Was ist das Zero-Trust-Modell?

Mit dem Zero-Trust-Modell bezeichnet man ein IT-Sicherheitskonzept, bei dem nur unternehmensinternen Geräten, Nutzern oder Diensten vertraut wird. Außenstehenden Entitäten wird also misstraut.

Ziel ist es dabei das Risiko für Netzwerke und Anwendungen innerhalb der eigenen Unternehmung zu minimieren und insbesondere interne Gefahrenpotenziale auszuschließen. Gerade Insider-Angriffe sowie kompromittierte Geräte und Dienste im internen Netz stellen immer noch eine der größten Sicherheitsrisiken dar.

Grundsätze des Konzeptes

Wie bereits dargestellt liegt ein Grundsatz darin keinem außerhalb des eigenen Netzwerkes zu vertrauen. Daraus lassen sich Maßnahmen ableiten wie die Authentifizierung sämtlicher Anwender und Anwendungen und die grundsätzliche Verschlüsselung des Datenverkehres. Dieser könnte möglicherweise ansonsten von Dritten abgehört und manipuliert werden. Dabei ist außerdem die Verschlüsselung auf Anwendungsebene sowie auf den Speichergeräten erforderlich.

Daneben sind Maßnahmen zu ergreifen, benötigte Zugriffsrechte auf Dienste, Anwendungen und Geräte möglichst feingranular und genau zu definieren, damit unbefugte Zugriffe und Änderungen vermieden werden können.

Entscheidend ist die Gleichbehandlung aller Geräte, Dienste und Anwender insbesondere im Hinblick auf die allgemeinen IT Sicherheitsgrundsätze Vertraulichkeit, Integrität und Verfügbarkeit.

Unterschiede dieses Modells zu traditionellen Ansätzen

Sind Geräte und Benutzer erst einmal im Netzwerk angemeldet behandeln herkömmliche Sicherheitskonzepte diese Geräte grundsätzlich aus vertrauenswürdig. Somit stößt ein potenzieller Angreifer, ist er erstmal mit einer Entität Teil des Netzwerkes, auf keine großen Schwierigkeiten mehr, da entsprechende Authentifizierungs- und Autorisierungsmechanismen in der Regel nur auf eingehenden Datenverkehr ausgerichtet sind. Beim Zero-Trust-Modell werden nicht nur die Netzerwerkgrenzen sondern das gesamte System auch im Innenverhältnis geschützt.

Praktische Umsetzung

Eine “buchstabengetreue” Umsetzung des Zero-Trust-Modells erfordert einen erheblichen Aufwand. Im Sicherheitskonzept müssen alle IT bezogenen Komponenten erfasst und kontrolliert werden. Netzwerke müssen, um ein abestuftes Sicherheitskonzept umsetzen zu können in der Regel segmentiert werden, d.h. je nach Verwendung und Aufkommen des Datenverkehrs werden beispielsweise virtuelle Netzwerke erzeugt, die gegenüber den anderen Netzwerken dann mittels Firewall und IDS Systemen abgegrenzt werden können.

Bei der Auswahl der technisch organisatorischen Maßnahmen zur Gewährleistung von IT Sicherheit im Unternehmen sollte das Zero-Trust-Modell nur dann in Erwägung gezogen werden, wenn andere Konzepte wie ISIS12 oder ISO 27001 aus Gründen des Datenschutzes nicht ausreichend sind.

Netzwerkabsicherung – wichtiger denn je

IT-Verantwortliche haben heute mehr denn je mit sicherheitsrelevanten Themen zu tun. Nicht mehr nur die Netzwerk Verfügbarkeit und der reibungslose Betrieb des Netzwerks stehen ganz oben auf der Prioritätenliste. Dies wird heute in einem IT-basierten Unternehmen einfach vorausgesetzt. Sicherheit vor Cyberangriffen, Viren oder Hackerangriffen ist in den Köpfen der IT-Verantwortlichen immer präsent, wenn es um das Thema Informationssicherheit geht. Denn neben E-Mails und HTML gibt es inzwischen auch vermehrt Angriffe auf das Domain Network System (DNS). Deswegen steht DNS Security heute hoch im Kurs und die Netzwerkabsicherung ist ein heißes Thema für IT-Profis. Informationssicherheit ist das höchste Gut im digitalen Zeitalter und kann für ein Unternehmen geschäftsentscheidend sein. Laut Bundesamt für Sicherheit in der Informationstechnologie haben die meisten Unternehmen die Wichtigkeit des Themas zum Glück erkannt: 89 Prozent aller Unternehmen setzen bereits auf Netzwerkabsicherung zum Schutz gegen Cyber-Angriffe aus dem World Wide Web.

Was versteht man unter Informationssicherheit?

Informationssicherheit bedeutet, dass Informationen, die technisch verarbeitet werden, ausreichend geschützt werden. Dieser Schutz gilt der Manipulation vor fremden bzw. dazu nicht autorisierten Quellen. Wichtig ist, dass keine Informationen nach außen bzw. in die falschen Hände gelangen. Um Informationssicherheit zu gewährleisten, können bzw. müssen Unternehmen jede Menge tun. So gibt es Maßnahmen, die auf der Seite der Hardware oder auf der Seite der Softwares ansetzen. Nur die Kombination aus beiden Maßnahmenpaketen führt in der Regel zum Erfolg und zu einem ausreichenden Schutz der sensiblen Daten.

Das Domain Name System (DNS) als zentraler Bestandteil der Netzwerkabsicherung

Ein Domain Name System verfügt per se über keine Sicherheitsfunktionen. Als das DNS in den 80er Jahren erstmals entwickelt wurde waren diese noch nicht nötig. Denn es die heute leider weit verbreiteten kriminellen und schädlichen Entwicklungen im Internet noch nicht. Aus diesem Grund ist das DNS heute ein beliebtes Einfalltor für Cyber-Kriminelle. DDoS-Angriffe sind für Spezialisten vergleichsweise leicht zu entwickeln, da sie mit der unternehmenseigenen DNS-Infrastruktur stattfinden. Aus diesem Grund muss jedes Unternehmen dafür sorgen, dass das eigene DNS ausreichend geschützt ist, damit es nicht zu Überlastungsangriffen kommt. Bekanntlich können diese ein System für eine unangenehm lange Zeit still legen.

Konkrete Maßnahmen zur Netzwerkabsicherung

Doch was können Unternehmen tun, um das DNS zu schützen? Eine Möglichkeit sind eigene DNS-Server. Außerdem kann Software zur Erkennung von Schwachstellen eingesetzt werden und auch ständig wiederkehrende Scans sollte jedes Unternehmen durchführen, um das ganze System regelmäßig zu checken und Malware oder Viren zu identifizieren und unschädlich zu machen. Doch Unternehmen können noch mehr tun, als diese reaktiven Maßnahmen einzusetzen. Elementar dafür ist es, dass das DNS zentral verwaltet wird. Denn nur wenn alle Konfigurationen, Policies und auch das zugehörige Reporting Hand in Hand gehen, können die Security-Verantwortlichen jederzeit den Überblick behalten und rechtzeitig reagieren.

Denn ein Ausfall der IT kann verheerende Folgen für jedes Unternehmen haben. Vertraulichkeit in der Datenverarbeitung ist nicht erst seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 präsent in allen Chef-Etagen. Eines der wichtigsten Schutzziele in Unternehmen ist der Datenschutz. Mit Threat Intelligence Services ist Malware im Normalfall frühzeitig erkennbar, ohne dass es zu Schäden in der IT-Infrastruktur kommt.

DNS-Security ist heute auch aus der Cloud zu haben. Das ist gerade für Unternehmen mit vielen mobilen Anwendern interessant. In Summe ist es wichtig eine integrierte, langfristige und skalierbare Lösung zu haben, um auch zukünftigen Bedrohungen nicht tatenlos zusehen zu müssen. Denn für jedes Unternehmen ist es wichtig für die Vertraulichkeit von Daten Maßnahmen zu ergreifen.

Fazit

Netzwerkabsicherung ist wichtig und wurde aus diesem Grund bereits im Großteil der deutschen Unternehmen umgesetzt. Da sich die IT allerdings ständig weiterentwickelt, ist es wichtig am Ball zu bleiben und die eingesetzten Systeme immer auf dem neuesten Stand zu halten.

Thema IT Sicherheit: Passwörter

Die meisten Sicherheitslücken in Unternehmen bestehen darin, dass Mitarbeiter den gesetzten Sicherheitsstandards nicht gerecht werden können. Passwörter mit geringer Komplexität, ist dabei ein wichtiges Thema. Es ist verständlich, dass Benutzer dazu neigen, einfache Passwörter zu nutzen. Gerade in der heutigen Zeit muss man sich unzählige Passwörter merken. Das verleitet zum einen zu den erwähnten einfachen Passwörtern zum anderen wird meist ein und dasselbe Passwort für unterschiedliche Plattformen genutzt. Dadurch steigt das Sicherheitsrisiko immens. Nicht selten musste man in der Vergangenheit lesen, dass Passwortlisten von solchen Plattformen gestohlen wurden. Diese finden dann mitunter Verwendung in Angriffsszenarien auf eigene Systeme.

Von daher sollte man folgende Aspekte bei der Nutzung von Passwörtern beachten:

  1. Keine einfachen Passwörter verwenden,
  2. Nicht die gleichen Passwörter auf mehreren Systemen nutzen,
  3. Administratoren sollten regelmäßig veröffentliche Passwortlisten abgleichen und so kompromittierte Passwörter entdecken,
  4. Passwörter nicht notieren,
  5. Passwörter regelmäßig ändern.

Insbesondere komplexe Passwörter zu generieren und sich diese dann noch zu merken ist keine einfache Aufgabe. Glücklicherweise gibt es im Internet eine Reihe von Passwort Managern, die einem das Leben erleichtern können. Hierbei werden Passwörter entweder lokal oder aber remote sicher abgespeichert. Allerdings sollte man nicht jedes beliebige Tool nutzen. Entscheidend ist die dem Programm zugrunde liegende Architektur. Diese sollte auf Sicherheitsrisken untersucht werden. Gerne hilft Ihnen etis bei der Evaluation von Sicherheitlösungen und bei der Beratung im Hinblick auf technisch organisatorische Maßnahmen (ISIS12 und ISO27001).

Folgende Auswahl an Managern können wir auf Basis der Architektur unverbindlich (d.h. ohne jegliche Übernahme einer Haftung) empfehlen:

  • 1Password, sehr sicheres Konzept. Insbesondere hat die Anwendung keinen Zugriff auf die Schlüssel, die im Service gespeichert sind. Daneben werden die dort vorhandenen Daten dreifach verschlüsselt. Zudem besteht eine gute Betriebssystemintegration und eine einfache Handhabung.
  • Enpass – Die Sicherheitsarchitektur ist makelos. Der „Tresor“ wird mittels AES256 verschlüsselt. Daneben gibt es eine umfangreiche Cloud Unterstützung.
  • Password Depot – Ein Passwort Manager aus Deutschland, der auch eine Serverversion für den professionellen Einsatz zur Verfügung stellt. Das Sicherheitskonzept ist ebenfalls überzeugend.