festzuhalten, berücksichtigt Zero Trust den Kontext der Verbindungsanfrage, um Risiken einzuschätzen und Entscheidungen über den Zugriff zu treffen. Dazu gehört zwar die Identität (die ein zentraler Bestandteil der Zero-Trust-Architektur ist), darüber hinaus werden aber auch andere Variablen wie Gerätestatus, Ziel- und Inhaltsrisiko, Userverhalten usw. berücksichtigt. Für diese Kontextanalyse ist in der Regel KI/ML erforderlich.

Cyberbedrohung und Datenschutz

Eine Zero-Trust-Architektur hat vier Kernvorteile bei der Abwehr von Cyberangriffen (einige davon haben wir bereits erwähnt):

1. Zero Trust eliminiert Firewalls, VPNs und deren öffentliche IP-Adressen, die attraktive Ziele für Bedrohungsakteure darstellen. Stattdessen werden Apps hinter einer Zero-Trust-Cloud unsichtbar gemacht, wodurch die Angriffsfläche eliminiert wird. Mit anderen Worten: Eingehende Verbindungen werden durch ausgehende Verbindungen ersetzt.
   
2. Zero Trust verhindert Kompromittierungen durch kontextsensitive Richtlinien und – im Gegensatz zu Hardware und virtuellen Appliances – eine Hochleistungs-Cloud mit der nötigen Skalierbarkeit, um den verschlüsselten Traffic zu überprüfen, in dem sich die meisten Bedrohungen verbergen (mehr dazu aber weiter unten).
   
3. Zero Trust ermöglicht eine direkte Verbindung zur App anstelle eines Netzwerkzugriffs und verhindert so die Möglichkeit lateraler Bewegungen zwischen Ressourcen.
    
4. Zero Trust stoppt Datenverluste, indem der verschlüsselte Traffic überprüft wird (wo die meisten Datenverluste auftreten) und alle relevanten Pfade geschützt werden, einschließlich gemeinsam genutzter SaaS-Apps, Wechselspeicher auf Endgeräten usw.

Darüber hinaus sollte eine voll funktionsfähige Zero-Trust-Plattform Funktionen zum Schutz vor Cyberbedrohungen wie Cloud-Sandboxing, DNS-Sicherheit, Browser-Isolierung und mehr bereitstellen. Data Protection-Funktionen wie SSPM, Out-of-Band-CASB, EDM und mehr sollten ebenfalls inbegriffen sein.

Bereitstellung über eine Spezial-Cloud

Zero Trust ist eine Cloud-native Architektur. Dies kann nicht allein durch die Bereitstellung einer zusätzlichen Appliance im Rechenzentrum oder einer privaten Cloud erreicht werden. Vielmehr wird Zero Trust als Service aus einer globalen, mandantenfähigen Cloud bereitgestellt, die eigens mit dem Ziel entwickelt wurde, eine Zero-Trust-Architektur an der Edge bereitzustellen, also so nah wie möglich am Enduser.

Da diese allgegenwärtige Cloud eine sichere Any-to-Any-Konnektivität sowie alle erdenklichen Sicherheitsfunktionen bietet, eignet sie sich perfekt für zukunftsfähige Unternehmen mit über mehrere Umgebungen und Standorte verteilten Cloud-Ressourcen, Remote-Mitarbeitern und Daten. Diese Unternehmen müssen den Traffic nicht mehr zu ihren Rechenzentren zurückleiten oder dieselben komplexen ein- und ausgehenden Stapel von Sicherheits- und Netzwerkgeräten (ob Hardware oder virtuell) verwalten.

Darüber hinaus verfügt Zero Trust im Gegensatz zu Appliances dank Cloud-Skalierung über die erforderliche Leistung zur Überprüfung des verschlüsselten Traffics. Da mittlerweile 95 % des Web-Traffics verschlüsselt und 86 % der Cyberangriffe im verschlüsselten Traffic versteckt sind, ist diese Überprüfung wichtiger denn je.

Vorteile von Zero Trust

Vermindertes Risiko

Der erste und offensichtliche Vorteil einer Zero-Trust-Architektur besteht darin, dass sie das Cyberrisiko systematisch reduziert. Eine lückenlose Abwehr wird durch die Bereitstellung einer Zero-Trust-Segmentierung aus der Cloud, die Absicherung jeder Phase der Angriffskette, einen umfassenden Schutz von Daten und vor Bedrohungen sowie die Durchsetzung kontext- und risikobasierter Richtlinien für alle Entitäten, die auf Ressourcen zugreifen, gewährleistet.

Überlegene Produktivität

Mit Zero Trust können Sie VPNs eliminieren und müssen den Traffic nicht mehr im Backhauling-Verfahren umleiten. Stattdessen erhalten Sie über eine globale Cloud eine Direktverbindung zur App mit der nötigen Skalierbarkeit, um Verkehrsspitzen zu bewältigen, die Appliances nicht schaffen. Durch integriertes Digital Experience Monitoring (DEM) lassen sich die Vorteile für die User Experience noch weiter steigern. Das Ergebnis ist eine höhere User-Produktivität. Durch weniger Tickets und Verwaltungsaufwand für die Administratoren wird auch die Produktivität des Helpdesks und des Netzwerks verbessert.

Reduzierte Kosten und Komplexität

Zero Trust eliminiert sechs wesentliche Kostenfaktoren perimeterbasierter Architekturen:

1. Spart die Anschaffungskosten für eine Vielzahl von Sicherheits- und Netzwerkprodukten
   
2. Weniger betriebliche Komplexität und Verwaltungsaufwand
   
3. Schnellere IT-Integration bei Fusionen und Übernahmen
    
4. Minimiert das Risiko und damit die Kosten von Datenschutzverletzungen
   
5. Höhere Produktivität (wie oben erwähnt)
   
6. Reduzierter Stromverbrauch, bessere CO2-Bilanz
   

Digitale Transformation

Durch die Umgestaltung von Sicherheit und Konnektivität mit Zero Trust können Unternehmen weltweit die digitale Transformation sowohl sicher als auch effektiv vorantreiben. Anstatt den Sicherheits- und Netzwerkansatz von gestern auf die Arbeitswelt von heute zu übertragen, können Unternehmen eine Zero-Trust-Architektur nutzen und nahtlos von Cloud-Apps, Remote-Arbeit und allem, was die digitale Zukunft sonst noch bringen mag, profitieren.

Möchten Sie loslegen?

Wenn Sie die Umstellung auf eine ganzheitliche Zero-Trust-Architektur planen, die alle Anforderungen erfüllt und alle in diesem Beitrag beschriebenen Vorteile bietet, brauchen Sie den richtigen Partner: Zscaler, den Pionier und kontinuierlichen Innovator für Zero Trust.

Die Zscaler Zero Trust Exchange ist die weltweit größte Inline-Sicherheits-Cloud. Sie umfasst über 160 Rechenzentren weltweit, verarbeitet täglich über 500 Milliarden Transaktionen, sichert mehr als 40 % der Fortune 500-Unternehmen und zeichnet sich durch einen Net Promoter Score von über 70 aus (während der Durchschnitt für SaaS-Anbieter unter 30 liegt). Zscaler verfügt nachweislich über die erforderliche Skalierbarkeit und Expertise, um Unternehmen aller Größen und Branchen bei der erfolgreichen Implementierung von Zero Trust zu unterstützen.

Wenn Sie Ihre Zero-Trust-Transformation beginnen möchten, aber nicht sicher sind, wo Sie anfangen sollen, registrieren Sie sich für unser monatliches Live-Webinar zu den Grundlagen von Zero Trust, in dem wir die Zero-Trust-Architektur aus der Einstiegsperspektive vorstellen. Das Webinar bildet den ersten Teil unserer dreiteiligen Serie „Zero Trust – von der Theorie zur Praxis“, die wir konzipiert haben, um Unternehmen von den ersten Schritten bis zur Bereitstellung zu begleiten. Melden Sie sich am besten sofort an.