Zero Trust – Datensicherung auf der nächsten Stufe

Vertrauen ist gut – Kontrolle ist besser. Doch wenn es um die Sicherheit von Unternehmen und Ihren Daten geht, denken viele Firmen gerade um. Zero Trust stellt Sicherheit vor Vertrauen. Erhalten Sie in diesem Artikel einen Einblick in das System.

Flexible Lösungen der Arbeitsweise bleiben ein Thema. Immer mehr Mitarbeiter nutzen Lösungen im Bereich Home-Office so wie Mobiles Arbeiten. Weiterhin treiben viele Unternehmen ihre eigene Digitalisierung stark voran. Neben Erweiterungen im Softwarebereich werden Maschine-Maschine-Kommunikation oder Cloud-Computing immer interessanter.

Doch mit der Erhöhung digitaler Komponente und dem Ausbau der Firmen-Infrastruktur steigt auch die Gefahr von Datendiebstahl, Industriespionage oder Sabotage. Nicht immer droht die Gefahr von außen. Auch durch das Verhalten eigener Mitarbeiter können Daten, beabsichtigt oder unbeabsichtigt, in falsche Hände geraten. Die Zero-Trust-Architektur bietet die Möglichkeit, die eigene IT-Security zu verbessern. Doch was ist Zero Trust genau?

Schon im Jahr 2010 hat Forrester Research die zukünftige Bedeutung eines Zero Trust Ansatzes vorgestellt. Ende 2019 hat das „National Institute of Standards and Technology“ (NIST) einen Vorschlag zur Standardisierung einer Zero Trust Architecture (ZTA) veröffentlicht. Hierbei liegt der Ansatz auf dem Fokus des Schutzes der Ressourcen und der Daten. In der Vergangenheit die Konzentration auf den Schutz der Netzwerke durch Firewalls und VPN Leitungen. Eine Zero Trust Architecture bietet eine Sammlung von Konzepten, Ideen und Komponentenbeziehungen (Architekturen). Damit sollen Unsicherheiten bei der Durchsetzung genauer Zugriffsentscheidungen in Informationssystemen und -diensten beseitigt werden.

Hinter Zero Trust verbergen sich verschiedene Ansätze, um modernen und wachsenden Bedrohungen zu begegnen. Die Risiken erhöhen sich insbesondere durch verteiltes Arbeiten wie Home-Office, die Vernetzung mit Partnern und Kunden sowie der Nutzung von Cloud Service allgemein.

Die Antwort auf die vielfältigen Bedrohungen ist das Zero Trust Prinzip. Grundsätzlich wird niemandem vertraut. Weder den Rechnern und Netzwerken, den Nutzern und besonders nicht den Cloud Services. Dabei wird kein Unterschied gemacht zwischen dem geschützten internen Netzwerk und dem externen Netzwerk. Die Risiken werden fortlaufend innerhalb des Prozesses geprüft. Durch Gegenüberstellung von ZTA zu anderen Systemen wird der Unterschied verdeutlicht.

Bei Standard Systemen zur IT-Sicherheit wie VPN (Virtual Private Network) werden verschiedene Geräte innerhalb des Netzwerks miteinander verbunden. Da die Geräte als vertraut eingestuft sind, wird der Zugang zum Netzwerk gewährt. Wird nun beispielsweise WLAN von Mitarbeitern im Homeoffice, Außendienstmitarbeitern oder von Geschäftsreisenden genutzt, besteht die Gefahr, dass Unbefugte über dieses WLAN eindringen. Ist dies einmal gelungen, ist der Zugriff frei, da nicht neu überprüft wird.

Innerhalb des Zero-Trust-Modells werden Zugänge nicht dauerhaft, sondern dynamisch erteilt. Die Anwendungen sind im offenen Internet nicht sichtbar. Während beim VPN die sogenannten Tunnel innerhalb des Netzwerkes „verlegt“ werden, arbeitet ZTA meist auf Basis einer Cloud. So ist es möglich, von ganz unterschiedlichen Geräten aus zu arbeiten und sich damit deutlich schneller verbinden zu können als beispielsweise dem VPN. Hierbei sind die entsprechenden Lizenzen meist an bestimmte Geräte und Nutzer gebunden und müssen erst eingerichtet werden.

1. Die Authentifizierung jedes Anwenders ist zwingend notwendig. Gefordert sind 2-Faktor Authentifizierung oder ähnliche Ansätze
2. Die Anwendung selbst muss sich authentifizieren bevor sie Daten entschlüsseln darf.
3. Der Netzwerkverkehr sollte von der Anwendung für den Nutzer individuell verschlüsselt werden. Sodass auf teure und aufwendige VPN Lösungen (Virtual Private Netzwerk) verzichtet werden kann.
4. Die verschlüsselte Speicherung aller Daten, inklusive Metadaten (wie Datei oder Ordnernamen) ist zwingend notwendig, um Vertraulichkeit zu gewährleisten.
5. Eine konsequente Trennung von administrativen Zugriffen, (zur Verwaltung von Nutzern, Infrastruktur und Datensicherung) und authentifizierten Zugriffen auf Nutzerdaten gewährleistet den Schutz vor Informationslecks.
6. Die automatische vollständige Aufzeichnung aller relevanten Vorgänge in einem verschlüsselten Audit Trail ermöglichen eine kontinuierliche Überwachung und Kontrolle.

Mit konsequenter Umsetzung dieser Grundsätze ist es möglich, vertraulich über unsichere oder unbekannte Netzwerk-Infrastrukturen zusammenzuarbeiten. Daten können sicher vor fremder Einsichtnahme gespeichert werden.

Für die Einführung müssen Unternehmen ermitteln und abbilden wie Mitarbeiter, Kunden und Anwendungen auf Daten im Unternehmen zugreifen. Zugriffskontrollen werden auf die Ebenen der einzelnen Benutzer und Geräte verlagert. Dabei findet eine dynamische und kontinuierliche Überprüfung statt. Eine Mehrfach-Authentifizierung wird durchgeführt.

Die Vorteile von Zero Trust im Überblick:

• Mikro-Segmentierung bzw. Application-Segmentierung ersetzt Netzwerksegmentierung
• Apps sind nicht direkt im Internet sichtbar und erreichbar
• Zero Trust ist von jedem Gerät aus nutzbar
• Cloudbasierte Lösung, Hybrid oder OnPremise
• Ende-zu-Ende verschlüsselter TLS-Tunnel
• Konfiguration in Echtzeit, ohne das gesamte Netzwerk zu öffnen
• Administration auch vom Benutzer direkt möglich

Viele der genutzten IT-Infrastrukturen befinden sich außerhalb des eigenen Firmennetzwerkes und somit auch der gesamte Datenverkehr, der damit einhergeht. Umso wichtiger ist es, den Schutz sensibler Daten anzupassen. Zukünftig wird sich IT-Security diesem Paradigmenwechsel unterziehen. Auch wenn die Umsetzung Zeit beansprucht wird sie sich lohnen.

TeamDrive unterstützt alle Grundlagen, die für die Anwendung des Zero-Trust-Modells notwendig sind, seit dem ersten Tag. Bereits im Jahr 2006 begann TeamDrive damit, eine Architektur zur sicheren Zusammenarbeit über verteilte und unsichere Netzwerke zu entwickeln: Security by Design. Hierbei wurde eine Zero Knowledge Cloud Lösung geschaffen, bei der sämtliche Daten ausschließlich Ende-zu-Ende verschlüsselt übertragen werden. Dem entsprechend liegen sie auch auf den Servern (z.B. in der Cloud) verschlüsselt. Die jeweiligen Schlüssel verbleiben ohne Ausnahme unter Kontrolle der berechtigten Anwender.

Mit dieser modularen Cloud Collaboration Plattform (CCP) von TeamDrive können Unternehmen kostengünstig, hochsicher und vertraulich über das Internet zusammenarbeiten.