Passwort vergessen?

Ihre Vorteile!

Als angemeldeter Benutzer erhalten Sie nicht nur Zugriff auf exklusive Inhalte und Videos, sondern können außerdem die neuen Wotan Dashboards mit verschiedenen Konfigurationen LIVE testen.

Datenschutz ist uns ein wichtiges Anliegen. Mehr Informationen finden Sie auf unserer Datenschutzseite.

Noch nicht registriert?

Newsletter

Vertrauen war gestern: Zero Trust definiert die Spielregeln neu

Im Zeitalter digitaler Transformation und zunehmender Cyberbedrohungen stellt das Zero-Trust-Modell eine paradigmatische Wende in der IT-Sicherheit dar. Dieses Konzept basiert auf dem Prinzip des universellen Misstrauens - "Vertraue niemals, überprüfe immer" - und markiert eine signifikante Abkehr von traditionellen Sicherheitsansätzen, die auf dem Vertrauen in einmal verifizierte Identitäten basierten.

Zero Trust? Null Vertrauen? Was ist darunter zu verstehen?

Zero Trust, auf Deutsch "Sicherheit auf Basis des Misstrauens", ist ein Sicherheitskonzept, das davon ausgeht, dass Bedrohungen sowohl von außen als auch von innen kommen können. Daher sollte standardmäßig niemandem innerhalb oder außerhalb des Netzwerks vertraut werden. Dieses Modell implementiert strenge Zugriffskontrollen und überprüft kontinuierlich alle Anfragen, unabhängig von ihrem Ursprung. Kernprinzipien von Zero Trust beinhalten die Einschränkung des Nutzerzugangs, die Segmentierung des Netzwerks in abgeschlossene Bereiche, um die Angriffsfläche zu minimieren, und das Prinzip, standardmäßig niemandem zu vertrauen, selbst denjenigen nicht, die sich bereits im Netzwerk befinden. Durch adaptive, kontextabhängige Sicherheitsmaßnahmen und die fortlaufende Überprüfung von Risiken und Vertrauen hilft Zero Trust, Datenlecks zu verhindern und stellt eine Antwort auf die komplexen Sicherheitsherausforderungen der modernen IT-Landschaft dar (Wikipedia, 2023; PWC, n.d.; BSI, 2024, Onlinesicherheit.gv, n.d.).

Das Positionspapier des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Jahr 2023 legt einen ganzheitlichen Ansatz zur Implementierung des Zero Trust-Architekturdesigns in IT-Infrastrukturen dar, um die Sicherheit von Daten und Geschäftsprozessen zu erhöhen.

Key Takeaways des Positionspapiers "Zero Trust" der BSI, 2023:

  • Zero Trust ist ein Sicherheitsansatz, der auf dem "Least Privilege"-Prinzip basiert und auf die Integrität und Vertraulichkeit von Daten abzielt, nicht primär auf deren Verfügbarkeit.

  • Die Umsetzung von Zero Trust erfordert eine strukturierte, ressourcenintensive Vorgehensweise und die Einbindung verschiedener Organisationseinheiten.

  • Für die Implementierung sind eine detaillierte Bestandsaufnahme, Identifizierung von Prozessen und Ressourcen sowie Anpassungen in Technik und Prozessen notwendig.

  • Es werden verschiedene Reifegrade der Implementierung (klassisch, fortschrittlich, ideal) und fünf Integrationsmodellsäulen (Identität, Gerät, Netz, Anwendung, Daten) betrachtet.

  • Einheitliche Standards und Produktfunktionalitäten fehlen derzeit, was die Interoperabilität und Umsetzung von Zero Trust erschwert.

  • Organisationsübergreifende Zusammenarbeit und Architekturen erfordern ein hohes Maß an Koordinierung und Standardisierung.

  • Langfristig wird das BSI eine Marktsichtung zur Analyse von Zero Trust-Produktfunktionen durchführen und IT-Grundschutz-Anforderungen aktualisieren.

Einführung von Zero Trust zum Schutz der IT-Infrastruktur

Für IT-Abteilungen stellt die Implementierung von Zero Trust eine umfassende Strategie dar, die eine sorgfältige Planung und Anpassung der vorhandenen Infrastruktur erfordert. Dazu gehört...

... die Einführung strenger Zugriffsrechte,

... die Segmentierung von Netzwerken und die

... kontinuierliche Überwachung aller Netzwerkaktivitäten, um ungewöhnliches Verhalten schnell zu identifizieren.

Kritik am Zero-Trust Ansatz

Obwohl der Zero-Trust-Ansatz zahlreiche Vorteile für die IT-Sicherheit bietet, sind mit seiner Implementierung auch spezifische Nachteile und Risiken verbunden (BSI, 2024; Staudacher, 2022):

  • Hoher Initialaufwand: Die Umstellung auf ein Zero-Trust-Modell kann für Organisationen einen erheblichen initialen Aufwand bedeuten, insbesondere in Bezug auf die Neugestaltung der Netzwerkarchitektur und der Sicherheitsstrategien.

  • Komplexität in der Verwaltung: Die Notwendigkeit, fortwährend Zugriffsrechte zu überprüfen und anzupassen, kann die Komplexität der Verwaltung erhöhen und erfordert fortgeschrittene technologische Lösungen sowie spezialisiertes Know-how.

  • Mögliche Performance-Einbußen: Die strikte Überprüfung jeder Anfrage kann zu einer Belastung der Systemressourcen führen und potenziell die Performance beeinträchtigen.

  • Widerstand bei der Einführung: Aufgrund der strikten Kontrollen und Überwachungen könnte es innerhalb der Organisation Widerstände gegen die Einführung von Zero Trust geben, insbesondere wenn die Nutzer Anpassungen als zu restriktiv empfinden.

  • Fehlinterpretationen und Missverständnisse: Da Zero Trust ein relativ neues Konzept ist, können Missverständnisse hinsichtlich seiner Anwendung und Wirksamkeit auftreten, was zu suboptimalen Implementierungen führen kann.

Philipp Ghirardini, Geschäftsführung
Die Zero Trust Implementierung ist ressourcenintensiv und erfordert Umdenken, bietet jedoch erhebliche Vorteile in Bezug auf Sicherheit, Compliance und Flexibilität.
Philipp Ghirardini, Geschäftsführung, WOTAN Monitoring / GH-Informatik GmbH

Quellen und weitere Infos:

  • Das Zero-Trust-Modell als Lösung für IT-Sicherheit in Unternehmen. (n.d.). https://www.onlinesicherheit.gv.at/Services/News/Das-Zero-Trust-Modell-als-Loesung-fuer-IT-Sicherheit-in-Unternehmen.html
  • Positionspapier Zero Trust 2023. (2023). https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeLeitlinien/Zero-Trust/Zero-Trust_04072023.pdf?__blob=publicationFile&v=4
  • Publisher. (n.d.). Zero trust. Bundesamt Für Sicherheit in Der Informationstechnik. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Zero-Trust/zero-trust.html
  • Staudacher, M. (2022, June 23). Darum setzen CISOs auf Zero Trust. https://www.csoonline.com/de/a/darum-setzen-cisos-auf-zero-trust. https://www.csoonline.com/de/a/darum-setzen-cisos-auf-zero-trust,3673965
  • PWC. (n.d.). Zero Trust-Architektur. In pwc.at. https://www.pwc.at/de/dienstleistungen/Cyber/broschuere_zero_trust.pdf
  • Wikipedia-Autoren. (2023, September 9). Zero trust security. https://de.wikipedia.org/wiki/Zero_Trust_Security
Gratis Abo

Wissen teilen, Erfolg vermehren

Die Digitalisierung zeigt sich in vielen Facetten. In unserem Blog behandeln wir sämtliche Themen, die die Arbeit in der IT beeinflussen.