Zero Trust ist ein Sicherheitskonzept, das implizites Vertrauen eliminiert und jeden Schritt einer digitalen Interaktion kontinuierlich validiert. Lesen Sie diesen Artikel, um ein besseres Verständnis der Ursprünge, Prinzipien und Komponenten von Zero Trust zu gewinnen und besser einschätzen zu können, welche Mehrwerte Ihnen dieser IT-Sicherheitsarchitektur-Ansatz bieten kann.

Entwicklung der IT-Architektur

Das Konzept von Zero Trust entstand als Antwort auf die sich entwickelnde IT-Landschaft. Bis in die 2000er Jahren befanden sich Anwendungen in physischen Rechenzentren, und es gab nur sehr wenige externe Verbindungen. Die Hardware war im Besitz des Unternehmens, und das Internet bestand hauptsächlich aus einfachen Webseiten. Gegen Ende der 00er Jahre startete man damit, mehr und mehr Anwendungen und Dienste zu virtualisieren, die Anforderungen an den Fernzugriff stiegen und man begann, kritische Geschäftsdaten in Webdienste auszulagern. Die Netzwerkarchitektur wurde komplexer und die Anzahl der Geschäftspartner nahm zu.

Heute sind Microservice-basierte Anwendungen allgegenwärtig, die Hardware ist oft nicht im Besitz des Unternehmens und Multi-Cloud-Architekturen mit verschiedenen Geschäftspartnern sind üblich. Es ist offensichtlich, dass traditionelle Sicherheitsmodelle, die Vertrauen innerhalb des Netzwerkperimeters voraussetzen, nicht mehr ausreichen, um Anwendungen und Daten zu schützen.

Schon in den frühen 2000er wurde erkannt, dass es neue Ansätze bei der IT-Sicherheitsarchitektur benötigt. Das Jericho Forum veröffentlichte im Jahr 2007 elf Gebote, die allgegenwärtige Sicherheitsmechanismen, Kontextbewusstsein, offene und sichere Kommunikationsprotokolle und datenzentrierten Schutz hervorheben. Der Begriff «Zero Trust» wurde in einem Paper von einem Analysten bei Forrester, John Kindervag, im Jahr 2010 eingeführt und ist auch 15 Jahre später noch ein aktuelles Thema.

Zero Trust Philosophie und Prinzipien

Zero Trust ist eine Philosophie und eine Reihe von Prinzipien zur Anpassung der IT-Sicherheitsarchitektur an aktuelle Herausforderungen.

Zu den Kernelementen gehören:

• Assume Breach: Gehen Sie davon aus, dass bereits ein Sicherheitsverstoss stattgefunden hat. Designen Sie Ihre Netzwerke, Systeme und Anwendungen entsprechend und stellen Sie sicher, dass Sie über die notwendigen organisatorischen und technischen Massnahmen zur Detection & Response verfügen.
• Kontinuierliche Authentifizierung: Überprüfen Sie regelmässig die Identität von Benutzern und Geräten.
• Least Privilege Access: Vergeben Sie nur die minimal notwendigen Berechtigungen, idealerweise genau dann, wenn sie gebraucht werden (just-in-time).

Zero Trust Reifegrad

Zero Trust betrifft alle Bereiche der IT-Architektur und ist ein kontinuierlicher Prozess, welcher sicherstellt, dass bei Veränderungen und neuen Bedrohungen die IT-Architektur resilient bleibt. Unternehmen können einen Zielzustand als Reifegradmodell definieren, um den Fortschritt zu verfolgen und sicherzustellen, dass die Umsetzung dem Risikoappetit der Unternehmung entspricht.

Wichtige Erkenntnisse

Zero Trust ist eine moderne Sicherheitslösung, die sich mit der sich entwickelnden IT-Architektur befasst. Sie betont kontinuierliche Überprüfung, Zugriff mit den geringsten Rechten und einen datenzentrierten Ansatz. Durch das Verständnis der Ursprünge, Prinzipien und Komponenten von Zero Trust können Unternehmen ihre Sicherheitslage verbessern und sich an die dynamische Bedrohungslandschaft anpassen.

Haben Sie Fragen oder benötigen Sie Unterstützung, wie z. B. ein auf Ihre Bedürfnisse geschneidertes Konzept zu Zero Trust? Wir beraten Sie gerne, wie Sie dieses mit angemessenem Aufwand umsetzen können und freuen uns über Ihre Kontaktaufnahme.