Zero Trust, ein Konzept für die Zukunft?

Der Traditionelle Ansatz

Netzwerke wurden traditionell wie eine Burg errichtet. Große Mauern schützen das Innere vor Zugriffen von Außen. Mit den Jahren wurden die Burgmauern dann immer dicker und höher, doch das Prinzip blieb gleich. Praktisch gesprochen bedeutet das dann: Zum Passwort kam die zwei Faktor Authentifizierung dazu, darum ein VPN und eine Sicherung des VPNs durch Passwort und einer weiteren zwei Faktor Authentifizierung.

Vor allem während der Pandemie arbeiten immer mehr Personen von zu Hause. Nicht immer ist Zuhause ein gesichertes und abgekapseltes Gerät der Firma verfügbar und manche Meetings werden schnell per privatem Smartphone erledigt.

Ein beispielhaftes Firmennetzwerk
Ein beispielhaftes Firmennetzwerk

Das Problem des traditionellen Ansatzes ist: Nicht alles kann abgekapselt werden. Um Verbindungen von außerhalb liegenden Mitarbeiter abzusichern wird ein VPN wie WireGuard eingesetzt. Jedem Nutzer im Netzwerk wird also standardmäßig vertraut. Das Problem bei diesem Ansatz ist, dass ein ins Netzwerk eingedrungener Angreifer, die freie Hand über alles im Inneren hat.

Was bedeutet Zero Trust

Die Philosophie hinter einem Zero-Trust-Netzwerk geht davon aus, dass es sowohl innerhalb als auch außerhalb des Netzwerks Angreifer gibt. Benutzern oder Computern darf nicht automatisch vertraut werden. Das gilt auch für Ihre Hierarchie. Selbst einer Anfrage eines Gerätes der Geschäftsleitung wird nicht direkt vertraut, denn selbst diese oder manchmal sogar genau diese, können übernommen worden sein.

Ein weiterer Teil dieses Vertrauensmodells ist die Limitierung von Zugriff auf die minimalsten Berechtigungen. Ein Benutzer erhält also nur die Zugänge und Berechtigungen, die er wirklich braucht. Am Beispiel einer Datei, kann es sein, dass ein Nutzer die Rechte bekommt, diese anzusehen, zu ändern und zu teilen, aber nicht zu löschen.

Im Zuge eines Zero Trust Netzwerkes wird häufig 2 Faktor Authentifizierung verpflichtend. Jedes Gerät, dass Zugriff erhalten soll wird sorgsam überwacht. Um den Angriffsvektor des Netzwerks weiter zu minimieren, erhalten möglichst wenig Geräte Zugriff. Das vorhin erwähnte Meeting vom Privathandy, wird gar nicht erst gestattet.

Die Umsetzung in der Praxis

Wie bei den meisten IT Sicherheitskonzepten ist die Theorie oft sehr schön zu lesen, doch es gibt eine sehr wichtige Erkenntnis: Das allerwichtigste ist das Anfangen. Jeder Schritt in ein sichereres Netzwerk ist es wert gegangen zu werden.

Der erste Schritt für Sie ist, für jede Ressource detailliert zu entscheiden, wer darauf wann Zugriff hat. Des Weiteren sollten Sie überprüfen, mit welchen Geräten Ihre Mitarbeiter auf Ihr Netzwerk zugereifen. Je nach Firmenstruktur kann bereits dies eine bedeutende Zeit dauern.