Zero Trust richtig umsetzen

Zero Trust richtig umsetzen
Anzeige

Beitrag teilen

Um die neuen Risiken, die mit der aktuellen hybriden Arbeitsweise verbunden sind, zu bekämpfen, haben viele Führungskräfte und Anbieter von Cyber Security jetzt „Zero Trust“ entdeckt: Dieses Rahmenwerk soll die Sicherheit in der IT-Umgebung durchsetzen und gleichzeitig die Produktivität des ganzen Unternehmens steigern.

Die Art und Weise, wie Menschen arbeiten, hat sich in den letzten zehn Jahren dramatisch verändert. Die Mitarbeiter von Unternehmen arbeiten heute von überall aus und benutzen dabei Geräte und Netzwerke, die man nicht mehr direkt kontrollieren kann, um auf Ressourcen der Firma in der Cloud zuzugreifen. Dies hat zwar die Produktivität enorm gesteigert, hat aber auch gleichzeitig den Schutz der Unternehmen erheblich erschwert. Dies in die Praxis umzusetzen, geschieht jedoch nicht ohne Probleme, da es keine einheitliche Definition von „Zero Trust“ gibt.

Anzeige

Aktueller Sicherheitsansatz

Man hört von mancher Seite, dass eine Multi-Faktor Authentication (MFA) ausreichen soll, während andere Lösungen noch einen Schritt weiter gehen und den „least-privileged access“ (Zugang mit den geringsten Privilegien) verlangen.

Allgemein betrachtet, versteht man unter „Zero Trust“ die Idee, dass alle internen oder externen Objekte regelmäßig authentifiziert und bewertet werden müssen, bevor sie einen Zugang erhalten. Wenn sich die Mehrheit der Anwender, Endgeräte, Anwendungen und Daten nicht mehr länger innerhalb eines gegebenen Sicherheitsbereichs befinden, kann man auch nicht mehr von der festen Annahme ausgehen, dass ein Benutzer oder sein Endgerät vertrauenswürdig sein sollen.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Inmitten der Komplexität, die mit der Einführung von Technologien wie der Cloud und der Arbeit von überall aus einhergeht, ist es für die Security-Instanzen kompliziert herauszufinden, wo man anfangen soll – und dazu gehört auch Zero Trust. Aber man sollte zunächst daran denken, was für das eigene Unternehmen wichtig ist. Wenn man eine Lösung für Endpoint Detection and Response einsetzt, schützt man seine Daten vor Endpoint-Risiken. Dasselbe gilt für die Cloud Security: Man schützt seine Daten in der Cloud vor riskanten oder böswilligen Zugriffen und Attacken. Mit anderen Worten: Um Zero Trust effizient einzusetzen, sollte man sich auf alle Vektoren konzentrieren, in die die eigenen Daten eingebettet sind.

Daten als Startpunkt

Die meisten Unternehmen versuchen zunächst bei der Einführung von Zero Trust, sich auf die Art und Weise zu konzentrieren, wie Mitarbeiter ihre Arbeit erledigen: Dazu gehört zum Beispiel die Aufforderung an die Mitarbeiter, Virtual Private Networks (VPNs) mit einem zweiten Authentifizierungsfaktor zu verwenden, wenn sie auf Ressourcen des Unternehmens zugreifen. Im Gegensatz dazu vertrete ich jedoch die Ansicht, dass das Hauptaugenmerk nicht darauf liegen sollte, was man (nicht) tun sollte, sondern auf den Daten.

Mitarbeiter erstellen und bearbeiten ständig Daten. Da das Endziel eines Angreifers auf die Unternehmens-IT darin besteht, Daten zu stehlen, reicht es nicht mehr aus, bloß einen Anwender zum Zeitpunkt des Zugriffs zu authentifizieren. Stattdessen muss man sich darauf konzentrieren, welche Arten von Daten man besitzt, wie auf sie zugegriffen wird und wie sie verändert werden. Außerdem muss man die sich ständig verändernden Risikoniveaus der Benutzer und der von ihnen verwendeten Endgeräte im Auge behalten.

Prioritäten setzen

Daten befinden sich überall. Mitarbeiter erstellen täglich Daten, sei es beim Austausch per E-Mail, beim Kopieren und Einfügen von Inhalten in eine Messaging-Anwendung, beim Erstellen eines neuen Dokuments oder beim Herunterladen auf ihr Smartphone. Alle diese Aktivitäten erzeugen und verändern Daten, und alle besitzen ihren eigenen Lebenszyklus. Es wäre extrem mühsam, den Überblick über die Standorte all dieser Daten und die Art und Weise, wie sie gehandhabt werden, zu behalten.

Der erste Schritt bei der Implementierung von Zero Trust Security besteht darin, die eigenen Daten nach Empfindlichkeitsstufen zu ordnen, damit man Prioritäten setzen kann, welche Daten besonders zu schützen sind. Zero Trust kann ein nie aufhörender Prozess sein, weil man ihn auf alles anwenden kann. Anstatt zu versuchen, eine unternehmensweite Zero-Trust-Strategie für alle Daten zu entwickeln, sollte man sich auf die wichtigsten Anwendungen konzentrieren, die die sensibelsten Daten enthalten.

Datenzugriff

Als Nächstes sollte man sich ansehen, auf welchen Wegen die Daten im Unternehmen geteilt werden und wie der Zugriff auf sie erfolgt. Teilen die Mitarbeiter die Daten hauptsächlich über die Cloud? Oder werden Dokumente und Informationen per E-Mail oder Slack verschickt?

Es ist von entscheidender Bedeutung zu verstehen, wie sich die Informationen im Unternehmen bewegen. Wenn man nicht zuerst versteht, wie sich die Daten bewegen, kann man sie auch nicht effektiv schützen. Wenn zum Beispiel ein allgemeiner Ordner in der Cloud des Unternehmens mehrere Unterordner enthält, von denen einige geschützt sind, scheint dies eine sichere Methode zu sein. Und das ist es auch so lange, bis jemand den Hauptordner mit einer anderen Arbeitsgruppe teilt und nicht merkt, dass dadurch die Zugangseinstellungen für die privaten Unterordner geändert werden. Das hat zur Folge, dass nun die eigenen privaten Daten für eine Menge von Personen zugänglich sind, die eigentlich keinen Zugriff darauf haben sollten.

Keine Lösung von der Stange

Jeder hat wahrscheinlich schon von der Floskel gehört: “Dafür gibt es doch eine App!”. Und im Allgemeinen trifft das auch zu. Es scheint heute für jedes moderne Problem eine App oder eine Software-Lösung zu geben. Man kann dagegen feststellen, dass dies bei Zero Trust nicht der Fall ist. Es gibt allerdings viele Anbieter, die ihre Produkte als so genannte “Lösungen” für die Implementierung von Zero Trust Data Security verkaufen wollen. Aber diese vorgeschobene Methode funktioniert einfach nicht.

Zero Trust stellt im Prinzip eine Denkweise und Philosophie dar, sollte aber nicht mit einem Problem verwechselt werden, das durch Software gelöst werden kann. Wenn man beabsichtigt, in seinem Unternehmen Zero Trust als Methode für Security einzuführen, muss man verstehen, wie dieser Ansatz funktioniert und wie man ihn zuverlässig in seinem ganzen Unternehmen umsetzen kann.

Die Rolle der Mitarbeiter

Der zweite Teil der Implementierung von Zero-Trust-Daten besteht darin, seine Mitarbeiter mit ins Boot zu holen. Man kann bestehende Software und Lösungen einkaufen und Regeln festlegen, aber wenn die eigenen Angestellten nicht verstehen, um was es geht oder warum man etwas einsetzen soll, wird man den eigenen Fortschritt und Erfolg gefährden und seine Daten wahrscheinlich bestimmten Risiken aussetzen.

Auf der RSA-Konferenz 2022 führte einer meiner Kollegen eine Umfrage durch und stellte fest, dass 80 Prozent der Teilnehmer noch immer ihre Daten mit einer klassischen Tabellenkalkulation festhalten und berechnen. Und laut einer Umfrage aus dem Jahr 2021 verwenden nur 22 Prozent der Anwender von Microsoft Azure eine MFA. Diese Zahlen sprechen dafür, dass man von Anfang an bei seinen Mitarbeitern ansetzen sollte. Und man sollte ihnen die Bedeutung von Data Security erklären und wie man diese auf den eigenen Geräten praktisch umsetzen kann.

Zero Trust ist kein Produkt

Besonders wichtig ist es, wenn man Zero Trust Security in seinem Unternehmen einrichten will, sich vor allem darüber im Klaren sein, dass es sich dabei um eine Philosophie und nicht um eine simple Lösung handelt. Zero Trust ist nicht etwas, das man mal so nebenbei über Nacht installieren kann. Und es ist kein fertiges Stück Software, das man irgendwo kaufen kann, um alle Probleme auf einen Schlag zu lösen. Zero Trust ist mehr eine grundsätzliche Idee, die es langfristig umzusetzen gilt.

Bevor man in eine pauschale Lösung investiert, die dann doch nicht funktioniert, sollte man seine vorhandenen Daten besser kennenlernen und verstehen, welche besonders sensiblen Daten priorisiert und geschützt werden müssen. Außerdem geht es darum, wie sie im Einzelnen gehandhabt werden sollen, um sich dann auf die Schulung und Weiterbildung seiner Mitarbeiter zu konzentrieren. „Zero Trust” klingt nach einer großartigen Idee, aber ihre Umsetzung funktioniert nur, wenn man versteht, dass es sich um eine Art von Philosophie oder um einen Rahmen handelt, der in mehreren Schritten eingerichtet und kontinuierlich verbessert werden muss – und eben nicht um eine einmalige, feststehende Lösung.

Mehr bei Lookout.com

 


Über Lookout

Die Mitbegründer von Lookout, John Hering, Kevin Mahaffey und James Burgess, schlossen sich 2007 mit dem Ziel zusammen, Menschen vor den Sicherheits- und Datenschutzrisiken zu schützen, die durch die zunehmende Vernetzung der Welt entstehen. Noch bevor Smartphones in jedermanns Tasche waren, erkannten sie, dass Mobilität einen tiefgreifenden Einfluss auf die Art und Weise haben würde, wie wir arbeiten und leben.


 

Passende Artikel zum Thema

Firefly schützt Maschinenidentitäten in Cloud-nativen Workloads

Venafi, der Erfinder und führende Anbieter von Maschinenidentitäts-Management, stellt Firefly vor. Die Lösung unterstützt hochgradig verteilte Cloud-native Umgebungen. Als Teil ➡ Weiterlesen

Neue Studie: Web-Shells sind Top-Einfallsvektor

Die Zahl von Angriffen über Web-Shells ist in den ersten drei Monaten 2023 überdurchschnittlich stark angestiegen. Das zeigt der Cisco ➡ Weiterlesen

QR-Code Phishing-Sicherheitstest-Tool

KnowBe4 bietet ab sofort ein ergänzendes QR-Code-Phishing-Sicherheitstest-Tool an, das Benutzer identifiziert, die Opfer von QR-Code-Phishing-Angriffen werden. Das kostenlose Tool (QR ➡ Weiterlesen

Ransomware-Report: LockBit zielt auf macOS

LockBit, die aktuell aktivste Ransomware-Gruppe, weitete seine Aktivitäten im April auf macOS-Geräte aus. Weiterhin werden Schwachstellen der Druckersoftware PaperCut aktiv ➡ Weiterlesen

China-Malware: Volt Typhoon zielt auf kritische USA Infrastruktur

Microsoft hat die Malware Volt Typhoon untersucht und festgestellt das diese von einem staatlich geförderten Akteur mit Sitz in China ➡ Weiterlesen

Fünf Jahre DSGVO

Die Datenschutzgrundverordnung der Europäischen Union ist anstrengend, aber eine Erfolgsgeschichte. Die Europäische Kommission sollte das fünfjährige Jubiläum der DSGVO dazu ➡ Weiterlesen

SOCs: Anstieg gefundener Cyberangriffe um das 1,5-fache

In seinem neuen Managed Detection and Response Analyst Report von Kaspersky gibt es einige wichtige Erkenntnisse: So stieg die Anzahl ➡ Weiterlesen

Zero Trust: Advanced User Intelligence

Ein Unternehmen für Zero Trust Data Security stellt seine Advanced User Intelligence vor. Die neuen Funktionen unterstützen Unternehmen dabei, Cyberangriffe ➡ Weiterlesen