Blogbeitrag, was bedeutet Zero Trust bedeutet

Zero Trust – oder lassen Sie jeden rein?

Was bedeutet Zero Trust eigentlich? Was ist das Prinzip dahinter? All dies & mehr erfahren Sie hier!

Im Artikel „Zero Trust – Ein neues Zeitalter der Cyber Security“ hat unser Experte Anton Peter bereits seine Einschätzung zum Zero Trust-Modell gegeben. In diesem Blogbeitrag möchten wir uns mit ein paar grundlegen Fragen beschäftigen:  Was bedeutet Zero Trust eigentlich? Was ist das Prinzip hinter Zero Trust? Was ist der Nutzen? All dies und mehr klären wir hier.

Vorab die Theorie

Zero Trust ist ein Sicherheitsmodell aus der Cyber-Security. Bevor Zugang zu Daten oder IT-Ressourcen generell gewährt wird, müssen verschiedene Prüfmechanismen ausgeführt werden, um die Identität des Anfragenden und die Legitimität des Zugriffes zu verifizieren. Der Zugriff darf – wie der Begriff schon ausdrückt – auf keinen Fall auf Basis von Vertrauen erteilt werden. Ziel ist es, unberechtigte Zugriffe und mögliche Folgerisiken, wie beispielsweise Datenverlust oder andere nachteilige Ereignisse dieser Art, zu vermeiden. Zero Trust ist ein Denkmodell und keine exakte Handlungsvorgabe: Auf Basis des Ansatzes werden operative Modelle entwickelt, um dem Ziel des Datenschutzes und der Datensicherheit so nahe wie möglich zu kommen.  

Und in der Praxis?

Blogbeitrag, was bedeutet Zero Trust bedeutet

Um das Konzept ein wenig greifbarer zu machen, möchten wir das Ganze anhand eines Praxisbeispiels näher beleuchten. Folgendes Szenario: Wohnungen in einem Mehrfamilienhaus.

In den Wohnungen werden mehr oder weniger schützenswerte Gegenstände aufbewahrt und der Zugang ist folglich durch Türen eingeschränkt: Eine Tür zum Treppenhaus, weitere Türen zu den jeweiligen Wohnungen.

Situation 1 aka „Full Trust“:

Es klingelt – ohne Nachfrage wird der Türöffner betätigt, der Klingelnde betritt das Treppenhaus – ohne Verifizierung der Identität und Legitimation. 

Situation 2 aka „Little Trust“:

Es klingelt – die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz! Ich bin’s Ihr Nachbar Meier. Könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“. Der Türöffner wird betätigt, der Klingelnde betritt nach einfacher Verifizierung der Identität und Legitimation das Treppenhaus. 

Situation 2 scheint zunächst kein schlechter Schachzug: Zumindest wurde eine Abfrage der Identität durchgeführt und die Legitimation abgefragt – allerdings ohne Gegenprüfung. So können sowohl Situation 1 als auch Situation 2 schwerwiegende Konsequenzen mit sich ziehen: Wir vertrauen und setzen darauf, dass unser Vertrauen nicht missbraucht wird. Kommen wir zu Situation 3 aka „Zero Trust“:

Situation 3 aka „Zero Trust“:

Es klingelt, die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz, ich bin’s Ihr Nachbar Meier, könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“

Nach dem Zero Trust Modell ergeben sich folgende Handlungsoptionen:

  1. Prüfung der Identität: Sie erkennen, dass im Haus kein Meier wohnt. Der Klingelnde wird abgewiesen.
  2. Prüfung der Identität: Im Haus wohnt eine Familie Meier, allerdings haben Sie die Stimme nicht erkannt. Sie fragen bei der Nachbarwohnung an, ob die Situation zutreffend ist. Der angegebene Herr Meier verneint die Situation, der Klingelnde wird abgewiesen.
  3. Prüfung der Identität: Es ist eine Gegensprechanlage mit Videofunktion installiert. Sie erkennen den Klingelnden nicht als Herrn Meier, die Person wird abgewiesen.
  4. Prüfung der Identität: Keine der vorherigen Optionen ist ausführbar. Sie delegieren die Entscheidung an eine höher gestellte Autorität, beispielsweise den Hausmeister.
  5. Prüfung der Legitimität: Sie bestehen darauf, dass der Klingelnde einen Schlüssel nutzt, um den geschützten Bereich zu betreten

Die alles entscheidende Frage ist also: Wann und unter welchen Umständen darf jemandem die Tür geöffnet werden, nur aufgrund…

  • …der Kenntnis Ihres Namens.
  • …der Angabe des Namens eines möglichen Nachbarn.
  • …der Aussage, dass der eigentlich legitime Weg nicht möglich ist, man aber trotzdem gerne den geschützten Raum betreten möchte.

Und in der digitalen Welt?

Blogbeitrag, was bedeutet Zero Trust bedeutet

Verhält es sich ähnlich. Es werden digitale Dienste in Form von Websites, Apps etc. bereitgestellt, deren Nutzung im Idealfall erheblich zum ökonomischen Vorteil eines Unternehmens beitragen. Aufgrund diverser Regularien sowie im Interesse des Business und des unternehmerischen Selbstschutzes sind manche Funktionen nicht nutzbar und bestimmte Daten ohne erfolgreiche Identifizierung, Authentisierung und Autorisierung nicht zugreifbar – das heißt, der Anwender muss sich einloggen.  

In den meisten Fällen müssen Anwender leider nur einen Benutzernamen und ein passendes Kennwort (auch „Credentials“ genannt) angeben und der Zugang ist gewährt. Doch wie sicher ist diese Art der Zugriffskontrolle? Nur bedingt. 

Das Risiko

Credentials sind heutzutage nicht mehr sicher. In den Medien wird regelmäßig über „digitale Einbrüche“ berichtet – meistens handelt es sich um den Verlust von Zugangs- und Bezahldaten, auf Basis von Spoofing und Phishing, d.h. dem Vorgaukeln falscher (Identitäts-)Tatsachen bzw. dem Verlust der Credentials durch Betrug oder Diebstahl. Den eigentlichen Eigentümern der Daten ist der Verlust erstmal nicht bewusst, kann aber ungeahnte Folgen haben und eine große Sicherheitslücke hinterlassen. Es ist hinreichend bekannt, dass Credentials über illegale Wege sehr einfach zu beschaffen sind, sodass sich in den letzten Jahren ein Markt entwickelt hat. 

Die verlorenen Credentials können nun missbraucht werden, weil die Prüfung der Originalität und Authentizität auf Seiten der Service-Anbieter nicht mehr stattfindet. Es wird darauf vertraut, dass derjenige, der die Credentials präsentiert, auch dazu legitimiert ist, diese zu nutzen. Die unrechtmäßige Aneignung wird leider häufig übersehen.

Die Lösung

Eigentlich sollte der Service-Anbieter im eigenen Interesse eine weiterführende Prüfung der Legitimität durchführen. Das ist sehr einfach möglich: In der digitalen Welt lassen sich diverse Informationen beschaffen und als Indizien nutzen, ohne dass dies dem Anwender zur Last fällt.

  • Die Uhrzeit: Der erwartete Eigentümer der Credentials sitzt in Deutschland, die Nutzung erfolgt allerdings um 3:44 Uhr in der Nacht?
  • Die Lokation der Anfrage: Der Zugriff erfolgt von einem anderen Kontinent?
  • Das genutzte Gerät bzw. dessen Einstellungen: Der Inhalt der Services wird aufgrund der erkannten Settings nicht in Deutsch, sondern in einer anderen Sprache angezeigt?
  • Nutzerverhalten in der Anwendung: Der Eigentümer weicht von seinem regulären Verhalten stark ab?
  • Die Nachfrage nach einem weiteren Faktor, über den der rechtmäßige Nutzer verfügt. Beispiel: Ein SMS Code zusätzlich zu den Credentials.

Fazit

Die Handlungsempfehlung nach Zero Trust sollte immer in Betracht gezogen werden, wenn Zugriffe auf Daten und Ressourcen bereitgestellt werden – egal, ob für die eigenen Mitarbeiter, Kunden oder Partner. Datenschutz und -sicherheit haben insbesondere aufgrund der derzeit gültigen und in Zukunft weiter verschärften Datenschutzrichtlinien immer die höhere Priorität gegenüber möglichen Kosten. Aber auch im eigenen Interesse, um das Unternehmen, die Marke und die Reputation zu schützen. Wir von der TIMETOACT unterstützen und helfen unseren Kunden schon seit Jahren: Sollten Sie Interesse an lösungsorientierten Vorschlägen haben, können Sie hier mehr erfahren.

Teaser Bild Interview Roher Jakober Kopie
Blog 29.06.22

Zero Trust dank modernem Authorization Management

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden? Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG, in einem Interview.

Blogbeitrag, zu was eigentlich „Single-Sign-On“ (SSO) ist
Blog 14.10.20

Was ist eigentlich „Single-Sign-On“ (SSO)?

Diese Frage beantworten wir unserem Blogbeitrag. Erfahren Sie außerdem, welche Geschichte sich hinter Single-SIgn-On verbirgt.

Zero Trust – Ein neues Zeitalter der Cyber Security
Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat eine neue Ära erreicht: Das Zero Trust-Zeitalter verändert den Blick auf Sicherheitsbedrohungen und stellt neue Anforderungen an den Schutz digitaler Systeme.

Webinar on demand 20.11.20

Software-Auswahl im E-Commerce – Überblick über Systeme

In unserem Web-Seminar geben wir Einblicke, wie wir klassische Fragen bei der Software-Auswahl gemeinsam mit allen relevanten Stakeholdern auf Kundenseite beantworten.

Blog 13.05.24

99% der Cyberangriffe abwehren: Mit den richtigen Maßnahmen

IT-Sicherheit ist ein zentrales Anliegen für Unternehmen und Organisationen, erfahren Sie in diesem Blogbeitrag, welche 5 Maßnahmen gegen Angriffe schützen.

Titelbild IPG Partner Ping Identity
Partner

Ping Identity

Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity Security-Lösungen.

Titelbild IPG Partner Ping Identity

Ping Identity

Identity Security-Pionier Ping Identity ist einer der größten unabhängigen Dienstleister von modernen Identity Security-Lösungen.

Blog Spoofing Fishing Teaser
Blog 21.10.20

Spoofing und Phishing

Heutzutage gilt es mehr denn je, sich effektiv vor Daten- und Identitätsdiebstahl zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ . Wir erklären Ihnen, was es damit auf sich hat!

Teaser ipg cloud v3
Lösung

Enterprise Identity Cloud

Die Saviynt Enterprise Identity Cloud (EIC) ist die einzige konvergente Cloud-Identitätsplattform, die intelligenten Zugriff und umfassende Governance bietet. Ein modernes Identitätsmanagement mit einer Zero-Trust-Grundlage.

Wissen

Neuerungen in IBM WebSphere MQ Version 7.1 - Teil 2

Wie kann WebSphere MQ noch schneller und zuverlässiger werden, als es jetzt schon ist? Lohnt es sich auf die neue Version von WebSphere MQ zu migrieren? Im zweiten Teil unseres Blogeintrages über die Neuerungen in der neuen Version von WebSphere MQ werden wir diese Fragen beantworten.

Header Keeper Securtity
Partner

Keeper Security

Since October 2023, IPG has been a partner of Keeper Security. Together, we deliver security solutions for businesses of all sizes.

Headerbild zu Lizenzanalyse und Lizenzberatung.
Service

Lizenzberatung & Lizenzanalyse von den Profis machen lassen!

Mit der richtigen Softwarelizenzberatung erhalten Sie fundierte Informationen über Ihren Softwarebestand. Nehmen Sie diese als ideale Basis für Entscheidungen bezüglich Ihres individuellen Lizenzmanagements oder für Ihre Budgetierung.

Teaser KI IAM
Blog 21.03.22

Die schlaue Seite der Identity und Access Governance

Im Identity und Access Management beginnt die «Artificial Intelligence» Einzug zu halten. Als wertvolle Hilfe für Entscheider wird sie in diesem Bereich wohl bald nicht mehr wegzudenken sein.

Online Meeting
Blog 02.08.21

Notes Client mit Teams für Online-Konferenzen kombinieren

Sie nutzen den Notes Client, aber für Online-Besprechungen Microsoft Teams? Erfahren Sie in unserem Blogbeitrag von Ralph Siepmann und Benjamin Hering, wie Sie den HCL Notes Client mit Microsoft Teams für Online-Besprechungen kombinieren.

Arbeiten in der Cloud
Wissen

Defacto-Norm für Unternehmensanwendungen

Hybride Architekturen mittels effizienter Integrationstechnologien verbunden – so sehen heute IT-Nutzer, SW-Anbieter sowie Analysten die Best-Practice für Enterprise-IT Architekturen. So ein Feedback auf dem Event Cloud-EcoSystem. Weitere Impulse lesen Sie in unserem Blogartikel.

Cloud - SOA = Zero oder IT-Business Alignment
Wissen

Cloud - SOA = Zero oder IT-Business Alignment

Vor Jahren war SOA das aktuelle Buzzword, und zur Zeit ist Cloud Computing Hype. Hat SOA der Cloud den Weg geebnet? Wie ist deren Zusammenhang? Was bringt es?

Unternehmen

Anfahrt zur TIMETOACT GROUP in Köln

Egal ob mit dem Auto, mit dem Zug oder mit dem Flugzeug: Wir zeigen Ihnen, wie Sie am besten zu ins in den Mediaparkt nach Köln kommen.

Event

Webcast: KI für Versicherer

Dr. Matthias Quaisser erläutert Ihnen praktische Projekterfahrung und Erfolgsfaktoren von KI und erzählt von fachliche Anwendungsfälle von KI bei Versicherern.

May 14
Teamarbeit mit Tasse und Tastatur
Referenz

HCL Connections und ICEC vereinen sich zu einem globalen, cl

SikaWorld 2.0 in der Schweiz – Connections und das Connections Engagement Center vereinen sich zu einem globalen, cloud-basierten Social Intranet für 15.000 User.

Referenz

Beratung zur ivv Kollaborationsstrategie

Die zukünftige Kollaboration der ivv ist geprägt durch moderne Kommunikations- und Kollaboration-Werkzeuge und für das organisationsübergreifende Arbeiten im Verbund und mit Externen definiert.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!