Vertrauen ist gut, Kontrolle ist besser: Die Zero-Trust-Architektur stellt klassische Sicherheitsmodelle auf den Kopf, indem sie jeden Zugriff prüft – eine revolutionäre Strategie, die Chancen für mehr Sicherheit birgt, aber auch Herausforderungen bei der Umsetzung mit sich bringt.
Der Begriff Zero Trust ist nicht nur eine Technik, sondern ein ganzes Bündel an Maßnahmen, die eine verbesserte Sicherheitsstrategie verfolgt. Ein Interview mit Antworten von Frank Jonas, Head of Enterprise Sales DACH, Kaspersky.
1. Warum ist Zero Trust ein Paradigmenwechsel in der Cybersicherheit, und welche Schwächen klassischer Sicherheitsmodelle adressiert das Konzept?
Die Zero Trust Strategie ist entstanden, um zusätzliche Sicherheit in eine Security Architektur einzubringen. Es ist kein Paradigmenwechsel, denn das würde heißen, man geht einen vollkommen neuen Weg. Zero Trust ist eher eine zusätzliche Strategie, die auf vorhandenen Lösungen aufbaut.
2. Welche Sicherheitsverbesserungen und IT-Vorteile bietet Zero Trust speziell bei der Abwehr von Insider-Bedrohungen oder lateralem Movement?
Der große Vorteil von Zero Trust besteht darin, dass bei jeder Transaktion zwischen Usern, Devices, IT-Anwendungen, dem Firmennetzwerk und insbesondere der Cloud eine Authentifizierung erfolgt. Dadurch wird ein Lateral Movement signifikant erschwert, aber nicht unmöglich, da Hacker sich nicht ohne weiteres nach dem Eindringen in eine IT Infrastruktur weiter bewegen können.
Jetzt Newsletter abonnieren
Einmal im Monat die besten News von B2B CYBER SECURITY lesen3. Wie adressiert Zero Trust die Sicherheitsherausforderungen bei der Integration von IoT- und Cloud-Diensten in Unternehmensnetzwerke?
Zero Trust sorgt dafür, dass sowohl IoT Devices, als auch Cloudzugänge nur genutzt werden können, wenn bei jedem Zugriff die Authentifizierung dafür sorgt, dass nur berechtugte Zugriffe erfolgen.
4. Welche praktischen Hürden gibt es bei der Einführung von Zero Trust, z.B. im Hinblick auf Bestands-IT-Systeme und Kosten?
Das BSI sagt hierzu ganz klar, dass die Einführung einer Zero Trust Strategie eine langjährige und finanziell herausfordernde Aufgabe in Ergänzung zu vorhandenen Lösungen ist. Deshalb ist die erste Priorität, den klassischen Endpoint-, Netzwerk-, Perimeter- und Cloudschutz so zu implementieren, dass alle technisch verfügbaren Möglichkeiten einschließlich „Managed Detection and Response“ und sonstiger „Threat Intelligence Services (TI)“, z.B. in Form von Data Feeds verschiedener Hersteller zur Anreicherung von Firewalls, SIEM- und anderen IPS-Systemen, genutzt werden. Die Securityentscheider sind gut beraten, zu hinterfragen, wie diese Daten entstehen. Der betriebene Research- und Analyseaufwand und der Zeitaspekt (wann wurde Malware erstmalig erkannt und in den TI-Datenpool aufgenommen) sind ausschlaggebend für die Datenqualität und in der Folge für das gelieferte Schutzniveau.
5. Wie schützt Zero Trust vor Ransomware-Angriffen – und wo bleiben Schwachstellen bestehen?
Angreifer mit dem Ziel einer Ransomware-Attacke sind auf Lateral Movement angewiesen, um die Systeme zu finden, die verschlüsselt werden sollen und wo flankierend – zur Erhöhung des Druckpotenzials auf die angegriffenen Unternehmen – wichtige Daten abgezogen werden können. Deshalb leistet Zero Trust einen wichtigen Beitrag, Ransomwareangriffe zu erschweren. Unmöglich machen kann man Angriffe per se nicht, denn wir kennen aufgrund unserer fachlichen Aktivitäten hinsichtlich Incident Response, Malwareresearch und Malwareanalysten auch viele „Bypass-Methoden“. Das bedeutet, dass Hacker immer wieder auch Wege finden, Passwort-Schranken u.ä. zu umgehen.
6. Welche Rolle spielt die menschliche Komponente in einer Zero Trust Architektur, z.B. bei der Abwehr von Social Engineering-Angriffen?
Bei Social Engineering-Angriffen kommt Zero Trust an gewisse Grenzen. Denn diese Art von Angriffen basiert im Prinzip darauf, z.B. Mitarbeiter oder Mitarbeiterinnen eines Unternehmens so zu täuschen, dass sie scheinbar autorisierte Aktionen, z.B. Überweisungen durchführen in der Annahme, sie hätten die Anweisung von einem Vorgesetzten erhalten.
In diesen Fällen kann die so getäuschte Person ja dennoch alle Transaktionen durchführen, zu denen sie gemäß Zero Trust Prinzip autorisiert ist.
7. Wie überzeugt Zero Trust in hybriden Arbeitsmodellen, und welche Technologien können den Ansatz ergänzen?
Wie beschrieben baut Zero Trust auf einer vorhandenen Security-Architektur auf und ergänzt diese. Klassische Cybersecurity und Zero Trust sind insofern zwei Seiten einer Medaille. Insgesamt ergeben beide Aspekte ein Maximum an Cybersecurity. Hybride Arbeitsmodelle werden dabei gleichermaßen unterstützt, da die User entweder aus dem Home Office, im Firmennetzwerk oder von unterwegs autorisierten Zugang zu den gewünschten Anwendungen und Daten erhalten.
8. Welche Risiken birgt die Abhängigkeit von Zero Trust Technologien, z.B. in Bezug auf Overhead oder falsche Sicherheit?
Risiken werden immer bestehen, da es keine 100% Sicherheit gibt. Hacker sind immer einen Schritt voraus, da sie das Heft des Handelns in der Hand haben. Laut BSI sehen wir weltweit jeden Monat 250 vollkommen neuartige Angriffsmethoden. Im MITRE ATT&CK Framework sind mittlerweile ca 50.000 Angriffsmethoden bzw. Submethoden enthalten. Deshalb ist es wichtig, dass sich alle Beteiligten nicht nur auf technische Lösungen verlassen, sondern Mitarbeiter und Mitarbeiterinnen kontinuierlich durch Trainings sensibilisiert werden. Das Klicken von Phishing-Links erfolgt schließlich durch einen User und kann auch durch Zero Trust nicht verhindert werden.
9. Wie spiegelt der Cyber Immunity Ansatz von Kaspersky die Prinzipien von Zero Trust wider?
Was Kaspersky unter dem „Cyber Immunity Ansatz“ versteht, ist letztlich das „Weiterdenken“ des Zero Trust Prinzips. Cyber Immunity bedeutet, dass wir mit einem speziellen auf Securityaspekte hin entwickeltem Betriebssystem (Kaspersky OS) Systemkomponenten so härten, dass sie nur die Dinge ausführen können, für die sie ausgelegt wurden. Ein Angriff wird damit unmöglich. Die Implementierung von Cyber Immunity wird aber viel Zeit benötigen. Wenn man sich beispielsweise ein modernes Auto vorstellt, müssten alle netzwerkfähigen Komponenten so gehärtet werden. Dazu müssten dementsprechend alle Komponentenhersteller Kaspersky OS in ihre Produkte implementieren. Allerdings sind wir überzeugt, dass dieser Weg in den nächsten Jahren eingeschlagen wird. Erste Produkte wie „Thin Clients“ oder ein „Cyber-immunes Handy“ gibt es bereits.
10. Wird Zero Trust langfristig der Standard in der Cybersicherheit? Welche Trends und Herausforderungen könnten den Ansatz beeinflussen?
Der Ausbau der klassischen Cybersecurity-Architektur wird weitergehen. Wie beschrieben sind „Managed Services“ und die verstärkte Nutzung von „TI Services“ – vorrangig Data Feeds verschiedener relevanter Anbieter – maßgeblich, um einen maximalen Schutz zu erreichen. Zero Trust Lösungen werden diesen Weg begleiten. Je früher desto besser, natürlich in Abhängigkeit von verfügbaren Budgets. Cyber Immunity wird die fernere Zukunft der Ausbaumaßnahmen bestimmen, um die Angriffsoberfläche von Unternehmen auf ein Minimum zu reduzieren. „Stehenbleiben“ im Ausbau der Security Architektur bedeutet Rückschritt, da die Hackermethoden sich – zum Nachteil aller Internetnutzer – quantitativ und hinsichtlich der Raffiniertheit der Methoden weiter exponentiell entwickeln wird.
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/