Viele Unternehmen schützen ihr Netzwerk mit einem virtuellen Perimeter wie etwa einer Firewall. Das Problem dabei: Haben Angreifer:innen diese digitale Schutzmauer erst einmal überwunden, stehen ihnen anschliessend viele Türen offen. Eine Lösung hierfür bietet die Zero-Trust-Architektur. «Fokus» sprach mit einem Experten auf diesem Gebiet.
Herr Gueggi, im Zusammenhang mit Cybersicherheit fällt heute vermehrt der Begriff «Zero-Trust-Architektur». Was genau versteht man darunter?
Damit wird ein Sicherheitskonzept beschrieben, bei dem Vertrauen als Risikofaktor gesehen wird. Das bedeutet, vereinfacht gesagt: Man vertraut nichts und niemandem und identifiziert stattdessen alles und jeden.
Das klingt äusserst strikt.
Das stimmt, doch angesichts der heutigen Gefährdungslage ist diese Striktheit unumgänglich. Und dank der heutigen Technologie gewährleistet das Zero-Trust-Prinzip nicht nur einen sicheren Betrieb, sondern steht auch effizienten Prozessen nicht im Weg. Wir müssen einfach anerkennen, dass das vorherrschende Perimetermodell heutzutage nur noch bedingt dazu in der Lage ist, eine ausreichende Cybersecurity zu gewährleisten. Beim Perimetermodell geht es, vereinfacht gesagt, darum, dass man eine IT-Umgebung mit einer Schutzzone umgibt. Haben Angreifer diese aber erst einmal überwunden und befinden sich innerhalb des digitalen Schutzwalls, haben sie anschliessend mehr oder weniger freien Zugang zu sämtlichen Daten und Programmen im Netzwerk. Angesichts der zunehmenden Verbreitung der Cloud sowie Software-as-a-Service-Lösungen verteilt sich der Perimeter auf verschiedene IT-Umgebungen und kann nicht mehr zentral gesteuert werden. Die Zero-Trust-Architektur mit ihrer stetigen Autorisierung und partiellen Zugangsgewährung bietet hier ein deutlich höheres Sicherheitspotenzial.
Wie funktioniert Zero Trust in der Praxis genau?
Zero Trust geht davon aus, dass alles unsicher ist. Anstatt einen weitläufigen Perimeter um das gesamte Netzwerk zu errichten, schaffen wir «Mini-Perimeter» um jedes einzelne schützenswerte Objekt im Netzwerk, wobei jede dieser Schutzmassnahmen eine enorme Resilienz aufweist. Sämtliche Objekte und Nutzer:innen im Netzwerk werden individuell authentifiziert und autorisiert. Bei Zero Trust handelt es sich also um eine umfassende Sicherheitsstrategie, welche die Dimensionen Identity Management, Access Management, Endpoint Security, Security Architecture und People Security umfasst.
Die strikte Authentifizierung und Autorisierung sind also Kernmerkmale des Zero-Trust-Ansatzes?
Ganz genau. Es braucht unter anderem Systemlösungen, die jede Anfrage auf Netzwerk- und Applikationsebene prüfen, jede Benutzerin und jeden Benutzer inklusive der verwendeten Geräte und deren Zustand identifizieren und risikobasiert bewerten, bevor Zugriff gewährt wird. Ändert sich der Kontext, etwa, wenn sich eine Person von einem neuen Standort aus einloggen möchte, überprüft das Gesamtsystem automatisch sämtliche kritischen Gesichtspunkte nach einer vordefinierten Richtlinie neu.
Sie haben kürzlich eine «Zero-Trust-Marktstudie» veröffentlicht und hierfür in der DACH-Region eine Befragung von Unternehmen durchgeführt. Wie lauten die Kernergebnisse?
Richtig, wir haben zusammen mit der HWZ und Cato Networks eine Umfrage im DACH-Raum durchgeführt, bei der rund 250 Unternehmen verschiedenster Branchen und Grössen mitgemacht haben. Uns interessierte dabei primär, wo diese Unternehmen auf dem Weg zu einer Zero-Trust-Architektur stehen und welche Massnahmen sie bereits umgesetzt haben. Die Ergebnisse zeigen, dass viele Firmen zwar den Bedarf erkennen und bereits erste Schritte eingeleitet haben – doch die Erhebung machte auch klar, dass es noch viel zu tun gibt, insbesondere bei der Problematik der verteilten Identitäten oder auch bei People Security.
Was würden Sie dementsprechend Unternehmen empfehlen, die den Zero-Trust-Ansatz implementieren möchten?
Zunächst ist es wichtig zu verstehen, dass die Umsetzung von Zero Trust eine Reise ist. Es handelt sich nicht um ein Projekt, bei dem man einfach mal ein System einführt und damit das Thema erschlägt. Gemäss unserer Einschätzung gibt es auch keinen Technologieanbieter, der sämtliche Aspekte abdeckt. Wir empfehlen deshalb eine ganzheitliche Herangehensweise, welche auf der individuellen Situation eines Unternehmens aufbaut und die passenden Schwerpunkte bezüglich Zero-Trust-Komponenten setzt.
Eine schrittweise Implementierung berücksichtigt dann diejenigen Technologien, welche individuell am besten zur Situation und den Schwerpunkten passen. Dadurch bleibt das strategische Vorhaben übersichtlich, es können Zwischenerfolge gefeiert und Veränderungen auf dem Weg mitberücksichtigt werden.
Und wo können Sie als United Security Providers dabei unterstützen?
Da muss ich kurz ausholen. Seit 30 Jahren sind wir spezialisiert unterwegs im Kontext IT-Security. Als Consulting-Boutique, als Entwickler von Swiss-Made-Security-Software, als Systemintegrator und auch als Betreiber weltweit verteilter IT-Security-Infrastrukturen. Ausserdem vereinen wir fundiertes Know-how in den Disziplinen Netzwerk- und Applikationssicherheit unter einem Dach, was einmalig ist. Beim Thema Zero Trust kommen alle diese Aspekte zusammen und müssen ganzheitlich eingesetzt werden.
Vor diesem Hintergrund erwarten unsere Kunden deshalb von uns, dass wir sie auf dem Weg zu einer Zero-Trust-Architektur umsichtig begleiten und in allen Phasen Mehrwert bieten – egal, von welchem Startpunkt aus die Reise losgeht. Unser Anspruch besteht darin, Fehlinvestitionen zu vermeiden und die Transformation schrittweise und erfolgreich zu bewältigen. Und wir glauben fest daran, dass der Zero-Trust-Ansatz für Unternehmen jeder Grösse und Branche von entscheidender Bedeutung und auch bewältigbar ist.
Weitere Informationen unter www.united-security-providers.ch
Schreibe einen Kommentar