Blogbeitrag, was bedeutet Zero Trust bedeutet

Zero Trust – oder lassen Sie jeden rein?

Was bedeutet Zero Trust eigentlich? Was ist das Prinzip dahinter? All dies & mehr erfahren Sie hier!

Im Artikel „Zero Trust – Ein neues Zeitalter der Cyber Security“ hat unser Experte Anton Peter bereits seine Einschätzung zum Zero Trust-Modell gegeben. In diesem Blogbeitrag möchten wir uns mit ein paar grundlegen Fragen beschäftigen:  Was bedeutet Zero Trust eigentlich? Was ist das Prinzip hinter Zero Trust? Was ist der Nutzen? All dies und mehr klären wir hier.

Vorab die Theorie

Zero Trust ist ein Sicherheitsmodell aus der Cyber-Security. Bevor Zugang zu Daten oder IT-Ressourcen generell gewährt wird, müssen verschiedene Prüfmechanismen ausgeführt werden, um die Identität des Anfragenden und die Legitimität des Zugriffes zu verifizieren. Der Zugriff darf – wie der Begriff schon ausdrückt – auf keinen Fall auf Basis von Vertrauen erteilt werden. Ziel ist es, unberechtigte Zugriffe und mögliche Folgerisiken, wie beispielsweise Datenverlust oder andere nachteilige Ereignisse dieser Art, zu vermeiden. Zero Trust ist ein Denkmodell und keine exakte Handlungsvorgabe: Auf Basis des Ansatzes werden operative Modelle entwickelt, um dem Ziel des Datenschutzes und der Datensicherheit so nahe wie möglich zu kommen.  

Und in der Praxis?

Blogbeitrag, was bedeutet Zero Trust bedeutet

Um das Konzept ein wenig greifbarer zu machen, möchten wir das Ganze anhand eines Praxisbeispiels näher beleuchten. Folgendes Szenario: Wohnungen in einem Mehrfamilienhaus.

In den Wohnungen werden mehr oder weniger schützenswerte Gegenstände aufbewahrt und der Zugang ist folglich durch Türen eingeschränkt: Eine Tür zum Treppenhaus, weitere Türen zu den jeweiligen Wohnungen.

Situation 1 aka „Full Trust“:

Es klingelt – ohne Nachfrage wird der Türöffner betätigt, der Klingelnde betritt das Treppenhaus – ohne Verifizierung der Identität und Legitimation. 

Situation 2 aka „Little Trust“:

Es klingelt – die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz! Ich bin’s Ihr Nachbar Meier. Könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“. Der Türöffner wird betätigt, der Klingelnde betritt nach einfacher Verifizierung der Identität und Legitimation das Treppenhaus. 

Situation 2 scheint zunächst kein schlechter Schachzug: Zumindest wurde eine Abfrage der Identität durchgeführt und die Legitimation abgefragt – allerdings ohne Gegenprüfung. So können sowohl Situation 1 als auch Situation 2 schwerwiegende Konsequenzen mit sich ziehen: Wir vertrauen und setzen darauf, dass unser Vertrauen nicht missbraucht wird. Kommen wir zu Situation 3 aka „Zero Trust“:

Situation 3 aka „Zero Trust“:

Es klingelt, die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz, ich bin’s Ihr Nachbar Meier, könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“

Nach dem Zero Trust Modell ergeben sich folgende Handlungsoptionen:

  1. Prüfung der Identität: Sie erkennen, dass im Haus kein Meier wohnt. Der Klingelnde wird abgewiesen.
  2. Prüfung der Identität: Im Haus wohnt eine Familie Meier, allerdings haben Sie die Stimme nicht erkannt. Sie fragen bei der Nachbarwohnung an, ob die Situation zutreffend ist. Der angegebene Herr Meier verneint die Situation, der Klingelnde wird abgewiesen.
  3. Prüfung der Identität: Es ist eine Gegensprechanlage mit Videofunktion installiert. Sie erkennen den Klingelnden nicht als Herrn Meier, die Person wird abgewiesen.
  4. Prüfung der Identität: Keine der vorherigen Optionen ist ausführbar. Sie delegieren die Entscheidung an eine höher gestellte Autorität, beispielsweise den Hausmeister.
  5. Prüfung der Legitimität: Sie bestehen darauf, dass der Klingelnde einen Schlüssel nutzt, um den geschützten Bereich zu betreten

Die alles entscheidende Frage ist also: Wann und unter welchen Umständen darf jemandem die Tür geöffnet werden, nur aufgrund…

  • …der Kenntnis Ihres Namens.
  • …der Angabe des Namens eines möglichen Nachbarn.
  • …der Aussage, dass der eigentlich legitime Weg nicht möglich ist, man aber trotzdem gerne den geschützten Raum betreten möchte.

Und in der digitalen Welt?

Blogbeitrag, was bedeutet Zero Trust bedeutet

Verhält es sich ähnlich. Es werden digitale Dienste in Form von Websites, Apps etc. bereitgestellt, deren Nutzung im Idealfall erheblich zum ökonomischen Vorteil eines Unternehmens beitragen. Aufgrund diverser Regularien sowie im Interesse des Business und des unternehmerischen Selbstschutzes sind manche Funktionen nicht nutzbar und bestimmte Daten ohne erfolgreiche Identifizierung, Authentisierung und Autorisierung nicht zugreifbar – das heißt, der Anwender muss sich einloggen.  

In den meisten Fällen müssen Anwender leider nur einen Benutzernamen und ein passendes Kennwort (auch „Credentials“ genannt) angeben und der Zugang ist gewährt. Doch wie sicher ist diese Art der Zugriffskontrolle? Nur bedingt. 

Das Risiko

Credentials sind heutzutage nicht mehr sicher. In den Medien wird regelmäßig über „digitale Einbrüche“ berichtet – meistens handelt es sich um den Verlust von Zugangs- und Bezahldaten, auf Basis von Spoofing und Phishing, d.h. dem Vorgaukeln falscher (Identitäts-)Tatsachen bzw. dem Verlust der Credentials durch Betrug oder Diebstahl. Den eigentlichen Eigentümern der Daten ist der Verlust erstmal nicht bewusst, kann aber ungeahnte Folgen haben und eine große Sicherheitslücke hinterlassen. Es ist hinreichend bekannt, dass Credentials über illegale Wege sehr einfach zu beschaffen sind, sodass sich in den letzten Jahren ein Markt entwickelt hat. 

Die verlorenen Credentials können nun missbraucht werden, weil die Prüfung der Originalität und Authentizität auf Seiten der Service-Anbieter nicht mehr stattfindet. Es wird darauf vertraut, dass derjenige, der die Credentials präsentiert, auch dazu legitimiert ist, diese zu nutzen. Die unrechtmäßige Aneignung wird leider häufig übersehen.

Die Lösung

Eigentlich sollte der Service-Anbieter im eigenen Interesse eine weiterführende Prüfung der Legitimität durchführen. Das ist sehr einfach möglich: In der digitalen Welt lassen sich diverse Informationen beschaffen und als Indizien nutzen, ohne dass dies dem Anwender zur Last fällt.

  • Die Uhrzeit: Der erwartete Eigentümer der Credentials sitzt in Deutschland, die Nutzung erfolgt allerdings um 3:44 Uhr in der Nacht?
  • Die Lokation der Anfrage: Der Zugriff erfolgt von einem anderen Kontinent?
  • Das genutzte Gerät bzw. dessen Einstellungen: Der Inhalt der Services wird aufgrund der erkannten Settings nicht in Deutsch, sondern in einer anderen Sprache angezeigt?
  • Nutzerverhalten in der Anwendung: Der Eigentümer weicht von seinem regulären Verhalten stark ab?
  • Die Nachfrage nach einem weiteren Faktor, über den der rechtmäßige Nutzer verfügt. Beispiel: Ein SMS Code zusätzlich zu den Credentials.

Fazit

Die Handlungsempfehlung nach Zero Trust sollte immer in Betracht gezogen werden, wenn Zugriffe auf Daten und Ressourcen bereitgestellt werden – egal, ob für die eigenen Mitarbeiter, Kunden oder Partner. Datenschutz und -sicherheit haben insbesondere aufgrund der derzeit gültigen und in Zukunft weiter verschärften Datenschutzrichtlinien immer die höhere Priorität gegenüber möglichen Kosten. Aber auch im eigenen Interesse, um das Unternehmen, die Marke und die Reputation zu schützen. Wir von der TIMETOACT unterstützen und helfen unseren Kunden schon seit Jahren: Sollten Sie Interesse an lösungsorientierten Vorschlägen haben, können Sie hier mehr erfahren.

Teaser Bild Interview Roher Jakober Kopie
Blog 29.06.22

Zero Trust dank modernem Authorization Management

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden? Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG, in einem Interview.

Blogbeitrag, zu was eigentlich „Single-Sign-On“ (SSO) ist
Blog 14.10.20

Was ist eigentlich „Single-Sign-On“ (SSO)?

Diese Frage beantworten wir unserem Blogbeitrag. Erfahren Sie außerdem, welche Geschichte sich hinter Single-SIgn-On verbirgt.

Webinar on demand 20.11.20

Software-Auswahl im E-Commerce – Überblick über Systeme

In unserem Web-Seminar geben wir Einblicke, wie wir klassische Fragen bei der Software-Auswahl gemeinsam mit allen relevanten Stakeholdern auf Kundenseite beantworten.

Wissen

Neuerungen in IBM WebSphere MQ Version 7.1 - Teil 2

Wie kann WebSphere MQ noch schneller und zuverlässiger werden, als es jetzt schon ist? Lohnt es sich auf die neue Version von WebSphere MQ zu migrieren? Im zweiten Teil unseres Blogeintrages über die Neuerungen in der neuen Version von WebSphere MQ werden wir diese Fragen beantworten.

Headerbild zu Lizenzanalyse und Lizenzberatung.
Service

Lizenzberatung & Lizenzanalyse von den Profis machen lassen!

Mit der richtigen Softwarelizenzberatung erhalten Sie fundierte Informationen über Ihren Softwarebestand. Nehmen Sie diese als ideale Basis für Entscheidungen bezüglich Ihres individuellen Lizenzmanagements oder für Ihre Budgetierung.

Online Meeting
Blog 02.08.21

Notes Client mit Teams für Online-Konferenzen kombinieren

Sie nutzen den Notes Client, aber für Online-Besprechungen Microsoft Teams? Erfahren Sie in unserem Blogbeitrag von Ralph Siepmann und Benjamin Hering, wie Sie den HCL Notes Client mit Microsoft Teams für Online-Besprechungen kombinieren.

Cloud - SOA = Zero oder IT-Business Alignment
Wissen

Cloud - SOA = Zero oder IT-Business Alignment

Vor Jahren war SOA das aktuelle Buzzword, und zur Zeit ist Cloud Computing Hype. Hat SOA der Cloud den Weg geebnet? Wie ist deren Zusammenhang? Was bringt es?

Arbeiten in der Cloud
Wissen

Defacto-Norm für Unternehmensanwendungen

Hybride Architekturen mittels effizienter Integrationstechnologien verbunden – so sehen heute IT-Nutzer, SW-Anbieter sowie Analysten die Best-Practice für Enterprise-IT Architekturen. So ein Feedback auf dem Event Cloud-EcoSystem. Weitere Impulse lesen Sie in unserem Blogartikel.

Event

Künstliche Intelligenz in der Rechnungsprüfung

Webcast 06.Oktober: Techniken des maschinellen Lernens können die Prüfung von Rechnungen in der privaten Krankenversicherung effektiv unterstützen. „Natural Language Processing“ ermöglicht so die Klassifikation von kurzen Texten aus den Tabellen von Rechnungen.

Oct 06
Unternehmen 16.09.20

synaigy

synaigy – die Digitalagentur für Ihr strategisches Projekt im digitalen Kundendialog bietet passende Lösungen in allen relevanten Bereichen des Digital Customer Engagement an.

Digital Workplace & Employee Experience
Service

Digital Workplace & Employee Experience

Der Digitale Arbeitsplatz hat vor allem in den vergangenen Monaten zunehmend an Bedeutung gewonnen und ist für viele Unternehmen mittlerweile unerlässlich geworden.

Referenz 16.02.21

Von Notes zu Microsoft 365

TIMETOACT GROUP führt bei der HOCHBAHN einen Wechsel des bisherigen Lotus-Notes E-Mail-Systems auf eine moderne cloudbasierte Microsoft 365 Plattform.

Unternehmen

TIMETOACT

TIMETOACT ist Spezialist für Beratung und Anwendungsentwicklung auf Basis von IBM Software und offener Standards. Schwerpunkte in der Beratung sind Information Architecture Design, Anwendungs- und Systemarchitekturen.

Unternehmen

Anfahrt zur TIMETOACT GROUP in Köln

Egal ob mit dem Auto, mit dem Zug oder mit dem Flugzeug: Wir zeigen Ihnen, wie Sie am besten zu ins in den Mediaparkt nach Köln kommen.

Social 16.02.21

FAST-elovend 2021 – unsere virtuelle Karnevalsfeier

Kölle Alaf! Auch dieses Jahr feierten die Jecken der TIMETOACT GROUP Fastelovend - aber nur FAST so wie immer. Denn nach unserer (digitalen) Weihnachtsfeier ließen wir uns auch Karneval nicht nehmen und feierten Karneval einfach virtuell.

Social 04.03.21

Fit im Home Office

Um unsere KollgInnen im Home Office bestmöglich zu unterstützen, haben wir im Rahmen unseres betrieblichen Gesundheitsmanagement ein Online Seminar zum Thema "Fit im Home Office" angeboten, um ihnen ihren Alltag ein Stück weit zu erleichtern.

Referenz

Beratung zur ivv Kollaborationsstrategie

Die zukünftige Kollaboration der ivv ist geprägt durch moderne Kommunikations- und Kollaboration-Werkzeuge und für das organisationsübergreifende Arbeiten im Verbund und mit Externen definiert.

Event 22.04.21

Webcast: AI Factory for Insurance

Im Webcast erfahren Sie, warum das Thema Künstliche Intelligenz für Versicherer so wichtig ist. Wir erklären Ihnen was die die AI Factory for Insurance genau ist und welche fünf Elemente die Factory ausmachen. Anschließend zeigen wir auf, wie diese konkret bei Versicherungen umgesetzt wird und wie sie sich in andere/ähnliche Initiativen eingliedern lässt.

May 11
Event

Webcast: Einführung von Microsoft 365 bei Versicherern

Microsoft 365 ist das erfolgreichste Werkzeug für den digitalen Arbeitsplatz. In dem Webcast wird vorgestellt, welche Anwendungsfälle Versicherer erfolgreich etabliert haben und was die Erfolgsfaktoren bei der Einführung waren.

Nov 12
Webcast

Microsoft 365 Operations-Meetup

In unserem Microsoft 365 Operations-Meetup stellen wir Ihnen innerhalb von 4 Wochen Optimierungsmöglichkeiten rund um Ihren Microsoft 365 Digital Workplace vor. Jetzt anmelden!

Oct 27

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!