Vor zwanzig Jahren war die tägliche Aufgabe von Systemadministratoren noch die, digitales Gesocks draußen zu halten. Mit ansehnlichem Erfolg: Ein Antivirenprogramm für alle Rechner, eine Firewall für den Router – das war schon genug. Heutzutage kommt man ja praktisch gar nicht mehr hinterher. Die Lösung: Trust no one – vertraue nichts und niemandem.
Viele Jahre haben wir das Netzwerk vor Eindringlingen geschützt und Benutzer dabei weitestgehend außen vor gelassen. Das ist, als würde man – mit einer Fliegenklatsche bewaffnet – ein Fenster öffnen und dann Mücken und andere Insekten zur Strecke bringen, sobald die versuchen, reinzukommen.
Doch die Welt ist heute fundamental anders. Die Grenze zwischen Ihrem Netzwerk und der Welt da draußen ist nicht mehr das Fenster. Im Prinzip ist da überhaupt kein Fenster mehr. Wir haben Leute im Homeoffice, Cloud-Anwendungen und Speicherplatz, und wir arbeiten immer enger mit anderen Unternehmen zusammen. So viel zur Fliegenklatsche. Die Lösung ist dann schlichtweg, niemandem mehr Zugang zu gewähren: Zero Trust – null Vertrauen. Keiner darf mehr rein, es sei denn: Man hat einen Schlüssel, den richtigen Code oder am besten beides – und noch dazu Mehrfachauthentifizierung.
Doktorarbeit
Dank Internet geht heute praktisch nichts mehr verloren. Dadurch wissen wir zum Beispiel auch, wer den Begriff „Zero Trust“ zuerst geprägt hat. Das war der Mathematiker Stephen Marsh 1994 in seiner Doktorarbeit an der Universität von Stirling, Schottland, zum Thema Computersicherheit. Es sollte noch bis 2009 dauern, bevor das erste Unternehmen eine Zero-Trust-Lösung einführte. Und das war wenig überraschend Google mit einer Technologie namens „BeyondCorp“.
Man könnte sagen, dass wir seither allesamt unsere Unschuld verloren haben. Oder unsere Naivität. Router mit ihren offenen Ports sind längst überholt. Und immer mehr Systemadministratoren erkennen, dass die Frage nicht mehr lautet, ob, sondern wann ein Eindringling vor der Tür steht.
NIST-Modell
Zum Glück ist Zero Trust nicht nur ein Begriff, der ausdrückt, dass man keinem mehr trauen darf. Dank der Gurus der – weltweit als sehr sachverständig geltenden – amerikanischen Sicherheitsbehörde NIST haben wir ein Zero-Trust-Modell, das auf so gut wie jede Situation anwendbar ist. Wollen Sie die Zero-Trust-Lösung eines Anbieters in Ihrem Netzwerk einsetzen, muss diese alle Punkte des Modells erfüllen.
Das Grundprinzip dieses Modells ist, dass jeder Rechner oder Benutzer, der Zugriff anfordert, ein potentieller Eindringling ist. Die Kunst ist, nur all jenen Zugang zu gewähren, die keine bösen Absichten hegen. Zero Trust bedeutet, dass alle Sicherheitsinformationen, wie Benutzer- und Computeridentitäten, Richtlinien usw., in einer einzigen Datenbank gespeichert werden müssen.
Richtlinienbasiert
Der erste Schritt, um irgendwo Zugang zu erhalten, ist, sich als Benutzer zu identifizieren. Der nächste Schritt ist die Identifizierung des Geräts. Das heißt, für eine Verbindung zum Unternehmensnetzwerk kann man als Benutzer nicht mehr jedes beliebige Gerät verwenden. Es muss auch eine Art Gesundheitszeugnis vorlegen, in dem steht, dass der Rechner bestimmte, in Richtlinien festgelegte Anforderungen erfüllt.
Und dann ist man drin? Ja, aber mehr auch nicht. Um Dinge tun zu können, ist anschließend noch eine Autorisierung für den Zugang zu bestimmten Ressourcen und Anwendungen erforderlich. Man kann sogar noch weiter gehen: Auch innerhalb von bestimmten Anwendungen lässt sich festlegen, welcher Benutzer und welches Gerät auf spezifische Funktionen zugreifen können.
Sind wir denn alle völlig paranoide? Na klar, und das ist auch gut so.
Sind auch Sie neugierig, wie Sie Ressourcen und Anwendungen flexibel und mit Zero Trust zur Verfügung stellen können? Buchen Sie jetzt eine Demo und wir zeigen es Ihnen!