Zero Trust IT Sicherheit - nicht nur für die Cloud
Zero Trust ist mehr als ein Trend
– es ist die Grundlage moderner IT-Sicherheit für Cloud, Hybrid und On-Premises-Umgebungen
Zero Trust ist ein Strategie- und Designansatz
Zero Trust ist keine Checkliste für IT-Sicherheit und kein Produkt, das man kaufen kann – sondern ein ganzheitliches Sicherheitsprinzip, das Vertrauen grundsätzlich infrage stellt: Jeder Zugriff muss überprüft und authentifiziert werden, egal ob intern oder extern.
Im digitalen Zeitalter verändern sich Bedrohungen rasant. Dennoch erinnern viele Sicherheitsmechanismen für IT-Infrastrukturen noch an mittelalterliche Schutzsysteme. Daten werden wie in einer Burg hinter Firewalls und Netzgrenzen verwahrt – geschützt durch Mauern, Gräben und Wachen. Doch Angreifer agieren heute längst außerhalb dieser Mauern.
So einfach ist IT-Sicherheit heute nicht mehr. Der klassische Perimeter-Schutz stößt an seine Grenzen – besonders bei Cloud-, Remote- und hybriden Umgebungen.
IT-Sicherheit mit Zero Trust
Moderne Unternehmen arbeiten dezentral, in vernetzten Teams und über verschiedene Cloud-Plattformen. Zero Trust Security schützt Ihre Daten, Systeme und Identitäten durch kontinuierliche Verifizierung und minimale Berechtigungen.
IT-Sicherheit in Deutschland bedeutet heute, Informationen und Zugriffe aktiv zu steuern. Zero Trust schafft Transparenz, reduziert Angriffsflächen und erhöht die Compliance. Stichworte sind:
BYOD und Mobilität- Verlagerung der IT-Infrastruktur in die Cloud
- Geschäftsmodelle überregional und in real-time
- Direkter Datenaustausch mit Partnern, Lieferanten und Kunden
- Effizientere Collaboration
- Höhere Anforderungen bezüglich Datenschutz und Compliance
Zero Trust ist damit die Basis moderner Cybersecurity-Strategien – flexibel, skalierbar und unverzichtbar für KMU und Mittelstand in Bayern.
Jetzt Beratung zu Zero Trust anfordern
IT Sicherheit - ist Ihr Unternehmen richtig vorbereitet?
Hier ein kurzes Beispiel:
Nicht zuletzt wegen der länger andauernden Pandemie und den damit verbundenen Anstrengungen, das Potential des Home Office auszuschöpfen, haben viele Unternehmen Teams (neu) im Einsatz. Selbst dort, wo es noch keine Cloud-Strategie gibt!
Was nicht allen bewusst ist: Mit der Einführung der Cloud-Lösung werden automatisch SharePoint, OneDrive, Azure AD und wesentliche Komponenten von Microsoft Azure aktiviert und verwendet.
Schnell landen sensible Daten in der Cloud: Personenbezogene Daten werden in Teams hochgeladen und dort ohne Beachtung der Löschpflichten verwahrt. Durch das unkontrollierte Erstellen von neuen Teams und Kanälen wird häufig die Übersicht verloren. Ganz kritisch wird es, wenn Gäste in Teams eingeladen werden. Spätestens jetzt muss man auf den roten Knopf drücken.
IT-Sicherheit - Kern des Themas
Es ist klar: Die alten Sicherheitsstrategien funktionieren nicht mehr. Daten, Systeme und Benutzer befinden sich nicht mehr ausschließlich im Unternehmensnetzwerk. Cloud-Services, Remote Work und mobile Geräte haben die Grenzen der IT-Infrastruktur aufgelöst.
Genau hier setzt das Zero Trust Sicherheitsprinzip an 
Was bedeutet Zero Trust IT-Sicherheit? Wortwörtlich: Null Vertrauen!
Die neuen Gebote des Zero Trust 
Traue Niemandem – zu keiner Zeit- Traue dem Administrator nicht
- Vertraue nicht auf „Landesgrenzen“ („Perimeterschutz“)
- Reparieren ist teurer als Wiederherstellen
- Vertrauen ist gut, Kontrolle ist besser
- Assume Breach
- Unterscheiden Sie nicht zwischen Intern und Extern
- Permanente Autorisierung und Authentifizierung, Multifaktor-Authentifizierung (MFA)
- Geringstmögliche Zugriffsberechtigung und JIT/JEA
- Mikrosegmentierung
- Intelligente Backup- / Recovery-Konzepte (Virtualisierung, Container)
- Benutzer- und Gerätezugriffe permanent überwachen
- Jeder Datenverkehr wird verschlüsselt (auch in-rest)
- Unterscheiden Sie über Block oder Grant
IT-Sicherheit und Zero Trust: Was bedeutet das konkret?
Explizite Überprüfung
- Authentifizieren und autorisieren Sie immer und durchgehend basierend auf allen verfügbaren Datenpunkten, einschließlich Benutzeridentität, Standort, Gerätezustand, Datenklassifizierung und Anomalien.
- Verlassen Sie sich nicht auf einen einmaligen Log-In-Vorgang.
- Unterbinden Sie Zugriffe von nicht registrierten und verwalteten Devices auf sensible Daten.
- Schließen Sie komplette IP-Adressräume aus (nicht nur Nordkorea!).
- Verlangen Sie einen zweiten Faktor (MFA), wenn von „untypischen“ Standorten zugegriffen wird.
- Konzipieren Sie diese Richtlinien in Abhängigkeit von den Vertraulichkeitsstufen.
Minimale Privilegien
- Minimieren Sie insbesondere den administrativen Benutzerzugriff mit Just-In-Time- und Just-Enough-Zugriff (JIT / JEA).
- Führen Sie risikobasierte adaptive Richtlinien ein und gewährleisten Sie angemessenen Datenschutz.
- Mit dem Just-In-Time-Ansatz minimieren Sie die Privilegien, indem über einen automatisierten Beantragungsprozess und Vier-Augen-Prinzip ein definiertes Zeitfenster für administrative Aufgaben gewährt wird.
- Diese Aufgaben können Sie auch als Scripte durchführen lassen, dadurch entfällt die Notwendigkeit, einem Mitarbeiter Privilegien zuzuteilen (JEA Prinzip).
Gehen Sie davon aus, dass Sie attackiert werden!
- Minimieren Sie das Ausmaß von Sicherheitsverletzungen und verhindern Sie seitliche Bewegungen, indem Sie den Zugriff über Netzwerk, Benutzer, Geräte und Anwendungsbewusstsein segmentieren
- Stellen Sie sicher, dass alle Sitzungen durchgehend verschlüsselt sind.
- Verwenden Sie Analysen, um die Sichtbarkeit zu verbessern und die Erkennung von Bedrohungen voranzutreiben.
Eine 100%-Bereinigung nach einem erfolgten Angriff lässt sich nicht durch Reparatur erreichen
Moderne Cyberangriffe sind geprägt von extrem komplexen Angriffsszenarien, die über eine längere Zeit erfolgen und i.d.R. viele Komponenten (Server, Clients, Netzwerk, etc.) betreffen. Häufig erkennt ein betroffenes Unternehmen die Attacke, wenn überhaupt, mit Verzögerung.
Mit Virtualisierung, Containern und insbesondere Cloud-Architekturen können Sie dieses Ziele elegant erreichen.
- Analyse und Bereinigungen führen zu immensen Ausfällen und Kosten.
- Setzen Sie deshalb auf schnelle Wiederherstellung.
- Sichern Sie Ihre Daten und Identitäten und etablieren Sie effiziente Recovery-Verfahren.
Voraussetzung dafür sind (stets aktuelle) explizite Policies und Richtlinien. Diese definieren, welche authentifizierten Nutzer, Dienste, Geräte und Anwendungen miteinander interagieren dürfen.
Mit dem methodischen Vorgehen entlang Zero-Trust wird jede Interaktion zudem dokumentiert. Dies ermöglicht einen weitaus genaueren Einblick in den IT-Arbeitsalltag der Mitarbeitenden und somit das Erkennen von Schwachstellen, Bedrohungen und Datenschutzverletzungen.
IT-Sicherheit
DIE Frage: Mehr oder weniger Passwort?
Es ist nicht unüblich, Passwortrichtlinien zu etablieren. Sie zwingen den Benutzer, sein Passwort regelmäßig zu ändern sowie bestimmte Eigenschaften wie Passwortlänge, Verwendung von Sonderzeichen etc. zu beachten.
Unter der Prämisse des Zero Trust-Ansatzes wird eine konträre Lösung empfohlen – auf ein Passwort ganz zu verzichten oder zumindest sich nicht allein auf ein Passwort zu verlassen.
Die neue Strategie beim Thema IT-Sicherheit lautet daher Less Password bzw. Passwordless 
Was steckt dahinter?
Selbst vermeintlich „sichere“ Passwörter bieten geringen bis gar keinen Schutz gegenüber Credential Stuffing, Phishing, Keystroke logging, Local discovery, Extortion, Password spray, Brute force u.s.w. Die größte daraus resultierende Gefahr betrifft die Identitäten der Mitarbeiter. Die Angriffe sind dabei so raffiniert und ausgeklügelt, dass selbst Spezialisten überrumpelt werden. Was liegt also näher als auf Passwortschutz zu verzichten. Es gibt hervorragende Alternativen. Zuerst einmal gehört auch das Single-Sign-On (SSO) dazu. Die somit verminderten Login-Vorgänge erhöhen die Angriffsfläche für Attacker. Die eigentliche Lösung und Substitution der Passworte bei der Authentifizierung erfolgt durch biometrische Faktoren und/oder Multi-Faktor-Authentifizierung.
Biometrische Verfahren sind z.B. Finger-Print-Sensoren oder Gesichtserkennung wie bei Microsoft „Hello“. Eine kostengünstige Lösung bieten die Authenticator Apps auf Smartphones. Einmal eingerichtet liefern sie einen zweiten Faktor in Form eines temporär gültigen Codes, der beim Login-Vorgang angefordert wird. Es gibt auch dedizierte Devices wie den USP-Schlüssel durch FIDO2 standardisiert.
IT-Sicherheit für Ihr Unternehmen
Mit verhältnismäßig wenig Aufwand schützen Sie hocheffizient Ihre Daten und Identitäten gegen Phishing & Co-Angriffe. Sie stärken damit eine u.U. vorhandene SSO-Architektur und können vertrauenswürdige Nutzer auch aus wenig vertrauenswürdigen Umgebungen berechtigen.
Fragen Sie uns nach einer modernen Sicherheitsstrategie für Ihr Unternehmen.
Ob Sie mit Ihren Überlegungen zu M365 & Teams noch am Anfang stehen oder diese schon eingeführt haben, wir stehen Ihnen in jeder Phase als Guide zur Seite.
SCHÖPFEN SIE IHRE POTENTIALE AUS
Mit verschiedenen, individuell abgestimmten Workshops unterstützen wir Sie bei der nachhaltigen Nutzung von Microsoft 365 & Microsoft Teams.
- Strategie-Workshop – M365 Roadmap
- Kick-Off Workshop – Microsoft Teams
- Datenklassifizierung und Governance
- Security Baseline Check – Informationssicherheit und DSGVO
- Migration Exchange | OneDrive | SharePoint in die 365 Cloud
- User-Adoption-Strategie – Change Management
