Zero Trust ist kein Grund, der IT zu misstrauen
Vielleicht haben Sie gerade herausgefunden, dass die IT‑Abteilung Ihres Unternehmens vorhat, Zero Trust zu implementieren. Heißt das etwa, dass man Ihnen nicht vertraut? „Zero Trust“, null Vertrauen. Die Antwort steckt ja eigentlich schon im Namen. Vielleicht haben Sie bereits online darüber gelesen oder jemand hat darüber gesprochen, dass Zero Trust bedeutet, Nutzern und Geräten niemals zu vertrauen. Es vermittelt natürlich kein gutes Gefühlt, wenn eine IT‑Organisation den Mitarbeitern des eigenen Unternehmens nicht vertraut. Doch dieser Blick auf Zero Trust ist nicht ganz richtig. Bei Zero Trust geht es darum, Systeme einzurichten, die sowohl Mitarbeiter als auch das Unternehmen selbst schützen. Diese Systeme verhindern, dass kleine, vermeintlich harmlose Fehler schreckliche Folgen haben.
Lustige Geschichte (mehr oder weniger): Vor einigen Jahren haben wir als Spaßgeschenk für unser Zero‑Trust-Produktteam T‑Shirts anfertigen lassen, auf denen vorne nur „Zero Trust“ zu lesen war. Als ich das T‑Shirt zum ersten Mal zu Hause getragen habe, war die Reaktion meiner Frau und meiner Kinder alles andere als positiv. Sie wollten wissen, was ich damit sagen wollte. Dass ich niemandem vertraue? Dass man mir nicht trauen kann? Und das wollte ich der ganzen Welt anpreisen? Sollte das stimmen, wollten sie nicht in meiner Nähe gesehen werden. Ich muss wohl kaum erwähnen, dass ich das T‑Shirt seitdem nicht mehr getragen habe.
Ich glaube, dass der Name „Zero Trust“ nicht optimal ist. Doch angesichts der Marktdynamik, die der Begriff entwickelt hat, werde ich wohl nicht versuchen, ihn zu ändern. Ich weiß auch gar nicht, ob mir überhaupt ein besserer Name einfallen würde. Stattdessen möchte ich erklären, warum ich glaube, dass Zero Trust nicht nur für Unternehmen ein gutes Konzept darstellt, sondern eben auch für ihre Mitarbeiter.
Zero Trust ist eine Weiterentwicklung des altbekannten Prinzips der geringstmöglichen Berechtigungen. Und dieses Prinzip ist wichtig – nicht etwa, weil man Mitarbeitern nicht vertrauen sollte, sondern ganz einfach, weil es die Sicherheit steigert. Mit Zero Trust wird jeder Zugriff streng kontrolliert. So sind Anwendungen beispielsweise erst sichtbar, nachdem Mitarbeiter über eine starke Authentifizierung identifiziert wurden und Zugriff erhalten haben. Systeme blockieren automatisch Site-Zugriffsversuche, die Nutzungsbedingungen verletzen oder als Phishing bzw. anderweitig als schädlich eingestuft wurden. Und selbst nachdem rechtmäßigen Nutzern Zugriff gewährt wurde, untersuchen die Systeme den Traffic, um zu gewährleisten, dass er keine Malware enthält und keine Daten extrahiert werden. So wird also jedes Mal, wenn ein Mitarbeiter auf eine Anwendung zugreift, der Zugriff streng kontrolliert und der Traffic untersucht.
Für einige Mitarbeiter fühlen sich diese strenge Kontrolle und die Untersuchung vielleicht an, als würden sie ausspioniert und als würde man ihnen nicht vertrauen. Doch ich sehe das anders. Ich betrachte das Ganze eher als starke Variante des Prinzips der geringstmöglichen Berechtigungen. Und ganz ehrlich: Ich will gar keine Berechtigung, die ich nicht brauche. Das ist sicherer für das Unternehmen und auch für mich. Stellen Sie sich vor, es gäbe keine Zugriffskontrolle und keine Untersuchung. Und ganz ohne mein eigenes Verschulden gelangt irgendwie Malware auf meinen Laptop. Diese Malware könnte anfällige Anwendungen finden, sich verbreiten und großen Schaden anrichten. Oder vielleicht unterläuft mir trotz zahlreicher Phishing-Schulungen ein Fehler und ich klicke aus Versehen auf einen gefährlichen Link, der daraufhin ebenfalls großen Schaden anrichtet. Ich würde mich schrecklich fühlen, wenn ein kleiner Fehler meinerseits das Unternehmen so stark beeinträchtigen würde.
Deshalb finde ich es besser, zu wissen, dass die Zero‑Trust-Systeme meines Unternehmens meinen Zugriff streng kontrollieren und meinen Traffic untersuchen. Diese automatisierten Kontrollen schützen mich und das Unternehmen und halten mir den Rücken frei, wenn ich tatsächlich mal einen Fehler begehe. Sie sollten sich also lieber freuen, wenn Ihr Unternehmen Zero Trust implementiert. Denn das bedeutet nicht, dass man Ihnen nicht vertraut, sondern nur, dass man Sie und das Unternehmen besser schützt. Heißen Sie Zero Trust mit offenen Armen willkommen. Aber schreiben Sie es nicht auf ein T‑Shirt.
In ihrer neuen Implementierungsrichtlinie definiert die National Security Agency den Begriff „Zero Trust“ als Sicherheitsmodell, welches „das implizite Vertrauen in Elemente, Knoten und Services aufgibt und stattdessen eine fortlaufende Verifikation des Betriebszustands über Echtzeit-Informationen erfordert, die aus mehreren Quellen bezogen werden, um den Zugriff sowie andere Systemantworten zu bestimmen“. Diese Beschreibung klingt erst einmal ziemlich komplex. Das gibt Menschen natürlich zu denken, wenn sie sich mit diesem Thema befassen sollen.
Doch ich finde, dass gerade diese Komplexität ein Grund für Zero Trust ist. Denn Komplexität ist ein Feind der Sicherheit. Und Zero Trust ist in Wirklichkeit ein einfaches Sicherheitsmodell, das auf zwei wichtigen Grundlagen basiert: dem Fokus auf geringstmögliche Berechtigungen und der Verifikation des Nutzers. Indem wir diese Prinzipien annehmen, können wir die Entwicklung hin zu Zero‑Trust-Sicherheit beschleunigen, bei der sowohl der Schutz als auch die einfache Verfügbarkeit Priorität haben.
Fokus auf geringstmögliche Berechtigungen
Bevor wir den Begriff „geringstmögliche Berechtigungen“ definieren, möchte ich erst einmal eine häufige Fehlinterpretation des Begriffs „Zero Trust“ richtigstellen. Ich konnte mich am Anfang nur schwer an den Begriff gewöhnen, weil er scheinbar vermittelt, dass Unternehmen ihren Mitarbeitern kein Vertrauen entgegenbringen sollten. Aber das stimmt natürlich nicht. Ich möchte meine Mitarbeiter schützen und meinen Kunden ermöglichen, dasselbe für ihre Mitarbeiter zu tun. Und ich finde nicht, dass der Aufwand für höhere Sicherheit von Mitarbeitern getragen werden sollte.
Ein Sicherheitsmodell, das sich auf geringstmögliche Berechtigungen konzentriert, nimmt Mitarbeitern die Entscheidung darüber ab, ob Elemente schädlich sind oder nicht. Sie können ganz einfach auf die Anwendungen zugreifen, die sie für ihre Arbeit brauchen – über die Geräte, die sie verwenden wollen. Und währenddessen sorgen intelligente und sorgfältig konfigurierte Richtlinien für ihren Schutz. So ist auch kein Netzwerkzugriff mehr erforderlich, wodurch eine große Risikoquelle für das Unternehmen einfach wegfällt. Und auch die Komplexität für IT- und Sicherheitsteams wird reduziert, weil sie Entscheidungen anhand perfekt eingestellter Richtlinien treffen können.
Aber was passiert, wenn man das Prinzip der geringstmöglichen Berechtigungen mit der Cloud kombiniert? Die einfache Antwort: Unternehmen können ihren Sicherheitsansatz überdenken, während sie gleichzeitig potenzielle Zusatzkosten reduzieren. Ich habe kürzlich eine interessante Studie von Gartner gelesen. Dort hieß es, dass Cloudsicherheit voraussichtlich das am schnellsten wachsende Segment im Bereich Cybersicherheit sein wird. Laut den Prognosen sollen die Ausgaben in diesem Segment um mehr als 30 Prozent pro Jahr steigen. Wenn Sie bereits auf die Cloud umgestiegen sind und Ihre Anwendungen remote bereitgestellt werden (also weder im Büro noch lokal bei den Mitarbeitern), dann ist Zero Trust einfach nur der nächste Schritt und kein riesiger Sprung.
Schutz und Verifikation der Nutzer
Wenn es um Sicherheit, Remotezugriff und Zero Trust geht, müssen wir auch über die Anmeldeprozesse der Mitarbeiter sprechen. Zwar ist Komplexität ein Feind der Sicherheit, doch Nutzer einfach nur zu verifizieren und ihnen dann zu vertrauen, reicht nicht aus – auch nicht nach einer Multi‑Faktor-Authentifizierung (MFA) wie z. B. bei der Autorisierung des Anwendungszugriffs über das Smartphone des Nutzers oder über eine SMS. Ein Kollege von mir schrieb kürzlich, dass Cyberkriminelle heutzutage ganz normale Tools verwenden, um ihre Angriffe durchzuführen. So wird es für Mitarbeiter schwieriger, echte Push-Benachrichtigungen von falschen zu unterscheiden. Genau das war auch letzten Sommer bei verschiedenen britischen Banken der Fall.
Deshalb gilt auch für MFA meiner Meinung nach das gleiche grundlegende Schutzprinzip, dass alles für geringstmögliche Berechtigungen spricht. Unternehmen müssen Mitarbeitern die Entscheidung und damit auch die Belastung abnehmen – sodass sie gar nicht erst in die Situation kommen, eine falsche Push-Benachrichtigung annehmen zu können. Zum Glück ermöglichen MFA‑Lösungen, die auf neuen Standards wie FIDO2 basieren, die Erkennung falscher MFA‑Benachrichtigungen, damit sie überhaupt nicht bei Mitarbeitern ankommen.
Der neue Normalzustand
Gerade finden viele Diskussionen darüber statt, dass die Remotearbeit der neue Normalzustand ist. Doch ich empfehle Ihnen, dabei nicht an „innerhalb“ oder „außerhalb des Büros“ zu denken oder sich den Remotezugriff als eine Art „Netzwerkzugriff aus der Ferne“ vorzustellen. Gleichzeitig gilt bei diesem Thema für Unternehmen, dass sie Mitarbeiter entlasten müssen, indem sie ihnen die Entscheidung darüber abnehmen, ob etwas schädlich ist oder nicht. Wie Sie mittlerweile wahrscheinlich gemerkt haben, bin ich der Meinung, dass der Fokus auf Anwendungs- statt auf Netzwerkzugriff sowie die Umstellung auf ein Zero‑Trust-Modell, welches auf dem Prinzip der geringstmöglichen Berechtigungen basiert, der neue Normalzustand für unser internetorientiertes Leben sein sollten. Das kommt Mitarbeitern, IT‑Organisationen und Unternehmen gleichermaßen zugute.
