Beratung vereinbaren Einloggen

Das versteht man unter Zero Trust

Zero Trust Security ist in der modernen vernetzten Welt unerlässlich, um sich vor Hackern, Phishing-Angriffen und abgegriffenen Daten zu schützen. Doch was genau ist Zero Trust?

Eine grüne Illustration mit Smartphone und Icons, die das Thema Zero Trust erklärt

Zero Trust ist ein Konzept, das sich im Kern auf einen Appell reduzieren lässt: Vertraue nichts und niemandem.

Sie errichten eine Zero-Trust-Architektur, indem Sie eine Mischung aus den richtigen Technologien, Prozessen und auch Schulungen anwenden. Welche das sein können, verraten wir hier.

Sicherheit durch Misstrauen

Zero Trust ist kein neues Protokoll. Es ist auch kein neues Produkt. Sie können es nicht im Handel kaufen. Zero Trust ist auch keine neue Art von Virenscanner, den man einfach installiert und der einen fortan vor Angriffen schützt. Vielmehr handelt es sich um eine grundlegende Herangehensweise.

Jeder User und jedes Endgerät muss sich authentifizieren, erhält dann die notwendigen Rechte und wird ständig unter sicherheitsrelevanten Aspekten bewertet. Und das nicht nur beim Login, sondern auch ständig danach. Damit reagiert Zero Trust auf die Cybersecurity-Risiken der modernen Zeit.

 

Früher war alles … anders

Die Art und Weise, wie wir heute Vernetzung erleben, hat sich grundlegend verändert. Ein einfaches Firmennetzwerk besteht zwar nach wie vor aus Endgeräten wie PCs mit individuellen Anwendungen, Servern, Routern und Netzwerkverbindungen.

Alles sicher verwaltet mit entsprechenden Identitäts- und Verwaltungsdiensten wie etwa Group Policy Object (GPO, Gruppenrichtlinienobjekt) oder Active Directory (AD, der Verzeichnisdienst von Microsoft Windows Server). Eine Firewall überwacht den entsprechenden Datenstrom. Allerdings ist dieser Aufbau heutzutage nicht mehr der sicherste.

Mitarbeiterinnen und Mitarbeiter befinden sich schließlich auch außerhalb eines sicheren Netzwerkes. Sie arbeiten aus dem Homeoffice oder von unterwegs, während sie mit dem Zug zu einem Geschäftstermin fahren. Dabei nutzen sie möglicherweise nicht ausschließlich firmeneigene Endgeräte, sondern z. B. auch ihr privates Smartphone.

Darüber hinaus verwenden viele Unternehmen Cloud-Dienste. Die vielseitigen Angebote der Tech-Unternehmen sind einerseits für die Nutzerinnen und Nutzer ortsunabhängig abrufbar und andererseits in das Unternehmensnetzwerk eingebunden.

Daraus ergeben sich die folgenden drei Herausforderungen:

  1. User benötigen Zugang zu den für sie wichtigen Ressourcen und müssen gleichzeitig über eine sichere Verbindung verfügen.

  2. Die IT muss sicherstellen, dass die Teams und ihre Endgeräte auch tatsächlich diejenigen sind, für die sie sich ausgeben.

  3. Die Endgeräte müssen frei von Schadsoftware sein und sicher genug, um Zugriff auf die Unternehmensressourcen zu erhalten.

Die drei Prinzipien von Zero Trust

Zero Trust Security begegnet diesen Herausforderungen, indem das Konzept keinem Netzwerkteilnehmer vertraut. Im Englischen fasst man treffend zusammen: Never trust, always verify. Dabei ist es irrelevant, wo sich die Beschäftigten mit ihren Devices aufhalten, ob sie im Café sitzen und ihre E-Mails abrufen oder de facto vor Ort im Unternehmen sind.

Das Vertrauen muss regelmäßig unter Beweis gestellt werden. Bevor ein Endgerät also Zugriff auf das Firmennetzwerk erhält, muss es sich gegenüber dem Server ausweisen. Das kann beispielsweise durch eine Anmeldung mit einer Multifaktor-Authentifizierung geschehen. Ein weiteres Kriterium kann die Endpoint Security sein. Der Server prüft, ob sie korrekt installiert ist. Darüber hinaus kann er verifizieren, ob das Betriebssystem auf dem neuesten Stand ist und ob der Zugriff aus dem Aus- oder Inland erfolgt.

 

Erstes Prinzip: Es beginnt mit einem starken Identitäts- und Zugriffsmanagement

Haben sich Benutzerin oder Benutzer einmal erfolgreich verifiziert, erhalten sie keineswegs einen Freifahrtschein über die Datenautobahn des Firmennetzes. Der Server überwacht und prüft die Identität und den Status ständig und gewährt lediglich Zugriff nach strenger Authentifizierung und Autorisierung. Auch während einer Sitzung. Das verhindert, dass Hacker aktive Sitzungen kapern können.

 

Zweites Prinzip: So viel wie nötig, so wenig wie möglich

Neben der Verifizierung spielt ein minimal gestaltetes Berechtigungsmanagement
(Principle of Least Privilege, PoLP) eine entscheidende Rolle: User erhalten nur die Zugriffsrechte, die sie für ihrer Aufgaben benötigen.

Auf keinen Fall mehr, aber auch nicht weniger. Sollte ein Konto trotz allem kompromittiert werden, verringert sich dadurch die Angriffsfläche. Weniger Berechtigungen bedeuten weniger Schaden. Bestes schlechtestes Beispiel: Lokale Benutzer haben häufig permanente Admin-Rechte auf ihrem Computer.

Viele Vorschriften und Standards (z. B. die DSGVO) verlangen sogar die Umsetzung des Prinzips der minimalen Berechtigungen, um Datenschutz und Sicherheit zu gewährleisten.

Schließlich können selbst vertrauenswürdige Benutzer versehentlich oder absichtlich Schaden anrichten. Ein weiterer Vorteil, den besonders Administratoren schätzen: Ein schlankes Berechtigungsmanagement ist übersichtlicher und einfacher zu verwalten.

 

Drittes Prinzip: Wer vom Worst Case ausgeht, kann nicht enttäuscht werden

Gehen wir davon aus, dass das gesamte Firmennetzwerk bereits kompromittiert und zu einem willenlosen Botnetz verwandelt wurde. Was wie ein Scherz klingt, ist ein weiteres Prinzip von Zero Trust. Mit der gedanklichen Herangehensweise, dass der Worst Case eingetreten ist oder unweigerlich irgendwann eintreten wird, können IT-Verantwortliche sich besser auf genau diesen Fall vorbereiten.

Das gelingt Ihnen, wenn Sie Ihre Netze in kleinere, voneinander isolierte Segmente unterteilen. Das reguliert den Datenverkehr, begrenzt die mögliche Angriffsfläche und erleichtert das Monitoring.

 

Warum ist Zero Trust besser als ein VPN?

Ob Sie weiter Ihr Firmennetzwerk über ein virtuelles privates Netzwerk (VPN) erreichen oder auf Zero Trust umstellen, hängt von einigen Faktoren ab. Wie eingangs erwähnt, ist Zero Trust kein Produkt wie ein VPN, das man kauft und implementiert. Die Einführung von Zero Trust Security erfordert eine umfassende Planung, Integration und Schulung. VPNs hingegen sind weit verbreitet und relativ einfach einzurichten, insbesondere für Remote-Zugriffe.

Wenn ein Virtual Private Network jedoch erst einmal kompromittiert ist, kann ein Angreifer Zugriff auf das gesamte Netzwerk erlangen. Oft reicht hier ein abgegriffener Nutzername samt Passwort und Hacker erhalten Zugriffe links und rechts. In einer Zero-Trust-Architektur existiert kein Vertrauen gegenüber Usern und Endgeräten. Das Risiko von lateralen Bewegungen und Datenlecks ist daher deutlich reduziert.

Eine Illustration eines Türstehers, der die Zero-Trust-Architektur behütet
Vorschaubild auf das Zero Trust White Paper von BUCS IT
Möchten Sie noch mehr erfahren?

In diesem White Paper finden Sie eine ausführliche Erklärung von Zero Trust. Es erläutert die Herangehensweisen für alle relevanten IT-Bereiche und enthält praktische Checklisten.

Jetzt White Paper herunterladen
10.04.2025
Blogautor Markus Fasse
Markus Fasse
IT-Redakteur
Zum Autorenprofil

Unser Newsletter direkt in Ihr Postfach

Illustration des BUCS IT Newsletters