Im vorherige Blogbeitrag haben wir die Frage beantwortet, welches die Treiber und Trends für Zero Trust sind. Zero Trust ist aber nicht Selbstzweck, sondern verfolgt bestimmte Ziele. Welche diese konkret sind, erklären wir ihnen im folgenden Blog Nr. 4.
Zero Trust gehört in den Bereich IT-Sicherheit, nun gilt es zu definieren, welchen Zweck IT-Sicherheit für Ihr Unternehmen erfüllt. Die Antwort kann je nach Unternehmen unterschiedlich beantwortet werden. Für einen Dienstleister können die Kundendaten das schützenwerteste Gut darstellen. Bei einem Flughafen könnten dies die Kommunikations- und Leitsysteme sein. Bei einem Industriebetrieb die Produktionsanlagen oder Fertigungspläne. Bei einem Atomkraftwerk die Überwachung und Steuerung Kühlsysteme. Bei einem Spital wiederum Patientendaten oder medizinischen Systeme. Die Liste würde sich hier noch lange vorführen lassen. Sie zeigt aber, dass die Sicherheitsanforderungen äusserst unterschiedlich und individuell betrachtet werden müssen.
Gemeinsam bei allen Anwendungsfällen sind zwei Bereiche: Informationen und Identitäten. Das Ziel von Zero Trust sollte also grundsätzlich sein, den Zugriff von nicht autorisierten Identitäten auf Informationen und Systeme, welche für das Unternehmen wertvoll sind, zu schützen. Nicht nur der Zugriff, auch Diebstahl, Veränderung oder Verschlüsselung können Angriffsszenarien sein. Dies ist im Grundsatz nicht komplett neu, auch die bisherige Sicherheitsarchitekturen folgen diesen Zielen. Bei Zero Trust kommt aber das dynamische, kontextbasierte Regelwerk hinzu, welches situativ entscheiden soll, ob der Zugriff gewährt wird. Das Ziel besteht also darin, situativ für jede Anfrage unter Berücksichtigung der zur Verfügung stehenden Parameter zu entscheiden, ob die Vertrauensstellung aufgebaut wird und diesen Zugriff laufend zu überwachen.
Eine der ersten grossen Herausforderungen einer Zero Trust Strategie besteht darin, die sensiblen und schützenswerten Informationen zu identifizieren und deren Datenfluss abzubilden. Schon dieser erste Schritt wird jedem Unternehmen einen wichtigen und bereichernden Erkenntnisgewinn bringen. Insbesondere kann dabei auch entdeckt werden, ob eine Schatten-IT existiert und bisher nicht bekannte Zugriffe stattfinden.
In einem nächsten Schritt gilt es die vorhandenen Identitäten zu vereinheitlichen und zu definieren, wer, wie und mit welchen Systemen auf die zuvor identifizieren Daten zugreifen und diese bearbeiten darf. Eine starke Authentisierung mit Zertifikaten und zweitem Faktor ist für diese Identitäten bildet die Basis für einem sicheren Zugriff.
Zusammengefasst unterscheiden sich die Ziele von Zero Trust nicht grundsätzlich von den traditionellen Sicherheitsprämissen. Es geht weiterhin darum, schützenswerte Daten vor unautorisiertem Zugriff, Veränderung oder Zerstörung zu schützen und dabei die Widerstandsfähigkeit eines Unternehmens gegenüber Cyber-Angriffen zu stärken. Mit Zero Trust wird diese Widerstandsfähigkeit auch für verteilte Ressourcen und unterschiedlichste Zugriffsvarianten gewährleistet.
Um eine Zero Trust Strategie für Ihr Unternehmen zu formulieren, sollten Sie die grundsätzlichen Zero Trust Prinzipien berücksichtigen. Welche dies sind und was diese bedeuten erklären wir Ihnen im nächsten Blog dieser Serie.