InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Zero Trust ist ein modernes Security-Modell. Der Einstieg erfordert allerdings ein Umdenken und den Abschied von manchen liebgewonnenen Konzepten – so auch von jenem der Perimeter-fokussierten Sicherheit. Grund genug, einen Blick darauf zu werfen und zu klären, warum Unternehmen sich zeitnah mit der Umsetzung einer Zero-Trust-Philosophie beschäftigen sollten. In diesem und weiteren Blogbeiträgen in diesem Jahr nehmen wir Sie mit auf die Reise in die Welt von Zero Trust!
Die steigende Beliebtheit von Cloud- und Edge-Computing in Verbindung hybriden Arbeitsmodellen erfordert ein Umdenken in der Cyber-Sicherheit. Der traditionelle Ansatz mit definierten Sicherheitsgrenzen, die zwischen «vertrauenswürdiger» von «nicht vertrauenswürdiger» Kommunikation unterscheiden, ist nicht mehr ausreichend. Immer mehr Mitarbeitende arbeiten heute remote und sind somit ausserhalb der bisherigen «Büro-Schutzmauern» und Perimeter tätig. Zudem benötigen zusätzlich zur Stammbelegschaft oft auch mobile Personen, hybrid arbeitende Angestellte und Partner in Drittunternehmen Zugriff auf geschäftlich genutzte Anwendungen und Daten. Zusätzlich nimmt die Nutzung von BYOD und Cloud-Diensten zu, was dazu führt, das grosse Teile des Datenverkehrs des Unternehmens nicht mehr durch Perimeter-basierte Sicherheit geschützt sind. Eine zeitgemässe Cyber-Sicherheit erfordert daher höhere Geschwindigkeit und Flexibilität, um den Cyber-Kriminellen immer einen Schritt voraus zu sein. Dadurch wird die Widerstandsfähigkeit erhöht und die volle Einsatzfähigkeit schnell wiederhergestellt werden.
2022 Das grösste Problem mit Perimeter-basierter Sicherheit ist, dass sie statisch ist. Im Laufe der Jahre sind Anwendungen, Geräte und Benutzer über die traditionellen Unternehmensgrenzen hinausgewachsen und sind daher architektonisch nicht mehr vertrauenswürdig. Der grundlegende Mangel der Perimeter-basierten Sicherheit ist, dass allen, die von innerhalb des sicheren Perimeters auf Ressourcen zugreifen, vertraut wird – eine überholte Annahme, da es viele interne sowie externe Bedrohungen gibt, wie die verschiedenen Arten von böswilligen und fahrlässigen Insider-Bedrohungen zeigen. Um hier Abhilfe zu schaffen, sollten Unternehmen das Zero-Trust-Modell nutzen.
Die Verifizierung von Identität, Geräte, Netzwerke, Anwendungen und Workloads sowie Daten muss zum neuen Security-Perimeter werden. Auf diesen Säulen basiert das Zero-Trust-Modell, welches den Grundgedanken verfolgt, niemandem zu vertrauen, solange dessen Vertrauenswürdigkeit (Identität, Geräte, Netzwerke und Anwendungen) im Kontext (Anwendungen, Workload sowie Daten) nicht verifiziert wurde. Zero Trust stellt somit alle Benutzer, Geräte, Anwendungen und Kommunikationen auf die gleiche Sicherheitsbasis und stuft diese ausdrücklich als nicht vertrauenswürdig ein, bis sie verifiziert sind. Diese Überprüfung wird kontinuierlich durchgeführt, wodurch die Vertrauenswürdigkeit also auch zeitlich limitiert ist. Das Sicherheitsmodell nutzt zudem das Prinzip der geringsten Privilegien (PoLP), um zu begrenzen, worauf ein Benutzer oder Gerät Zugriff erlangen kann.
Damit schützt ein Zero-Trust-Framework vertrauliche Unternehmensdaten, egal ob die Gefahr von innen oder aussen kommt. Ob Ransomware von extern eingeschleust wird, Mitarbeitende im Home Office arbeiten, Probleme in der Supply Chain auftreten oder ob Partnerunternehmen Sicherheitslücken aufweisen – Zero Trust sorgt für eine sichere Datenverarbeitung. Die Einführung des Konzepts erfordert allerdings ein Umdenken, um die IT und die Unternehmensdaten auch in Zukunft effektiv zu sichern.
Durch kontinuierliche Kontrollen erhalten Unternehmen präzise, fein justierbare Werkzeuge, um die vier strategischen Geschäftsbereiche zu schützen.
Das Zero-Trust-Modell hilft Unternehmen beim Aufbau eines effektiven und adaptiven Sicherheitsmodells, das insbesondere den komplexen Anforderungen des heutigen hybriden Arbeitens gerecht wird. Falls Sie noch keine Strategie zur Umsetzung von Zero Trust haben, empfehlen wir Ihnen, jetzt eine zu entwickeln und eine entsprechende strategische Roadmap zu erstellen. Der Weg zu Zero Trust ist ein schrittweiser Prozess, dessen Umsetzung Jahre dauern kann.
Die Strategie sollte ein Zero-Trust-Cyber-Sicherheits-Framework sein, das folgende Dimensionen umfasst: Identitäten, Geräte, Applikationen und Workloads, Daten, Netzwerk und Architektur, Governance, Automatisierung und Orchestrierung sowie Visibilität- und Analytics-Fähigkeiten. Nutzen Sie dabei die Erfahrung und Kompetenz von Experten wie InfoGuard!
Wir unterstützen Sie bei der Entwicklung Ihrer Zero-Trust-Strategie, der entsprechenden Architektur, der Auswahl und Konfiguration geeigneter Sicherheitslösungen sowie dem Betrieb und der Überwachung Ihrer Infrastruktur rund um die Uhr.
Kontaktieren Sie uns – wir begleiten Sie gerne auf Ihrer Zero-Trust-Reise!
Die Integration eines Zero-Trust-Modells in die aktuelle IT-Umgebung erfordert Zeit und Aufwand. Allerdings können positive Effekte erzielt werden, die weit über traditionelle Netzwerkperimeter hinausgehen und jeglichen Aspekt der Absicherung eines Unternehmens sehr effektiv abdecken können.
Zero Trust ist auch nicht mit einer einzigen Lösung möglich. Es erfordert stattdessen einen umfassenden Ansatz, der das komplexe Zusammenspiel der Bereiche Identität, Geräte, Netzwerke, Anwendungen und Workload sowie Daten berücksichtigt. Wenn dann auch noch ein Einstieg in Security Service Edge (SSE) und die Nutzung mehrerer Cloud-basierter Zero-Trust-Techniken erfolgen soll, nimmt der Zeit- und Ressourcenbedarf weiter zu. In der Planungsphase ist eine hohe Modularität der gewählten Zero Trust-Technik wichtig, um den Herausforderungen der sich ständig weiterentwickelnden Cyber-Gefahren gewachsen zu sein.
Wir empfehlen, mit kleinen Umsetzungen zu beginnen und in überschaubaren Schritten weiter vorgehen. Ein exemplarisches Vorgehen zur Implementierung von Zero Trust könnte folgendermassen aussehen:
Zur Identifizierung der Risiken, allfälliger Schwachstellen in der aktuellen Zero-Trust-Strategie, resp. deren Umsetzung, ist das InfoGuard «Zero Trust Readiness Assessment» genau der richtige Startpunkt! Dabei werden wir Ihnen u.a. aufzeigen, welche Good Practices in Ihrer Zero-Trust-Strategie noch nicht ausreichend definiert oder umgesetzt wurden. Abweichungen werden hinsichtlich ihrer Risikokritikalität bewertet. Auf dieser Grundlage werden priorisierte Handlungsempfehlungen erarbeitet und in Form eines Lösungswegs aufgezeigt. Interessiert? Dann freuen wir uns auf Ihre Anfrage:
Wie Zero-Trust zum Beispiel in der Cyber-Sicherheit, Cloud-, IoT- und OT-Infrastruktur, der Lieferkette oder bei der Entwicklung eingesetzt werden kann, werden wir Ihnen in einigen Wochen in einem weiteren Beitrag erläutern. Verpassen Sie diesen auf keinen Fall und melden Sie sich deshalb gleich für unseren Blog-Update an!