Zero Trust

Was es umfasst und wie es erfolgreich umgesetzt werden kann

Zero Trust als Modell für moderne IT-Sicherheit

Zero Trust ist das zentrale Modell der Cybersecurity. Keine erfolgreiche, moderne Sicherheitsarchitektur kommt ohne es aus. Es fließt deshalb in Sicherheitslösungen für jeden Bereich der IT-Umgebung ein und sollte in allen Unternehmen beachtet werden. Ein kurzer Überblick zu Zero Trust:

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

PGlmcmFtZSB0aXRsZT0iV2FzIGJlZGV1dGV0IFplcm8gVHJ1c3Q/IiB3aWR0aD0iODAwIiBoZWlnaHQ9IjQ1MCIgc3JjPSJodHRwczovL3d3dy55b3V0dWJlLW5vY29va2llLmNvbS9lbWJlZC9UZ3BjUGF5Ymx1dz9mZWF0dXJlPW9lbWJlZCZyZWw9MCZlbmFibGVqc2FwaT0xJm9yaWdpbj1odHRwcyUyNTNBJTI1MkYlMjUyRnd3dy5za2F5bGluay5jb20mY29udHJvbHM9MSIgZnJhbWVib3JkZXI9IjAiIGFsbG93PSJhY2NlbGVyb21ldGVyOyBhdXRvcGxheTsgY2xpcGJvYXJkLXdyaXRlOyBlbmNyeXB0ZWQtbWVkaWE7IGd5cm9zY29wZTsgcGljdHVyZS1pbi1waWN0dXJlOyB3ZWItc2hhcmUiIGFsbG93ZnVsbHNjcmVlbj48L2lmcmFtZT4=

„Vertraue niemandem, verifiziere jeden“

Identitäten, E-Mails, Websites: In der digitalen Welt muss nichts so sein, wie es scheint – und eine Firewall bietet davor keinen ausreichenden Schutz. Deshalb wird nach Zero Trust alles so behandelt, als käme es aus einem offenen Netzwerk. Nichts wird als gegeben genommen, alles wird nochmals überprüft. Hierfür werden drei Schritte genutzt:

Authentifizierung: Kann sich der User als der ausweisen, der er vorgibt zu sein?
Autorisierung: Ist der User berechtigt, auf eine Ressource zuzugreifen?
Verschlüsselung: Sind bzw. werden Daten beim Versenden ausreichend verschlüsselt?

Alle drei Schritte zusammen sind die Grundlage für Zero Trust. Business Intelligence und Analytics helfen dabei, Anomalien im User-Verhalten in Echtzeit zu erkennen und so Angriffe abzuwehren. Für eine gute Sicherheitsarchitektur bedeutet dies:

Fortlaufende Analyse: Alle Datenpunkte sollten durch Authentifizierung und Autorisierung geschützt sein. Das umfasst neben Identitäten, Standorten, Devices auch die Datenklassifizierung, registrierte Anomalien, Services oder Workloads.
Just-in-Time/Just-Enough-Access (JIT/JEA): User sollten nur so viel und so lange Zugriff zu Daten erhalten, wie es für die Erfüllung ihrer Aufgaben notwendig ist. Dieser „least privilege access“ schützt davor, dass zu viele Nutzer*innen Zugriff auch sensible Daten haben.
Mikrosegmentierung: Auch die beste Abwehr kann nicht garantieren, dass Angriffe nicht doch erfolgreich sind. Deshalb müssen diese rechtzeitig erkannt und zügig eingedämmt werden. Mikrosegmentierung bremst Attacken aus, indem es Zugriffe immer nur auf sehr kleine Bereiche erlaubt. End-to-End-Verschlüsselung und Analytics unterstützen hier die rasche Bedrohungsabwehr.

Um Zero Trust erfolgreich umzusetzen, braucht es einen entsprechenden Ansatz für die Bereiche Identitäten, Endpunkte, Apps, Daten, Infrastruktur und Netzwerke. Das bedeutet im Einzelnen:

Identitäten

Die meisten Sicherheitsverletzungen basieren heute auf dem Diebstahl von Zugriffsdaten. Eine klare Authentifizierung der User durch eine Multi-Faktoren-Authentifizierung (MFA), bevor sie auf das Unternehmensnetzwerk zugreifen können, ist heute deshalb unerlässlich. Das Hauptprodukt bei Microsoft ist dafür Azure Active Directory mit Cloud Knox Permissions Management. Damit die Authentifizierung trotzdem nicht die Arbeitsprozesse stört, erlaubt etwa Microsoft Azure Authenticator App, über mehrere Geräte hinweg dem einzelnen User Zugriff auf die für ihn freigegebenen Ressourcen. Dieses Prinzip wird „Single Sing-On“ (SSO) genannt. Ziel ist es, irgendwann das Passwort – eines der größten Sicherheitsrisiken – ganz abzuschaffen.

Endpunkte

Endpunkte sind neuralgische Stellen für die IT-Sicherheit, denn hier bieten sich für Angreifer immer wieder Lücken, um ins System einzudringen. Devices, aber auch User und Anwendungen brauchen deshalb gut geschützte Endpunkte, ohne dass dadurch die Abläufe verzögert oder behindert werden. Microsoft bündelt alle dafür nötigen Funktionen in seinem Endpoint Manager als einheitlicher Verwaltungsplattform.

Apps

Schatten-IT umfasst vor allem eine Vielzahl an Apps, die bei Usern auf verschiedenen Geräten im Einsatz sind. Sie können ein Tor für Attacken darstellen, wenn sie nicht konsequent von der Sicherheitsarchitektur abgedeckt werden. Die Strategie von Microsoft heißt hier Multi-Cloud. Damit ist ein umfassender Schutzschirm, auch für Ressourcen und Anwendungen, die nicht in den Microsoft-Clouds liegen, gemeint. Die Kernlösungen hierfür sind Microsoft Defender for Cloud und Microsoft Defender for Cloud Apps. Ein Überblick zur Defender-Familie findet sich in diesem Blog-Beitrag.

Daten

In jedem Unternehmen fallen viele Daten an – und diese müssen immer besser geschützt werden. Ein datengesteuerter Ansatz mit Business Intelligence ist hier besonders effektiv. Entsprechende Lösungen erlauben es, vorhandene Daten zu klassifizieren und zu kennzeichnen. So können Daten automatisch richtig verschlüsselt und nach Firmenrichtlinien vor unerlaubten Zugriffen geschützt werden. Bei Microsoft deckt die Microsoft Purview-Familie (Information Protection, Datenlebenszyklusverwaltung & Data Loss Prevention) diesen Bereich ab.

Infrastruktur

Bewegen sich Angreifer durch die IT-Infrastruktur, hinterlassen sie Spuren. Moderne Lösungen wie Microsoft Defender for Clouds können diese Spuren, etwa Anomalien, erkennen und Angriffe entdecken. Aber sie gehen noch weiter: Sie erkennen automatisch riskantes Verhalten von Usern und blockieren es, u. a. über das Prinzip „least privilege access“.

Netzwerke

Auch innerhalb des eigenen Netzwerks müssen Geräte und Nutzer*innen geschützt werden, etwa durch eine verschlüsselte interne Kommunikation. Lösungen wie z. B. Azure-Dienste, die hier Richtlinien umsetzen und überwachen, Mikrosegmentierung und eine Bedrohungserkennung in Echtzeit helfen dabei, Eindringlinge im System auszubremsen und so den Schaden zu begrenzen.

Mit Zero Trust werden in der gesamten IT-Umgebung Angriffsflächen strategisch abgebaut und Angreifer schnell erkannt und blockiert. Das Modell ist damit die optimale Antwort auch auf komplexe Attacken. Um Zero Trust im eigenen Unternehmen konsequent umzusetzen, braucht es aber ein klare Planung und einen realistischen Blick auf die eigenen Risiken. Die Skaylink bietet Analysen und Assessments an, um Kunden hier zu helfen, einen Security-Fahrplan zu erstellen. Melden Sie sich gern bei uns zum Thema!

Weitere Informationen zum Thema Zero Trust und Security

Webinar Passwortlose Authenifizierung

Können Unternehmen Passwörter abschaffen? Und wie kann das gelingen?

Security Assessments

Prüfen Sie Ihre Security Posture mit unseren bewährten Assessments.

Starten wir gemeinsam in die Zukunft

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.

Verschlagwortet mitMicrosoft Security

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen Hubspot an dieser Stelle, um die Kontaktformulare zur Verfügung zu stellen.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js-eu1.hsforms.net

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Monate

Akzeptieren	Mouseflow
Name	Mouseflow
Anbieter	Mouseflow ApS, Flaesketorvet 68, 1711 Kopenhagen, Dänemark
Zweck	Die Datenverarbeitung dient dem Zweck der Analyse dieser Website und ihrer Besucher. Dazu werden Daten zu Marketing- und Optimierungszwecken gesammelt und gespeichert. Aus diesen Daten können unter einem Pseudonym Nutzungsprofile erstellt werden. Hierzu können Cookies eingesetzt werden. Bei dem Webanalyse-Tool Mouseflow werden zufällig ausgewählte einzelne Besuche (nur mit anonymisierter IP-Adresse) aufgezeichnet. Hierbei entsteht ein Protokoll der Mausbewegungen und Klicks mit der Absicht einzelne Website-Besuche stichprobenartig abzuspielen und potentielle Verbesserungen für die Website daraus abzuleiten. Die mit Mouseflow erhobenen Daten werden ohne die gesondert erteilte Zustimmung des Betroffenen nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt. Die Verarbeitung erfolgt auf Grundlage des Art. 6 (1) f) DSGVO aus dem berechtigten Interesse an direkter Kundenkommunikation und an der bedarfsgerechten Gestaltung der Website. Sie haben das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese auf Art. 6 (1) f DSGVO beruhende Verarbeitung Sie betreffender personenbezogener Daten zu widersprechen. Dazu können Sie eine Aufzeichnung auf allen Websites, die Mouseflow einsetzen, global für Ihren gerade verwendeten Browser unter folgendem Link deaktivieren: https://mouseflow.de/opt-out/
Datenschutzerklärung	https://mouseflow.com/privacy/
Cookie Name	gtm.ct.mf

Akzeptieren	Google Ads
Name	Google Ads
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google, das für das Conversion-Tracking von Google Ads verwendet wird.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de

Services

Produkte

Branchen

AWS

Microsoft

Private Cloud