Wie Zero Trust Organisationen hilft, Cyberrisiken zu begrenzen

• Sicherheit und Compliance

Zero Trust ist ein modernes Sicherheitskonzept, bei dem nichts und niemand automatisch vertraut wird. Oder anders: never trust, always verify. In der Praxis bedeutet das, dass jede Kommunikation innerhalb Ihrer IT-Umgebung verifiziert und überwacht werden muss. In diesem Beitrag zeigen wir, wie Zero Trust hilft, Cyberrisiken zu begrenzen, und welche Rolle Identity & Access Management dabei spielt.

Was ist Zero Trust?

Die kontinuierliche Kontrolle innerhalb von Zero Trust unterscheidet sich grundlegend von der Absicherung traditioneller On-Premises-Unternehmensnetzwerke. Dort liegt der Schwerpunkt auf dem Anmelden im Netzwerk. Einmal im Inneren werden Benutzer implizit vertraut, und es gibt relativ viel Spielraum für die sogenannte 'Lateral Movement'. Ein Angreifer verschafft sich beispielsweise über ein E-Mail-Konto Zugang und kann von dort aus andere Systeme ansprechen.

Eine solche 'Perimeter-Sicherheit' hat also ihre Grenzen, und in Cloud-Umgebungen fehlt eine solche Netzgrenze ohnehin. Anwendungen und Daten können grundsätzlich überall gehostet werden und sind über das Internet direkt erreichbar: jederzeit, von jedem Ort und auf verschiedenen Endgeräten. Anwendungen können außerdem eigenständig Daten austauschen.

Das erfordert einen völlig anderen Ansatz. Jede Kommunikation soll von Anfang bis Ende kontrolliert werden. Zwischen Benutzern und Systemen sowie zwischen Systemen untereinander. Zudem dürfen nur die Rechte vergeben werden, die für die vorgesehenen Aufgaben erforderlich sind. Dies ist als 'Principle of Least Privilege' bekannt.

Warum Zero Trust jetzt relevant ist

Die Relevanz von Zero Trust lässt sich direkt auf die weitreichende Einführung von Cloud-Diensten zurückführen. Cloud-Umgebungen werden zudem immer komplexer, umfangreicher und damit verwundbarer. Laut dem CBS nutzten im Jahr 2024 bereits 71 Prozent der niederländischen Unternehmen mit mehr als 10 Beschäftigten Cloud-Dienste. Bei größeren Unternehmen liegen diese Anteile noch höher: 75 Prozent bei Unternehmen mit mehr als 50 Beschäftigten und sogar 91 Prozent bei Unternehmen mit mehr als 250 Beschäftigten.

Für deren Absicherung reicht die traditionelle Netzwerksicherheit daher längst nicht mehr aus. Der Fokus muss zunehmend auf der Kontrolle aller einzelnen Glieder der Leistungserbringung liegen. Nahezu jeder Cyberangriff umfasst heute mehrere Schritte, die zusammen die Kill Chain bilden. Die jüngste Meldung zu Datenschutzverletzungen der niederländischen Aufsichtsbehörde für den Datenschutz zeigt beispielsweise, dass 42 Prozent aller Cyberangriffe mit einer Account-Übernahme beginnen. Das geschieht immer raffinierter, unter anderem durch ausgeklügeltes Phishing und Schwachstellen in der Software. Einmal im Inneren dient ein kompromittiertes Konto dann als Sprungbrett für weitere kriminelle Aktivitäten, etwa für das Ausrollen von Ransomware in angebundenen Systemen.

Nur wenn sämtliche Interaktionen kontrolliert und überwacht werden, lassen sich solche lateralen Angriffe verhindern oder ihre Auswirkungen begrenzen. Deshalb ist Zero Trust als Grundprinzip heute so wichtig.

Warum Zero Trust in jeder Branche wichtig ist

Damit wird Zero Trust faktisch für jede Branche oder jeden Sektor unverzichtbar. Gleichzeitig hat jede Branche dabei eigene Schwerpunkte.

Gesundheitswesen

Im Gesundheitswesen ist Zero Trust von großer Bedeutung, da es um sensible Patienten- und Klientendaten geht. Diese Daten müssen bei Bedarf unmittelbar für Leistungserbringer verfügbar sein, sollen gleichzeitig jedoch bestmöglich vor Missbrauch geschützt werden. Dies spielt sich in einer dynamischen Umgebung ab, in der unterschiedliche Leistungserbringer aktiv sind, von fest angestelltem Personal bis zu Flexkräften und Praktikanten, und in der zudem intensiv zwischen verschiedenen Einrichtungen zusammengearbeitet wird. Zero Trust passt dazu, indem jeder Zugriffsversuch explizit anhand von Identität, Rolle und Kontext verifiziert wird. So erhalten Fachkräfte im Gesundheitswesen nur Zugriff auf die Daten, die sie in diesem Moment für die Behandlung ihrer Patienten oder Klienten benötigen. Darüber hinaus unterstützt Zero Trust eine bessere Protokollierung und Auditing, was für die Einhaltung von Normen wie NEN 7510 und DSGVO essenziell ist.

Öffentlicher Sektor

Bei Organisationen im öffentlichen Sektor passen traditionelle Sicherheitsmodelle immer schlechter zur komplexen und fragmentierten digitalen Umgebung, in der Mitarbeitende ihre Arbeit erledigen müssen. Behörden arbeiten mit großen Mengen sensibler Bürger- und Unternehmensdaten, während der Zugriff über Ministerien, Kommunen, Durchführungsorganisationen und externe Partner verteilt ist. Dadurch entstehen Risiken wie unautorisierter Zugriff, veraltete Berechtigungen und unzureichende Transparenz darüber, wer welche Daten einsehen darf und warum. Zero Trust hilft, diese Risiken zu begrenzen, indem es von einer kontinuierlichen Verifizierung von Benutzern, Geräten und Zugriffsrechten ausgeht, unabhängig davon, wo sich jemand befindet oder aus welcher Organisation heraus gearbeitet wird. Zudem unterstützt Zero Trust die in der öffentlichen Verwaltung wichtigen Anforderungen an Compliance, Auditing und Rechenschaft.

Bildungswesen

Auch im Bildungswesen ist der traditionelle Sicherheitsansatz inzwischen zu begrenzt. Bildungseinrichtungen sind dynamisch. Lernende wechseln turnusmäßig in das nächste Jahr, Semester oder in andere Studiengänge. Auch Lehrkräfte und Verwaltungspersonal wechseln regelmäßig die Rolle, kombinieren oft mehrere Funktionen, und Einrichtungen setzen häufig Gastdozenten und Vertretungen ein. Diese Dynamik erhöht das Risiko veralteter Konten, zu weitreichender Berechtigungen und unkontrollierten Zugriffs auf personenbezogene Daten oder Forschungsdaten. Zero Trust hilft, diese Risiken zu verringern, indem nicht automatisch aufgrund des Netzwerkzugangs vertraut wird, sondern jeder Benutzer, jede Sitzung und jedes Gerät kontinuierlich verifiziert wird. Dies ist besonders relevant in einer Umgebung, in der Fakultäten und Studiengänge relativ autonom agieren und häufig ad hoc neue Cloud-Anwendungen nutzen.

Die wichtigsten Vorteile von Zero Trust

Mit einem Zero-Trust-Ansatz sind Organisationen besser auf eine fortschreitende Digitalisierung vorbereitet, mit intensivem Einsatz von Cloud-Anwendungen, die überall und über verschiedenste Endgeräte zugänglich sind. Zero Trust liefert dabei mehrere wichtige Vorteile:

1. Wir verbessern Authentifizierung und Zugriffssicherheit. Das erreichen wir mit Methoden wie Multi-Faktor-Authentifizierung, Passkeys und digitalen Zertifikaten, unterstützt durch Kontextinformationen wie das verwendete Endgerät, das Zugangsnetzwerk und weitere Nutzungsumstände. Der Zugriff wird sicherer, ohne an Benutzerfreundlichkeit einzubüßen.

2. Wir arbeiten zunehmend adaptiv. Wenn Verkehr, Zugriff und Verhalten kontinuierlich überwacht und analysiert werden, fallen Abweichungen schneller auf und wir können rechtzeitig reagieren. So lassen sich sogar während einer Benutzersitzung Aktivitäten unterbrechen oder ein zusätzlicher Verifizierungsschritt starten.

3. Wir reduzieren die Auswirkungen von Cybervorfällen. Wenn Menschen nur Zugang zu strikt notwendigen Funktionen und Daten erhalten, wird es schwieriger, beispielsweise große Datenmengen unbemerkt zu exfiltrieren. Oder von einem manipulierten System aus Ransomware in umliegende Systeme zu verbreiten.

4. Wir entwickeln unsere Identity Governance weiter. Jeder Zugriffsversuch und jede Richtlinienentscheidung wird protokolliert. Das hilft nicht nur bei Audits und der Compliance, etwa mit ISO 27001, NIS2, DSGVO/GDPR oder DORA. Wir können die Informationssicherheit auch fortlaufend anhand aktueller Daten verbessern.

Herausforderungen bei der Implementierung

Wichtig ist zu verstehen, dass Zero Trust nicht die Einführung eines einzelnen Produkts ist. Es handelt sich um eine Sicherheitsstrategie, bei der der Zugriff kontinuierlich anhand von Identität, Kontext und minimalen Rechten überprüft wird. Die Implementierung betrifft mehrere Themenbereiche, unser eigener Schwerpunkt liegt jedoch selbstverständlich auf dem Identitäts- und Zugriffsmanagement. Dazu haben wir hier einige konkrete Tipps zusammengestellt:

• Organisieren Sie Ihr Identity Lifecycle Management. Zero Trust setzt voraus, dass Benutzer jederzeit die richtigen Rechte haben, abhängig von der Rolle, die sie gerade ausüben. Ihr Rechtemanagement muss deshalb fortlaufend an Rollenänderungen angepasst werden. Mit User Provisioning können Sie diesen Lifecycle automatisieren, vom Onboarding bis zur Beendigung des Arbeitsverhältnisses.

• Halten Sie sich an das 'Principle of Least Privilege' bei der Erstellung von Business Rules zur Automatisierung des User Provisioning. Mit Hilfsmitteln wie Role Mining können Sie ein Rollenmodell so zusammenstellen, dass jeder während des gesamten Lifecycles genau die richtigen Rechte hat. So verhindern Sie, dass Personen überprivilegiert werden.

• Wenden Sie Segregation of Duties (SoD) an. Auf Organisationsebene setzen Sie diesen Mechanismus ein, um zu verhindern, dass Einzelne zu viele Rechte haben oder dass ihre Tätigkeiten unzureichend kontrolliert werden. Mit Toxic Policy Management können Sie ähnlich auch innerhalb Ihres Rollenmodells die Vergabe konfliktträchtiger Zugriffsrechte verhindern.

• Verwalten Sie Ausnahmen sorgfältig. Nicht alle Zugriffsrechte lassen sich anhand von Business Rules automatisch vergeben. Mithilfe von Service-Automatisierung stellen Sie sicher, dass auch individuelle Änderungsanträge sauber verwaltet werden. Nicht nur die Beantragung und Bearbeitung, sondern auch die regelmäßige Rezertifizierung solcher Rechte.

• Bereinigen Sie Ihr Rechtemanagement regelmäßig. Selbst bei gut organisiertem Rechtemanagement kann es zu Verunreinigungen kommen. Manches ist historische Altlast aus der Zeit, als Konto- und Rechtemanagement noch nicht verschlankt waren. Es kann aber auch einfach ein vergessenes Testkonto sein. Mit Werkzeugen wie Reconciliation arbeiten Sie zudem auf eine 'Zero Trash'-Richtlinie hin. 😉.