1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Zero Trust Security: Blindes Vertrauen? Fehlanzeige!

Zero Trust Security: Blindes Vertrauen? Fehlanzeige!

Security

Veröffentlicht 15.09.2022 09:50, Dagmar Finlayson

Von dem Begriff „Zero Trust“ haben viele sicher schon mal etwas gehört. Aber was genau verstehen wir eigentlich darunter? Zero Trust Security ist ein Modell, bei dem jede Person und jedes Gerät – innerhalb oder außerhalb des Unternehmens – als nicht vertrauenswürdig eingestuft wird und autorisiert, authentifiziert und fortlaufend validiert werden muss, um Zugang zu bestimmten Ressourcen in einem Netzwerk zu erhalten.

Und das ist ein ebenso moderner wie wichtiger Ansatz. Denn herkömmliche Sicherheitskonzepte gehen davon aus, dass man Personen und Systemen, die sich bereits im Netzwerk eines Unternehmens befinden, vertrauen kann. Man geht davon aus, dass Schutzmaßnahmen am Perimeter, wie z. B. eine Firewall, wirksam genug sind, um unerwünschte oder nicht autorisierte Personen oder Geräte vom Netzwerk fernzuhalten. Dieser „klassischen“ und veralteten Einstellung widerspricht Zero Trust.

Die Technologien hinter Zero Trust

Lassen Sie uns kurz in einigen Stichpunkten auf die Technologien eingehen, denen sich Zero Trust bedient, um das ganze Konzept besser zu verstehen.
Da ist z. B. das Privilege Access Management (PAM), das für jeden Benutzer oder jede Einrichtung die geringstmöglichen Zugriffsrechte festlegt.

Die Multifaktor-Authentifizierung (MFA) stützt sich auf zwei oder mehr Möglichkeiten, um die Identität des Benutzers oder der Einrichtung zu überprüfen.

Die sogenannte Mikrosegmentierung schafft kleine Zonen im Netzwerk, um einen separaten Zugriff auf Anwendungen oder Teile des Netzwerks zu gewährleisten.

Network Detection and Response, kurz NDR-Lösungen, ermöglichen sowohl die erfolgreiche Migration zu einer Zero-Trust-Architektur als auch die laufende Überwachung.

Überwachungs-, Erkennungs- und Reaktionsfunktionen für Endgeräte können dazu beitragen, die Sicherheitslage eines Zugangsgeräts zu gewährleisten.

Und nicht zuletzt sind Schwachstellenmanagement und Patching unerlässlich, um Sicherheitsverletzungen durch Systemschwachstellen zu verhindern.

Welche Vor- und Nachteile bieten Zero Trust?

Wie jedes Konzept bietet Zero Trust sowohl Vor- als auch Nachteile für Benutzer. Beginnen wir mit den wichtigsten Vorteilen: Das Vertrauen, das eine Entität in ein Netz hat, ist sehr eng definiert und beschränkt sie auf die Dienste, zu deren Zugriff sie berechtigt ist. Es gibt keine Möglichkeit, auf andere Ressourcen im Netzwerk zuzugreifen, da andere Ressourcen für die Entität nicht einmal sichtbar sind. Zudem kann dieser Ansatz das Schadenspotenzial bei einem Angriff einschränken, jedoch hilft es nicht per se gegen Angriffe, wie z.B. Phishing. Hier sind vor allem der Mensch und die Security Awareness aller Mitarbeiter gefragt.
Ein großer Nachteil von Zero Trust ist offensichtlich: Es ist komplex und kostspielig. Der Prozess kann eine komplette Neugestaltung und Neukodierung der gesamten Infrastruktur erfordern. Dabei unterstützen Legacy-Anwendungen und -Infrastrukturen die für Zero Trust erforderlichen Technologien möglicherweise gar nicht.
 
Fazit zum Konzept Zero Trust

Die Konzepte, die Zero Trust zugrunde liegen, klingen einfach, aber bei der Planung und Umsetzung ist es wichtig, auch die Herausforderungen der praktischen Umsetzung zu berücksichtigen.
Zukunftsbetrachtet bietet Zero Trust jedoch ein hohes Sicherheitspotenzial und könnte trotz genannter Schwierigkeiten in der Umsetzung der neue Standard für ein sichereres Arbeitsumfeld werden.


Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA
Von den Standorten Köln und Wien aus ist die TÜV TRUST IT Ihr unabhängiger Partner für Beratungs- und Zertifizierungsleistungen rund um die Themen Informationssicherheit und Datenschutz. Unsere Mission: Wir unterstützen Unternehmen beim Schutz ihrer Informationswerte – und bieten unseren Kunden qualitativ hochwertigste Leistungen, ausgeführt durch erfahrene Experten und Auditoren. Die Kompetenzen der TÜV TRUST IT wurden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Zertifizierung zum IT-Sicherheitsdienstleister für die Geltungsbereiche IS-Revision, IS-Beratung und die Durchführung von Penetrationstests bestätigt.
www.it-tuv.com de.tuvaustria.com


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser
IT-Sicherheit & Kritis
Video

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz
IT-Sicherheit & Kritis
Studie

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen
IT-Sicherheit & Kritis
"Gegenstand der Informationstechnologie"

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht
IT-Sicherheit & Kritis
DOS

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen
IT-Sicherheit & Kritis
2FA

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen

Cyberagentur vergibt Vorstudie nach Berlin
IT-Sicherheit & Kritis
Studie

Cyberagentur vergibt Vorstudie nach Berlin

Lesen Sie hier die neuesten Beiträge

Warehouse-Management im Krankenhaus
IT-Management
KIS

Warehouse-Management im Krankenhaus

Neue Studie beleuchtet Einstellungen zur elektronischen Patientenakte und zur Datenspende für die Forschung
Digitalisierung
ePA

Neue Studie beleuchtet Einstellungen zur elektronischen Patientenakte und zur Datenspende für die Forschung

DigitalRadar Krankenhaus - Evaluation des Reifegrades zweite Runde
Digitalisierung
Radar

DigitalRadar Krankenhaus - Evaluation des Reifegrades zweite Runde

Diese Webseite verwendet Cookies.   Mehr Info.      oder