Blogbeitrag, was bedeutet Zero Trust bedeutet

Zero Trust – oder lassen Sie jeden rein?

Was bedeutet Zero Trust eigentlich? Was ist das Prinzip dahinter? All dies & mehr erfahren Sie hier!

Im Artikel „Zero Trust – Ein neues Zeitalter der Cyber Security“ hat unser Experte Anton Peter bereits seine Einschätzung zum Zero Trust-Modell gegeben. In diesem Blogbeitrag möchten wir uns mit ein paar grundlegen Fragen beschäftigen:  Was bedeutet Zero Trust eigentlich? Was ist das Prinzip hinter Zero Trust? Was ist der Nutzen? All dies und mehr klären wir hier.

Vorab die Theorie

Zero Trust ist ein Sicherheitsmodell aus der Cyber-Security. Bevor Zugang zu Daten oder IT-Ressourcen generell gewährt wird, müssen verschiedene Prüfmechanismen ausgeführt werden, um die Identität des Anfragenden und die Legitimität des Zugriffes zu verifizieren. Der Zugriff darf – wie der Begriff schon ausdrückt – auf keinen Fall auf Basis von Vertrauen erteilt werden. Ziel ist es, unberechtigte Zugriffe und mögliche Folgerisiken, wie beispielsweise Datenverlust oder andere nachteilige Ereignisse dieser Art, zu vermeiden. Zero Trust ist ein Denkmodell und keine exakte Handlungsvorgabe: Auf Basis des Ansatzes werden operative Modelle entwickelt, um dem Ziel des Datenschutzes und der Datensicherheit so nahe wie möglich zu kommen.  

Und in der Praxis?

Blogbeitrag, was bedeutet Zero Trust bedeutet

Um das Konzept ein wenig greifbarer zu machen, möchten wir das Ganze anhand eines Praxisbeispiels näher beleuchten. Folgendes Szenario: Wohnungen in einem Mehrfamilienhaus.

In den Wohnungen werden mehr oder weniger schützenswerte Gegenstände aufbewahrt und der Zugang ist folglich durch Türen eingeschränkt: Eine Tür zum Treppenhaus, weitere Türen zu den jeweiligen Wohnungen.

Situation 1 aka „Full Trust“:

Es klingelt – ohne Nachfrage wird der Türöffner betätigt, der Klingelnde betritt das Treppenhaus – ohne Verifizierung der Identität und Legitimation. 

Situation 2 aka „Little Trust“:

Es klingelt – die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz! Ich bin’s Ihr Nachbar Meier. Könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“. Der Türöffner wird betätigt, der Klingelnde betritt nach einfacher Verifizierung der Identität und Legitimation das Treppenhaus. 

Situation 2 scheint zunächst kein schlechter Schachzug: Zumindest wurde eine Abfrage der Identität durchgeführt und die Legitimation abgefragt – allerdings ohne Gegenprüfung. So können sowohl Situation 1 als auch Situation 2 schwerwiegende Konsequenzen mit sich ziehen: Wir vertrauen und setzen darauf, dass unser Vertrauen nicht missbraucht wird. Kommen wir zu Situation 3 aka „Zero Trust“:

Situation 3 aka „Zero Trust“:

Es klingelt, die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz, ich bin’s Ihr Nachbar Meier, könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“

Nach dem Zero Trust Modell ergeben sich folgende Handlungsoptionen:

  1. Prüfung der Identität: Sie erkennen, dass im Haus kein Meier wohnt. Der Klingelnde wird abgewiesen.
  2. Prüfung der Identität: Im Haus wohnt eine Familie Meier, allerdings haben Sie die Stimme nicht erkannt. Sie fragen bei der Nachbarwohnung an, ob die Situation zutreffend ist. Der angegebene Herr Meier verneint die Situation, der Klingelnde wird abgewiesen.
  3. Prüfung der Identität: Es ist eine Gegensprechanlage mit Videofunktion installiert. Sie erkennen den Klingelnden nicht als Herrn Meier, die Person wird abgewiesen.
  4. Prüfung der Identität: Keine der vorherigen Optionen ist ausführbar. Sie delegieren die Entscheidung an eine höher gestellte Autorität, beispielsweise den Hausmeister.
  5. Prüfung der Legitimität: Sie bestehen darauf, dass der Klingelnde einen Schlüssel nutzt, um den geschützten Bereich zu betreten

Die alles entscheidende Frage ist also: Wann und unter welchen Umständen darf jemandem die Tür geöffnet werden, nur aufgrund…

  • …der Kenntnis Ihres Namens.
  • …der Angabe des Namens eines möglichen Nachbarn.
  • …der Aussage, dass der eigentlich legitime Weg nicht möglich ist, man aber trotzdem gerne den geschützten Raum betreten möchte.

Und in der digitalen Welt?

Blogbeitrag, was bedeutet Zero Trust bedeutet

Verhält es sich ähnlich. Es werden digitale Dienste in Form von Websites, Apps etc. bereitgestellt, deren Nutzung im Idealfall erheblich zum ökonomischen Vorteil eines Unternehmens beitragen. Aufgrund diverser Regularien sowie im Interesse des Business und des unternehmerischen Selbstschutzes sind manche Funktionen nicht nutzbar und bestimmte Daten ohne erfolgreiche Identifizierung, Authentisierung und Autorisierung nicht zugreifbar – das heißt, der Anwender muss sich einloggen.  

In den meisten Fällen müssen Anwender leider nur einen Benutzernamen und ein passendes Kennwort (auch „Credentials“ genannt) angeben und der Zugang ist gewährt. Doch wie sicher ist diese Art der Zugriffskontrolle? Nur bedingt. 

Das Risiko

Credentials sind heutzutage nicht mehr sicher. In den Medien wird regelmäßig über „digitale Einbrüche“ berichtet – meistens handelt es sich um den Verlust von Zugangs- und Bezahldaten, auf Basis von Spoofing und Phishing, d.h. dem Vorgaukeln falscher (Identitäts-)Tatsachen bzw. dem Verlust der Credentials durch Betrug oder Diebstahl. Den eigentlichen Eigentümern der Daten ist der Verlust erstmal nicht bewusst, kann aber ungeahnte Folgen haben und eine große Sicherheitslücke hinterlassen. Es ist hinreichend bekannt, dass Credentials über illegale Wege sehr einfach zu beschaffen sind, sodass sich in den letzten Jahren ein Markt entwickelt hat. 

Die verlorenen Credentials können nun missbraucht werden, weil die Prüfung der Originalität und Authentizität auf Seiten der Service-Anbieter nicht mehr stattfindet. Es wird darauf vertraut, dass derjenige, der die Credentials präsentiert, auch dazu legitimiert ist, diese zu nutzen. Die unrechtmäßige Aneignung wird leider häufig übersehen.

Die Lösung

Eigentlich sollte der Service-Anbieter im eigenen Interesse eine weiterführende Prüfung der Legitimität durchführen. Das ist sehr einfach möglich: In der digitalen Welt lassen sich diverse Informationen beschaffen und als Indizien nutzen, ohne dass dies dem Anwender zur Last fällt.

  • Die Uhrzeit: Der erwartete Eigentümer der Credentials sitzt in Deutschland, die Nutzung erfolgt allerdings um 3:44 Uhr in der Nacht?
  • Die Lokation der Anfrage: Der Zugriff erfolgt von einem anderen Kontinent?
  • Das genutzte Gerät bzw. dessen Einstellungen: Der Inhalt der Services wird aufgrund der erkannten Settings nicht in Deutsch, sondern in einer anderen Sprache angezeigt?
  • Nutzerverhalten in der Anwendung: Der Eigentümer weicht von seinem regulären Verhalten stark ab?
  • Die Nachfrage nach einem weiteren Faktor, über den der rechtmäßige Nutzer verfügt. Beispiel: Ein SMS Code zusätzlich zu den Credentials.

Fazit

Die Handlungsempfehlung nach Zero Trust sollte immer in Betracht gezogen werden, wenn Zugriffe auf Daten und Ressourcen bereitgestellt werden – egal, ob für die eigenen Mitarbeiter, Kunden oder Partner. Datenschutz und -sicherheit haben insbesondere aufgrund der derzeit gültigen und in Zukunft weiter verschärften Datenschutzrichtlinien immer die höhere Priorität gegenüber möglichen Kosten. Aber auch im eigenen Interesse, um das Unternehmen, die Marke und die Reputation zu schützen. Wir von der TIMETOACT unterstützen und helfen unseren Kunden schon seit Jahren: Sollten Sie Interesse an lösungsorientierten Vorschlägen haben, können Sie hier mehr erfahren.

Blogbeitrag, zu was eigentlich „Single-Sign-On“ (SSO) ist
Blog 14.10.20

Was ist eigentlich „Single-Sign-On“ (SSO)?

Diese Frage beantworten wir unserem Blogbeitrag. Erfahren Sie außerdem, welche Geschichte sich hinter Single-SIgn-On verbirgt.

Blog Spoofing Fishing Teaser
Blog 21.10.20

Spoofing und Phishing

Heutzutage gilt es mehr denn je, sich effektiv vor Daten- und Identitätsdiebstahl zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ . Wir erklären Ihnen, was es damit auf sich hat!

Zero Trust – Ein neues Zeitalter der Cyber Security
Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat eine neue Ära erreicht: Das Zero Trust-Zeitalter verändert den Blick auf Sicherheitsbedrohungen und stellt neue Anforderungen an den Schutz digitaler Systeme.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Teaser Bild Interview Roher Jakober Kopie
Blog 29.06.22

Zero Trust dank modernem Authorization Management

Wie können Unternehmen eine Zero Trust Policy implementieren? Und was muss dabei berücksichtigt werden? Diesen Fragen stellten sich Pascal Jacober, Sales Director Europe bei PlainID, und Marco Rohrer, Chairman & Co-Founder der IPG, in einem Interview.

Das Thema IT-Security immer weiter in den Fokus
Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.

Blogbeitrag zu Pam, warum das jeder kennen sollte
Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 24.11.20

So verheiraten Sie One Identity Safeguard & -Manager

Sie haben zwei Produkte des gleichen Herstellers bei einem Kunden implementiert, aber die beiden Akteure vertragen sich noch nicht so richtig. In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln.

Blogbeitrag, wie das optimale IAM Tool gefunden werden kann
Blog 20.07.20

So finden Sie das optimale IAM-Tool für sich!

Fragen Sie sich auch, wie Sie ein geeignetes IAM-Tool finden können, das zu Ihren Anforderungen und Vorstellungen passt?

Blogbeitrag zur Authentifizierung als Schutz von Unternehmen
Blog 17.08.20

Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen.

Passwörter Gegenwart
Blog 19.05.21

Passwörter heute – der Status quo

Was hat sich bei Passwörtern vom Mittelalter bis heute verändert? Erfahren Sie alles zu Status Quo sowie aktuellen Zahlen & Fakten in Teil 2 der Blogserie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ .

GARANCY ist ein IAM Produkt mit vielfältigen Möglichkeiten
Blog 09.09.20

GARANCY – vielfältigen IAM-Möglichkeiten

Die GARANCY IAM Suite stellt eine dynamische Lösung zur Verfügung, um Datendiebstählen vorzubeugen.

Blogbeitrag zu GARANCY IAM Suite Version 3
Blog 20.10.20

GARANCY IAM Suite – Das bietet Version 3

Die GARANCY IAM Suite ist für viele Professionals im Identity Access Management (IAM) das Tool der Wahl. Wir geben Ihnen einen Überblick zu den Neuerungen der dritten Version des Beta Systems Produkt.

Passwörter Geschichte
Blog 14.05.21

Kleine Geschichte des Passworts

Passwörter gibt es schon länger als sie vielleicht denken. Im ersten Blogbeitrag der Serie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ nehmen wir Sie mit auf eine Reise zu den Ursprüngen des Passworts.

Webcast

Webcast: "Expedition zum Identity Management"

Gemeinsam mit tollen Speakern und einer spannenden Agenda möchten wir Ihnen das Thema "Einführung eines Identity Managements" näher bringen. Dazu zeigen wir Ihnen, wie tatsächliche Expeditionen (beispielsweise im Himalaya) geplant und durchgeführt werden, wie ein Unternehmen - übertragen auf IAM - auf diesem Weg agiert und wie die TIMETOACT in Kooperation mit Savyint Sie begleitet.

Sep 30
Releasewechsel eines eingesetzten IAM-Tools
Referenz

Releasewechsel eines eingesetzten IAM-Tools

TIMETOACT erhielt den Auftrag, einen Major Releasewechsel beim eingesetzten IAM-Tool durchzuführen und die Prozesse soweit wie möglich zurück zum Standard des Produktes zu entwickeln. Gleichzeitig wurde ein Wechsel des Service Providers notwendig, was zur Folge hatte, dass sämtliche Komponenten des IAM in ein neues Rechenzentrum umgezogen werden mussten.

Passwörter Zukunft
Blog 26.05.21

Die Zukunft des Passworts – Login ohne Gehirnakrobatik

Ist die Zukunft des Passworts eine Zukunft ohne Passwort? Lange Zeit hat sich in Sachen Identity Management nicht wirklich viel getan. Die Zukunft scheint da vielversprechender – ein Gedankenexperiment.

Header zum Expertenbericht Self-Sovereign Identity 1
Blog 22.09.21

Self-Sovereign Identity Teil 1: Die Geschichte

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.

Header zum Expertenbericht Self-Sovereign Identity 2
Blog 30.09.21

Self-Sovereign Identity Teil 2: Identitäten

Der ausschlaggebende Faktor ist die Einführung der „Identität“ als digitales Abbild des Anwenders aus Sicht der Fachprozesse und des Unternehmens und nicht als Kopie oder Aggregierung der Benutzerkonten. Diese sind vielmehr der Identität subsequent zugeordnet. Basis dafür sind Identitäts- und ORG-Daten von HR.

Header zum Expertenbericht Self-Sovereign Identity 3
Blog 06.10.21

Self-Sovereign Identity Teil 3: Eine neue Ära

Die selbstsouveräne Identität ist eine Ausprägung eines ID- oder Identitätssystems, bei dem jeder Einzelne als Dateneigentümer die Kontrolle darüber behält, wann, gegenüber wem, wie und wie lange die eigenen Identitätsdaten freigegeben und verwendet werden dürfen.