Kein Vertrauen – Zero Trust Security

Inhaltsverzeichnis

Der Faktor Mensch ist nach wie vor ein Hauptproblem für die IT-Sicherheit. Wie kann man das verhindern, ohne die Menschen "abzuschaffen"? Eine immer populärer werdende Möglichkeit: Zero Trust Security.
Bild zum Thema "Zero Trust Security", zeigt Mann, der einem die Hand entgegenstreckt. Text dazu: "Hi, ich trau dir nicht!"

Man hat es lange versucht: Man hat geschult, hingewiesen, erinnert und Audits noch und nöcher durchgeführt. Fakt bleibt: Nach wie vor sind Menschen eines der Hauptprobleme für die IT-Sicherheit. Studien zeigen dies immer wieder und immer noch. Sie variieren in ihren Ergebnissen, aber grundsätzlich schreibt man 90 % der Sicherheitsvorfälle dem Faktor Mensch zu.[1]

Wer kennt sie nicht, die Post-its am Display, auf denen in feinster Handschrift das aktuelle Passwort gut erkennbar zu lesen steht? Weitere Klassiker des Sicherheitsrisikos Mensch sind wie folgt:

  • Schwache Passwörter
  • Auf Phishing-E-Mails hereinfallen und Opfer von Sozial-Engineering werden
  • Zu spät Updates einspielen
  • Versehentlich heruntergeladene Malware
  • Kritische Informationen unbeaufsichtigt und zugänglich lassen

Wie bereits erwähnt [zum Beitrag], sind User und Mitarbeiter allein bei der Verbreitung von Ransomware zu 50 % das Einfallstor. Alles zusammen ergibt laut aktuellen Studien diese Sachlage.

82% aller Sicherheitsbrüche sind menschlich

IT-Security muss sozusagen „vom Schlimmsten im Menschen ausgehen“.[3] Aber es ist nicht so deprimierend, wie es zunächst klingt. Im Gegenteil: Ziel ist ein Happy End und das ist für alle erreichbar. Doch wie kommen wir dahin und was ist „Zero Trust Security“?

Der Weg zum Happy End ist, ganz wie in einem guten Film, gespickt mit Missverständnissen, Enttäuschungen und Verrat samt gebrochenen Herzen und IT-Systemen.

Ach, kommt! Es ist doch das eigene Netzwerk.

Ja, aber davon auszugehen, dass dem eigenen Netzwerk und seinen Usern vertraut werden kann, hat sich als gefährlich erwiesen. Menschen zu befähigen, mögliche Gefahren zu erkennen: Das reicht nicht mehr.

Denn die Möglichkeiten für menschliches Versagen steigen zeitgleich mit der Anzahl Geräte und Applikationen, die genutzt werden können. Diese greifen vermehrt auf Dritt-Anbieter-Dienste zurück, die das Risiko erweitern, oder sie agieren immer autonomer. Einmal authentifiziert, verrichten Sie ihren Dienst. Dem „inneren Kreis“ und eigenen Netzwerk wird vertraut.

Das kann ein fataler Fehler sein. Gefahren lauern nicht nur von extern, sondern auch intern.

Die Lösung ist nicht emphatisch, aber effektiv: Zero Trust. Null Vertrauen. Alles und jeder muss sich wiederholt und kontinuierlich authentifizieren.[4]

Im Gegensatz zu herkömmlichen Sicherheitskonzepten, geht Zero Trust nicht davon aus, dass dem eigenen Netzwerk und den eigenen Mitarbeitern vertraut werden kann. Mögliche Dominoeffekte werden unterbunden, indem man bestimmte Schritte für die eigene IT-Struktur umsetzt.

Zero Trust Security

Wie setzt man Zero Trust Security um?

Immerhin 71 % der Unternehmen haben bereits eine Zero-Trust-Security oder planen, diese einzusetzen.[5] Denn Zero Trust funktioniert schlichtweg, sofern man es richtig (d. h. ganzheitlich für die IT-Struktur und das betroffene Unternehmen) einsetzt.[6]

Das kommt natürlich auf die individuelle Beschaffenheit eines Netzwerkes an. Grundsätzlich aber wird das Netzwerk segmentiert (VLANS z. B.), interne Firewalls eingebracht und Intrusion-Detection-Systeme (IDS) herangezogen. Einfacher Datenaustausch oder Zugriffe zueinander wird den Systemen grundsätzlich erst einmal verboten. Man geht vom Worst Case aus und rechnet mit dem Schlimmsten. Naivität und Gutgläubigkeit werden abgelegt. Man agiert sachlich korrekt.

Es werden nur Authentifizierungen vergeben, die wirklich nötig und geklärt sind – und diese werden fortlaufend überwacht. Kein Vertrauen, keine Gnade. Da muss man durch. Für einige Unternehmen stellt eine Umstellung auf Zero Trust einen großen Aufwand dar. Es ist aber davon auszugehen, dass dieser sich mittel- bis langfristig lohnt. Denn wie immer gilt: Lieber Vorsorgen als Nachsorgen. Ein Sicherheitsvorfall ist immer teurer und aufwändiger zu beheben.

Vorteile der Zero Trust Security fürs Unternehmen

Zero Trust gleich Freiheit

Menschen, Mitarbeitende brauchen Grenzen und Regeln, um sich sicher zu fühlen. Wenn Mitarbeitende ständig darüber nachdenken müssen, ob sie jetzt alles beachten, was für die IT-Security wichtig ist, arbeiten sie mit angezogener Bremse. Kreative Prozesse leiden, Effizienz geht verloren. Das kann man sich hochrechnen, dass sich das nicht lohnt. Zudem bleibt die Gefahr des menschlichen Versagens bestehen.

Zero Trust ist also nicht, wie man auf den ersten Blick meinen könnte, taktlos und rigide. Im Gegenteil. Wir meinen, dass es den Usern im Unternehmen Freiräume gibt und Arbeitsplätze, an denen sie sich auf das konzentrieren können, wofür sie bezahlt werden. Und nur die IT-Security-Mitarbeiter sollten sich mit IT-Security beschäftigen und nicht die Buchhalter oder Brand-Designer.

Wenn Sie nicht einschätzen können, ob Sie die Zero Trust Security brauchen oder wie stark die Umstellungen für Sie und Ihr Unternehmen sein könnten, fragen Sie uns.

Wir geben Ihnen gerne eine erste Einschätzung, was für Sie der beste Weg zur sicheren Unternehmens-IT ist.

Ihr Team der Dr. Michael Gorski Consulting GmbH


[1] https://www.verizon.com/business/resources/reports/dbir/

[2] Leading cause of ransomware infection 2020 | Statista

[3] Cybersecurity: Der Faktor Mensch als zentrales Risiko | Talent Garden

[4] The Zero Trust Security Model Explained (heimdalsecurity.com), What is Zero Trust? | IBM

[5] https://www.cybersecurity-insiders.com/zero-trust-progress-report-2021

[6] https://news.mit.edu/2022/zero-trust-architecture-may-hold-answer-cybersecurity-insider-threats-0517

Blog-Artikel teilen

Jetzt Kontakt aufnehmen!
Logo Allianz für Cybersecurity
BSI APT-Response Dienstleister
Diese Artikel könnten Sie auch interessieren
Fotomontage zum Thema Security Awareness. Zeigt Logo der Dr. Michael Gorski Consulting Gmbh, darunter steht: Keine Security Awareness? Hintergrund zeigt brennendes Feuer und andeutung eines Sicherheits-Symbols. Vordergründig steht, von hinten zu sehen, ein Feuerwehrmann in voller Montur mit Axt.
Security Awareness

„Wir machen schon einmal im Jahr ein Training zur Security Awareness…“ Das hören wir so immer mal wieder. Grund genug, mal darüber zu reden. Denn einmal im Jahr ein Security-Awareness-Training – reicht das? Gibt es denn eine akute Gefahr?

Weiterlesen »
Bild zeigt zum Thema Cyberkrieg & Cyberwar Montage eines im dunklen sitzenden Hackers. Im Hintergrund Einser und Nullen und eine digitalisierte Weltkarte. Schriftzug:"Cybekrieg Cyberwar, Subline: sind wir sicher?"
Cyberkrieg & Cyber Warfare

Aktuell sind Cyberkrieg, hybride Kriegsführung und Hackerangriffe bei vielen Thema. Die Unsicherheit ist groß, das Wissen dazu gering. Was kann man tun, um sich zu schützen und mit welchen Gefahren muss man wirklich rechnen? Eins vorab: Natürlich gibt es Wege, sich zu schützen.

Weiterlesen »
Kennen Sie schon unseren YouTube Kanal?