Zero Trust: nicht so unheimlich, wie es sich anhört
Wenn der Begriff „Zero Trust“ in letzter Zeit erstaunlich häufig in Ihrem Nachrichten-Feed auftaucht, bekommen Sie vielleicht den Eindruck, Zero Trust müsse eine brandneue Technologie sein, entwickelt in einem Forschungslabor des MIT und auf Grundlage von neuester künstlicher Intelligenz, maschinellem Lernen, Quantencomputing und einem Fluxkondensator mit 1,21 Gigawatt. In diesen und den darauffolgenden Blogbeiträgen möchte ich darlegen, dass es bei Zero Trust um Einfachheit geht und dass die Zero‑Trust-Technologie im Grunde eine starke Variante des Prinzips der geringstmöglichen Berechtigungen ist.
Zero Trust erregt zurzeit große Aufmerksamkeit, was auch gut ist, denn mit Zero Trust erhalten Unternehmen und Behörden aller Größen insgesamt bessere Sicherheitsfunktionen. In der jüngsten von der Bundesregierung der Vereinigten Staaten erlassenen Verordnung zur Verbesserung der Cybersicherheit der Nation nimmt Zero Trust eine tragende Rolle ein.
Laut der Verordnung „muss die US-Regierung entschiedene Maßnahmen für einen moderneren Ansatz im Bereich Cybersicherheit ergreifen, um mit den heutigen dynamischen und zunehmend ausgefeilten Cyberbedrohungen Schritt zu halten“. Einige dieser Maßnahmen sind in der Verordnung aufgeführt, darunter, dass „die US-Regierung Best Practices in puncto Sicherheit einführen und die Zero‑Trust-Architektur fördern muss“. Zero Trust wird in der Verordnung stark befürwortet, da diese Technologie eine wichtige Rolle beim Schutz des Landes vor Cyberkriminellen spielen kann.
Weiterhin gibt das Weiße Haus an, dass „die amerikanische Bundesregierung mit gutem Beispiel vorangehen muss“. Aber in gewisser Weise hat der Privatsektor bereits den Weg vorgegeben, da zahlreiche Unternehmen Zero Trust bereits eingeführt bzw. dies fest geplant haben. Wir bei Akamai kennen viele Fallstudien zu diesem Thema, darunter auch die von uns verfassten, in denen wir unsere Erfahrungen mit der Implementierung von Zero Trust bei unseren eigenen Produkten schildern. Das früheste Beispiel, das ich kenne, stammt wohl von Google, obwohl es nicht als Zero Trust, sondern als „BeyondCorp“ bezeichnet wurde.
Zero Trust nimmt deutlich an Fahrt auf und nach einer Reihe hochkarätiger Cyberangriffe wurden in letzter Zeit zahlreiche Artikel veröffentlicht, um aufzuzeigen, wie solche Angriffe durch einen Zero‑Trust-Ansatz hätten abgewehrt werden können. Bei gewissen Angriffen gelangt Malware durch Phishing oder durch Ausnutzung einer Schwachstelle in einem ungeschützten Server ins Unternehmen. Die eingeschleuste Malware bewegt sich daraufhin quer durch das Unternehmen, um lukrative Ziele zu finden. Nach genau diesem Muster sucht Ransomware nach einem Ziel, das dann verschlüsselt werden kann, um Lösegeld für die Entschlüsselung zu verlangen. Wir stellen mit erschreckender Regelmäßigkeit fest, dass es jede Menge anfällige und nicht geschützte Server und somit auch jede Menge Opfer von Ransomware gibt. Viele von Ihnen können wahrscheinlich spontan mehrere Beispiele nennen.
Glücklicherweise kann Zero Trust hier wirklich etwas bewirken. Das Grundprinzip von Zero Trust besteht darin, dass Nutzer nur auf die wirklich von ihnen benötigten Anwendungen zugreifen können, und das erst nach einer starken Authentifizierung und Autorisierung. Tatsächlich können Nutzer mit Zero‑Trust-Zugriff Anwendungen erst dann sehen, wenn sie authentifiziert wurden und anschließend Zugriff erlangt haben. Anwendungen sind nie ohne Weiteres zugänglich. Darüber hinaus wird Nutzern mit Zero‑Trust-Bedrohungsschutz automatisch der Zugriff auf Websites gesperrt, die Phishing oder Malware verbreiten, und Malware wird automatisch vom Zugriff auf Command and Control blockiert. Durch diese grundlegenden Mechanismen wird dank der Zero‑Trust-Technologie das Eindringen oder die Verbreitung von Malware sehr erschwert.
Im Prinzip ist Zero Trust nichts weiter als eine äußerst strenge Zugriffskontrolle, um dafür zu sorgen, dass nur Nutzern mit starker Authentifizierung und Autorisierung Zugriff gewährt wird, und selbst dann nur auf die wirklich von ihnen benötigten Anwendungen. Trotz des Namens ist Zero Trust nicht unheimlich. Das Konzept dafür ist einfach und kann als eine starke Variante des Prinzips der geringstmöglichen Berechtigungen angesehen werden.
