WHITE PAPER

Zero Trust: Was verbirgt
sich dahinter?

Ausführliche PDF-Version

Unternehmensnetzwerke nach außen abzuschirmen, galt bisher als wirksamstes Sicherheitskonzept. Dieser perimeterbasierte Ansatz funktioniert jedoch immer weniger. Mitarbeiter arbeiten immer öfter mobil, auch über andere Netzwerke. Hinzu kommen Software-as-a-Service-Anwendungen (SaaS), Cloud-Plattformen und cloudbasierte Services. Es gibt nicht mehr das eine Unternehmensnetzwerk, in dem alle darin eingebundenen Systeme sicher sind.

Hier kommt Zero Trust ins Spiel. Zero Trust fußt auf dem Prinzip: „Nichts und niemandem vertrauen, alles überprüfen“.

Für Zero Trust gibt es nicht den einen Anbieter, das eine Produkt oder die eine Technologie. Vielmehr ist eine Kombination unterschiedlicher Lösungen erforderlich. In diesem Whitepaper werden das Konzept Zero Trust, die Vorteile der Implementierung eines Zero-Trust-Modells und die Schritte erläutert, die Unternehmen zur Umstellung auf Zero Trust ergreifen müssen.

Was ist Zero Trust?

Zero Trust ist eine Security-Philosophie und -Architektur zur Herangehensweise an das Thema IT-Sicherheit in Unternehmen.
Nichts und niemandem darf automatisch vertraut werden, ob innerhalb oder außerhalb des Unternehmensnetzwerks, noch nicht einmal dem Netzwerk selbst. Bedingungsloses Vertrauen auf Basis des Netzwerkstandorts mit statischen Abwehrmechanismen wie einer herkömmlichen Firewall ist zu riskant geworden.

Kein Vertrauen ist aber auch keine Lösung. Mit Zero Trust ist das Vertrauen temporär. Es wird dynamisch aus weit mehr Datenquellen ermittelt als je zuvor und ständig neu bewertet.

Durch unsere tägliche Nutzung des Internets haben wir ständig mit nicht vertrauenswürdigen Netzwerken zu tun. Dies wiederum bedeutet, dass Computer, die mit dem öffentlichen Internet verbunden sind, ganz anders geschützt werden müssen als solche innerhalb traditioneller Netzwerkgrenzen. Zur Abwehr externer Bedrohungen sind zusätzliche Kontrollen und mehrschichtige Schutzmaßnahmen erforderlich.

Beim Zero Trust-Modell werden alle Geräte so eingestuft, als wären sie mit dem Internet verbunden. Statt einer einzigen Netzwerkgrenze gibt es jetzt viele Mikroperimeter (oder Mikrosegmente). Dabei wird der gesamte Netzwerkverkehr umfassend kontrolliert.

Die Vorteile von Zero Trust im Überblick

Die Implementierung eines Zero-Trust-Modells bringt unzählige Vorteile, u. a:

  • Kontrolle über die gesamte IT-Umgebung
    Von Ihrem Büro bis zu den von Ihnen verwendeten Cloud-Plattformen: Sie müssen sich keine Gedanken mehr über einen eventuellen Kontrollverlust außerhalb des Unternehmensnetzwerks machen und können Mitarbeitern außerhalb des Büros genauso einfach Zugriff erteilen wie Mitarbeitern im Büro.

  • Gleichbehandlung aller Anwender
    Wenn Sie nicht mehr zwischen innerhalb und außerhalb des Unternehmensnetzwerks unterscheiden, können Sie alle Anwender auf die gleiche Weise behandeln. Dadurch wird es einfacher, für die notwendige IT-Sicherheit zu sorgen und gleichzeitig sicherzustellen, dass alle Geräte und Anwender gleich behandelt werden.

  • Maximale Sicherheit für Ihre Infrastrukturen
    Durch die Verwendung von Identität, Standort, Integritätsstatus des Geräts, MFA und übergreifender Überwachung und Analyse können Sie stets ein hohes Maß an Sicherheit gewährleisten – unabhängig von Umgebung, Plattform oder Service.

  • Effektiver Schutz gegen Malware und Angreifer
    Mit Zero Trust haben Angreifer nach einem erfolgreichem Eindringen nicht mehr Zugriff auf das gesamte Netzwerk. Sie können stattdessen nur noch auf eine sehr geringe Anzahl von Systemen zugreifen, auf die der kompromittierte Anwender Zugriff hatte. Auch die Vertrauenswürdigkeit von authentifizierten Anwendern wird weiterhin ständig hinterfragt. So schränkt die Überprüfung zwischen den einzelnen Systemen eine unerwünschte Verbreitung weiter ein.

Zero Trust auf den Punkt gebracht

summary-zero-trust

Zero Trust ist ein weitreichendes Konzept, das für jede Menge Gesprächsstoff sorgt. Im Wesentlichen sind es jedoch diese drei Schlüsselaspekte, die Sie bei Ihrem schrittweisen Rollout von Zero Trust berücksichtigen sollten.

Es gibt kein „innerhalb“ des Netzwerks

Stellen Sie sich vor, Sie würden Ihr gesamtes Unternehmen von einem nicht vertrauenswürdigen Standort aus steuern, z. B. über das öffentliche WLAN eines Cafés, und sämtliche Geräte wären direkt mit dem unsichersten Netz aller Netze verbunden: dem öffentlichen Internet. In einer solchen Situation können Sie sich nicht auf die „schützenden Mauern“ einer klassischen Netzwerkgrenze verlassen und müssen Ihr komplettes Sicherheitskonzept überdenken.

Nichts und niemandem vertrauen, alles überprüfen

Gehen Sie davon aus, dass es sowohl innerhalb als auch außerhalb Ihrer Netzwerke Hacker gibt, die immer präsent sind und ständig angreifen. Kein Anwender oder Gerät darf automatisch als vertrauenswürdig eingestuft werden und muss sich authentifizieren, bevor eine Verbindung überhaupt in Betracht gezogen werden kann.

IT-Sicherheit sollte sich in Echtzeit anpassen

Die Sicherheitsrichtlinien, die Sie im Rahmen von Zero Trust einführen, sollten dynamisch sein und sich automatisch anpassen. Die dazu notwendigen Erkenntnisse lassen sich anhand von möglichst vielen Datenquellen und unterschiedlichen Technologien ermitteln. Eine statische Richtlinie schützt Sie nicht, wenn das Gerät kompromittiert wird, während der Anwender dieses nutzt. Wenn Ihre Richtlinie jedoch auch den Integritätsstatus des Geräts berücksichtigt, z. B. die Identifizierung schädlicher Verhaltensweisen, kann entsprechend reagiert werden.

Zero-Trust-Prinzipien

Nichts ist vertrauenswürdig. Niemals. Wenn Sie nichts und niemandem vertrauen, sind Sie gezwungen, überall dort, wo ein Risiko besteht, relevante Sicherheitsmaßnahmen zu ergreifen.

Alles überprüfen: Gehen Sie nicht automatisch davon aus, dass ein Anwender mit Zugangsdaten vertrauenswürdig ist. Es bedeutet lediglich, dass er im Besitz der Zugangsdaten ist. Sie könnten auch gestohlen sein.

Daraus ergeben sich vier einfache Prinzipien, die es zu berücksichtigen gilt:

principles-zero-trust

Immer identifizieren

Sie benötigen eine zentrale autorisierende Identitätsquelle, die Sie in Ihrer gesamten Umgebung mit Single-Sign-On (SSO) verwenden. Alles sollte mittels mehrstufiger Authentifizierung (MFA) überprüft werden. Unabhängig davon, wo sich der Anwender befindet und worauf er zugreifen möchte: Prüfen Sie seine Zugangsdaten, seinen zweiten (oder dritten) Faktor und fordern Sie regelmäßig eine erneute Authentifizierung an.

Immer kontrollieren

Wenden Sie überall dort Kontroll- und Prüfmechanismen an, wo sie benötigt werden, und weisen Sie jeweils nur die Rechte zu, die ein Anwender zur Erledigung seiner Aufgaben benötigt. Wenn es beispielsweise ein Personalsystem gibt, das nur von deutschen Mitarbeitern genutzt wird, dann sollte ausschließlich die deutsche Belegschaft Zugriff haben. Niemand sonst sollte auf das System zugreifen können, auch bei geringem Risikopotenzial.

Immer analysieren

Nur weil eine Authentifizierung erfolgreich war oder dem Anwender oder Gerät Zugriff gewährt wird, lässt dies keine Rückschlüsse auf die Vertrauenswürdigkeit zu. Denn Insider mit böswilligen Absichten oder Cyberkriminelle können sich möglicherweise Zugriff auf gültige Zugangsdaten verschaffen. Zeichnen Sie alle Netzwerk- und Systemaktivitäten auf und analysieren Sie diese regelmäßig, um zu überprüfen, was nach der Authentifizierung geschieht. SIEMs (Security Information and Event Management), EDR (Endpoint Detection and Response) sowie MDR (Managed Detection and Response) wurden für genau diesen Zweck entwickelt.

Immer schützen

Setzen Sie bei der Cybersecurity auf einen „Inside-Out“-Ansatz. Das heißt: Sie nehmen Ihre wichtigen Daten als Ausgangspunkt und identifizieren Schwachstellen entlang der Bewegungen Ihrer Daten im Netzwerk – von der Erstellung bis zur Vernichtung der Daten.

Sobald Sie die Grundprinzipien von Zero Trust verstanden haben, können Sie mit der Umstellung beginnen. Weitere Informationen erhalten Sie in der ausführlichen PDF-Version dieses Whitepapers.

Das Zero-Trust-Technologiepaket

Das Zero-Trust-Modell basiert auf einer Kombination unterschiedlicher Technologien, um alle Ressourcen und Assets im Netzwerk zu schützen. Daher gibt es keine schlüsselfertige Lösung, die alle Probleme auf einen Schlag löst.

Ein wirksames Zero-Trust-Technologiepaket muss vor allem zwei Aufgabenbereiche abdecken: die Verwaltung und Steuerung von Zero Trust sowie die Sicherheit und Kontrolle der verschiedenen Assets und Ressourcen.

Die Verwaltung gliedert sich in drei Teilbereiche:

  1. Automatisierung und Orchestrierung – umfasst die Definition dynamischer Richtlinien, die Koordination der unterschiedlichen Technologien sowie die gesamte Umsetzung

  2. Transparenz und Analyse – ermöglicht, den Überblick über das Netzwerk zu behalten, den störungsfreien Betrieb sicherzustellen sowie Bedrohungen und Eindringlinge zu identifizieren

  3. APIs – sorgen für die Integration verschiedener Technologien und die Übertragung von Daten zwischen Systemen

Ressourcen und Assets gliedern sich in fünf Teilbereiche:

  1. Personen – die Anwender, Administratoren usw., die für Ihr Unternehmen arbeiten oder Ihre Dienste in Anspruch nehmen

  2. Daten – das Lebenselixier aller Unternehmen und vielleicht das schützenswerteste Asset überhaupt

  3. Geräte – die Server, Laptops, virtuellen Maschinen usw., die Sie für Ihren Geschäftsbetrieb verwenden

  4. Workloads – die Services und Anwendungen, die Sie zur Verarbeitung von Daten, zur Durchführung von Berechnungen, zur Berichterstellung usw. verwenden

  5. Netzwerke – die Kommunikationskanäle, über die Daten fließen: Web, E-Mail, WLAN, Internet usw.

Wie Sophos helfen kann

Es gibt nicht den einen Anbieter, der Ihr Unternehmen auf Zero Trust umstellen kann. Sophos hat jedoch ein umfassendes Technologie-Portfolio, das Sie auf dem Weg zu Zero Trust optimal unterstützt.

Verwaltung von Zero Trust

Unsere cloudnative Cybersecurity-Plattform Sophos Central ermöglicht Ihnen, Ihre Zero-Trust-Umgebung zu verwalten. Sophos Central vereint alle Ihre Technologien in einer Konsole. So haben Sie stets alle Systeme und APIs zur Anbindung von Drittanbieter-Technologien an einem zentralen Ort im Blick.

Eine weitere Option wäre ein SIEM-System, mit dem Sie die Protokollierung von Sophos- und Nicht-Sophos-Produkten zusammenfassen und sich so einen vollständigen Überblick über alle Aktivitäten verschaffen können. Mit unseren APIs können Sie Informationen aus unserer Sophos-Central-Plattform in ein beliebiges SIEM-System Ihrer Wahl übertragen.

Auch Sophos Synchronized Security (gesteuert über Sophos Central) spielt hier eine wichtige Rolle. Bei aktivierter Synchronized Security tauschen Sophos-Lösungen untereinander Informationen aus und reagieren automatisch auf Vorfälle. Im Rahmen von Zero Trust sind Lösungen in der Lage, sich durch dynamische Richtlinien an Szenarien anzupassen und komplexe Aufgaben, wie die Isolierung von Systemen, zu automatisieren.

Sicherheit und Kontrolle von Ressourcen und Assets

Viele unserer Produkte helfen Ihnen dabei, mehrere Ressourcen und Assets gleichzeitig zu schützen. Das bedeutet jedoch keinesfalls, dass eine einzige Technologie ausreichend ist und man sich dann entspannt zurücklehnen kann. Für ein ausfallsicheres Netzwerk mit Zero-Trust-Architektur ist das Zusammenspiel mehrerer Technologien erforderlich, um beispielsweise für den Schutz von Personen zu sorgen.

zero-trust-model-solutions

Cloud Optix
hilft, Daten, Geräte, Workloads und Netzwerke innerhalb der Public Cloud zu schützen.

Cloud Optix icon

Phish Threat
trägt zum Schutz Ihrer Mitarbeiter bei.

Phish Threat icon

SafeGuard
trägt zum Schutz Ihrer Daten bei.

Encryption

Sophos Wireless
trägt zum Schutz Ihrer Netzwerke bei.

Secure Wi-Fi icon

Intercept X
sorgt für den Schutz aller Ressourcen und Assets.

Endpoint Antivirus icon

Managed Threat Response (MTR)
trägt zum Schutz aller Ressourcen und Assets bei.

Managed Threat Response icon

XG Firewall
Trägt zum Schutz aller Ressourcen und Assets bei.

Sophos Firewall icon

Sophos Mobile
sorgt für den Schutz Ihrer Geräte, Daten und Mitarbeiter.

Sophos Mobile

Intercept X for Server
sichert sowohl Ihre Geräte als auch Ihre Workloads.

Cloud Workload Protection

Secure Web Gateway
bietet Schutz von Netzwerken und Workloads.

web-icon-white

Sophos Email
sorgt für den Schutz von Netzwerken und Workloads.

Sophos Email icon

Sophos Home
sorgt für den Schutz Ihrer Mitarbeiter.

sophos-home-logo

Mit diesen Technologien ist Ihr Unternehmen für den Umstieg auf ein Zero-Trust-Modell gut aufgestellt. Ein weiterer wichtiger Erfolgsfaktor für Zero Trust ist jedoch eine starke IAM-Lösung mit SSO, damit Ihre Anwender von jedem beliebigen Standort aus problemlos auf Cloud-Services zugreifen können. Nur so lässt sich Ihre zentrale autorisierende Identitätsquelle für alle Systeme und Services nutzen.

Fazit

Bislang ist Zero Trust eine Cybersecurity-Philosophie, die nur sehr wenige Unternehmen ohne Weiteres in die Tat umsetzen können. Da traditionelle Netzwerkgrenzen jedoch immer mehr in der Auflösung begriffen sind, wird eine Umstellung auf Zero Trust über kurz oder lang unausweichlich sein. Denn der Einfallsreichtum der Cyberkriminellen scheint keine Grenzen zu kennen. Mit ihrem Tempo können konventionelle Abwehrstrategien kaum Schritt halten. Hier bietet das Zero-Trust-Modell ein zeitgemäßes Sicherheitskonzept, das Bedrohungen entscheidend reduziert und gleichzeitig dazu beiträgt, neue Cybersecurity-Standards zu etablieren.

Verwalten Sie Ihre Zero-Trust-Umgebung mit Sophos Central

Testen Sie jetzt 30 Tage kostenlos und unverbindlich, wie Sie Ihre Zero-Trust-Pläne mithilfe von Sophos Central realisieren können.

Sophos Central ist die zentrale Plattform für alle Sophos-Produkte.

  • Zentrale Konsole – verwalten Sie alle Sophos-Produkte über eine webbasierte Konsole.

  • Alle Produkte – testen Sie unsere gesamte Produktpalette: von Endpoint- über Firewall-, E-Mail-, Mobile- bis hin zu Server-Schutz. Testen Sie die einzelnen Security-Komponenten 30 Tage lang ganz nach Bedarf. Keine Kreditkarte erforderlich. Keine automatische Verlängerung.

  • Sofort startbereit – die Einrichtung ist in wenigen Minuten erledigt. Sophos-Produkte können gemeinsam Produkten anderer Anbieter genutzt werden.

Woher stammen diese Informationen?

Um die Eingabe von Daten zu vereinfachen, verwenden wir für unsere Formulare eine Funktion zur automatischen Vervollständigung von Unternehmens-Kontaktinformationen. Diese Informationen stammen aus öffentlich zugänglichen Quellen. Wir nutzen keine privaten Unternehmensdaten. Die automatische Vervollständigung ergänzt die Informationen Ihres Unternehmens, damit Sie diese nicht selbst eingeben müssen.