Die klassische Sicherheitsarchitektur eines EDV-Netzwerks war früher die Strategie, die virtuellen Mauern (zum Beispiel Firewalls, aber auch verschlüsselte VPN-Verbindungen zwischen Endgeräten und der Datenzentrale) so stark auszulegen, dass Eindringlinge von außen erst gar nicht in die EDV-Infrastruktur eindringen können. Ein Heise-Beitrag veranschaulicht das am Beispiel einer mittelalterlichen Burg, die von einem tiefen Wassergraben umgeben und damit gegen Eindringlinge sicher sein sollte. Würde der Burgherr (oder in diesem Fall der Systemverantwortliche) aber das Zero-Trust-Prinzip verfolgen, so ginge er davon aus, dass Feinde bereits unerkannt im Inneren seiner Burg sind, weil sie doch ein Schlupfloch gefunden haben, dass man noch nicht im Blick hatte.
In die IT-Welt übersetzt könnte dies an einem sogenannten Zero Day passiert sein: Zwar spielen etablierte und verantwortungsbewusste Software-Hersteller regelmäßige Sicherheitsupdates auf, um Nutzenden von IT-Geräten und EDV-Netzwerken Angreifer und Schädlinge vom Hals zu halten. Doch es gibt eine Zeitspanne bis zum Sicherheits-Update, in der sie eine mögliche Bedrohung durch Hacker noch nicht erkannt haben. Das könnte das angesprochene Schlupfloch sein, das ein Cyber-Angreifer vor dem Security Update bereits genutzt hat. So könnte er bereits in ein IT-Netzwerk – oder, um im Bild zu bleiben, in den Rittersaal einer Burg – eingedrungen sein. Er hat sich dann den Zero Day zunutze gemacht. Fachleute sprechen dann von einem „Zero-Day-Exploit“.
100-prozentige Sicherheit gibt es in der IT-Administration nicht! Vergrößert haben sich die Cyber-Risiken nicht zuletzt durch eine wachsende Zahl vernetzt tätiger Nutzender im Homeoffice. Deshalb gibt es die Zero Trust-Architektur in der IT-Administration.
Den Begriff „Zero Trust“ prägte Stephen Paul Marsh 1994 in seiner Doktorarbeit über Computersicherheit an der Universität Stirling.
Ein wichtiges Element von Zero Trust ist das „Least-Privilege-Prinzip“. Jedes Benutzerkonto, jedes Gerät und jeder Prozess beziehungsweise jeder Workload erhält nur die Berechtigungen, die zur Erfüllung der Funktion in einem Unternehmensnetzwerk unbedingt notwendig sind. So erhält beispielsweise ein Backup-Server nur die für Datensicherungen notwendige Software und nichts darüber hinaus. Auch Berechtigungen von Nutzenden im EDV-Netzwerk sind auf das beschränkt, was sie zur Erfüllung ihrer Aufgaben unbedingt brauchen.
Viele Angriffe auf Systemlandschaften beziehungsweise Unternehmensnetzwerke erfolgen durch Insider. Das Ponemon Institute registrierte hier in den vergangenen zwei Jahren einen Anstieg um 44 Prozent. Mikrosegmentierung in Rechenzentren verringert die Angriffsfläche. Das verhindert, dass sich beispielsweise eingeschleppte Malware über eine von mehreren Sicherheitszonen ausbreiten kann. Mehr.
Statt allen Geräten und Nutzenden im Unternehmensnetzwerk „blind“ zu vertrauen, werden diese in einer Zero Trust Architektur (ZTA) ständig überwacht. Ausschließlich autorisierte Geräte dürfen ins Netzwerk. Nutzeridentitäten werden ständig überprüft. Verfolgt werden auch alle Zugriffe Nutzender und von Geräten. Zugriffsberechtigungen werden in Echtzeit aktuell gehalten. Verdächtige Aktivitäten und sicherheitsrelevante Vorfälle werden den Systemverantwortlichen über eine „Security Information and Event Management“-Plattform (SIEM) automatisch gemeldet.
Sie interessieren sich angesichts wachsender Cyber-Bedrohungen und auch staatlich gelenkter Hacker-Attacken für eine Zero Trust-Sicherheitsarchitektur (ZTA)? Sprechen Sie mit den Systemadministratoren des langjährig erfahrenen Systemhauses reinheimer systemloesungen in Darmstadt. Wir kümmern uns seit mehr als zwei Jahrzehnten um EDV-Infrastrukturen und die IT-Security im unternehmerischen Mittelstand, in Arztpraxen sowie in Vereinen und NGOs.
Über Zero Trust hinaus befassen wir uns mit allen weiteren Themen der IT-Security. Wir spüren durch Penetrationstests EDV-Sicherheitslücken auf, spielen Sicherheits-Updates auf und sind bei Problemen innerhalb vereinbarter Rufbereitschaften rechtzeitig als Helpdesk verfügbar. Eine grundlegende IT-Infrastrukturanalyse kann Hinweise darauf bringen, wie mehr EDV-Sicherheit und Produktivität erreicht werden können. Wir erstellen auf Wunsch einen IT-Notfallplan für Ihr Organisations- oder Unternehmensnetzwerk und unterstützen Sie mit sichere Back-Up-Lösungen. So sorgen wir für ein Optimum an IT-Sicherheit für Ihre Daten und EDV-Prozesse.
Wir arbeiten in der Region Frankfurt – Darmstadt – Wiesbaden. Beispielhafte Orte unseres Operationsgebietes sind Groß-Bieberau, Höchst im Odenwald, Bad Vilbel, Rüsselsheim am Main, Bensheim, Hochheim am Main, Offenbach am Main, Bad Schwalbach, Geisenheim.
Heise über Zero Day und Zero Trust