Mit Mikrosegmentierung und Zero-Trust stehen neue Security-Konzepte zur Verfügung. Doch welche Rolle werden sie zukünftig in der IT-Sicherheit spielen? Ergänzen sie sinnvoll bisherige Maßnahmen oder sind es nur Tools mit beschränkter Relevanz und geringer Wirkung?
- Zero-Trust-Prinzipien liefern einen wertvollen Beitrag zum Unternehmensschutz, haben jedoch auch Grenzen
- Nur gemeinsam können Makro- und Mikrosegmentierung sowie Zero Trust ihre volle Wirkung entfalten
- Der Schutz vor Innentätern und Fehlern von Mitarbeitern kann durch Zero Trust erhöht werden
Klassische Schutzmechanismen sollen das Eindringen von Angreifern verhindern. Dabei steht insbesondere der Perimeterschutz etwa in Form einer Firewall im Vordergrund. Ist es jedoch einem Angreifer erst einmal gelungen, ins Unternehmensnetz einzudringen, konnte er sich oftmals frei im Netz bewegen, begehrte Daten ausfindig machen oder wichtige Systeme kompromittieren.
Neuere Technologien verfolgen einen anderen Ansatz. Beispielsweise erlaubt Mikrosegmentierung eine Netzwerksegmentierung auf Host-Ebene. Dazu werden notwendige Verbindungen analysiert und nur diese zugelassen. Mit Zero Trust hält ein radikaler Wandel der Vertrauenskultur Einzug ins Unternehmensnetz. Wer auf einem System Zugriffsrechte besitzt, verfügt deswegen noch lange nicht über Zugriffsrechte auf anderen Systemen. Viele Faktoren werden ausgewertet, bevor ein Login möglich ist oder Zugriffsrechte gewährt werden. Vertrauensbeziehungen von Systemen und Nutzern können zum Beispiel mithilfe von Netzwerkzugriffskontrollen, Network Access Control (NAC), auf das Notwendigste reduziert werden.
Doch welche Relevanz haben diese Technologien für zukünftige IT-Schutzkonzepte? Wir haben dazu Experten verschiedener Fachinstitutionen befragt.
Halbherzige Maßnahmen reichen nicht
Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht in Zero-Trust-Prinzipien einen wertvollen Beitrag zum Unternehmensschutz, betont jedoch auch deren Grenzen:
Die Integration von Zero-Trust-Prinzipien (ZTP) ist geeignet, Infrastrukturen zukünftig weiter abzusichern. Zwar können Angriffe nicht vollständig vermieden werden, jedoch kann das Schadensausmaß durch Nutzung der ZTP deutlich reduziert werden. Insbesondere kann die Integration dabei helfen, dass eine Infektion eines einzelnen Büroarbeitsplatzes nicht mehr zur vollständigen Kompromittierung eines Unternehmens führt. Die Umsetzung der ZTP schützt dagegen nur eingeschränkt gegen Angriffe auf Lieferketten oder Verwaltungssysteme.
Erste Integrationsschritte von ZTP bedürfen häufig keiner neu einzuführenden Techniken, zum Beispiel lässt sich bereits die Durchsetzung des Rechte- und Rollenmodells nach dem Prinzip der minimalen Rechte optimieren, die Detektion ausbauen oder die Segmentierung des eigenen Netzes weiter verfeinern. Für weitergehende Umsetzungen werden Anpassungen in der Infrastruktur notwendig, wie beispielsweise die Weiterentwicklung von Fachanwendungen zur Nutzung von stärkeren Authentisierungsverfahren.
Holger Berens, Vorstandsvorsitzender beim
Bundesverband Schutz Kritischer Infrastrukturen, BSKI, stellt den Zusammenhang zwischen Zero Trust sowie Makro- und Mikrosegmentierung in den Mittelpunkt:
Zero-Trust-Modelle, die zur Identifizierung des Datenverkehrs unter Erstellung spezifischer Access-Controls für das Netzwerk dienen und die entsprechende Freigabe von Usern und Applikationen regeln, sind geeignet, sowohl IT-Hardware als auch Software zu schützen. Traditionell wird häufig noch davon ausgegangen, dass alle in einem Netzwerk registrierten Anwender und Applikationen vertrauenswürdig sind. Dies wird von den Zero-Trust-Modellen infrage gestellt. Ein Angreifer könnte ja schon im System sein. Nach der Mikrosegmentierung und Zero-Trust-Identifizierung aller Objekte und der entsprechenden Authentifizierung aller User in NAC erfolgt zunächst auf Firewall-Ebene eine Makrosegmentierung, um dann innerhalb der Makroebene eine Mikrosegmentierung durchzuführen. Ein Zero-Trust-Model ohne Makro- und Mikrosegmentierung liefert jedoch nur einen eingeschränkten Schutz. Nur ein logisches und intelligentes Verknüpfen beider Ansätze kann die Vorteile von Zero-Trust ausschöpfen.
Die Referentin für Sicherheitspolitik beim Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom), Simran Mann, verweist in ihrem Beitrag auch auf den Schutz vor Innentätern durch Zero Trust:
Sowohl offline wie online agiert die kriminelle Energie ganz nach dem Motto: „Catch me if you can.“ Die zunehmende Professionalisierung und die Arbeitsteilung im Dark Web lässt auf stetige Automatisierung von Prozessen und stetiger Verbesserung von kriminellen Vorhaben schließen. Deshalb ist es essenziell, sich in der Informationssicherheit mit State-of-the-Art-Technologie auseinanderzusetzen. Zero Trust ist dabei ein sehr guter Ansatz, um nicht nur das eigene Unternehmen vor absichtlicher Sabotage und Spionage abzusichern, sondern sich durch ein dezidiertes Access Management gleichzeitig auch vor unabsichtlicher Sabotage etwa durch Mitarbeitende sowie ehemalige Kollegen und Kolleginnen zu schützen. Diese bilden laut einer
Bitkom-Studie mit 36 Prozent einen beachtlichen Anteil des Täterkreises bei Cyberangriffen. Ebenso ist Mikrosegmentierung eine geeignete Maßnahme, um die eigene IT-Infrastruktur besser abzusichern.
Neue Technologien liefern wertvollen Beitrag für die IT-Sicherheit in Unternehmen
Die Möglichkeiten von Zero-Trust und Mikrosegmentierung erweitern das Portfolio der Security-Abteilung. Mit diesen Technologien können Eindringlinge wirksam bekämpft und der Schaden minimiert werden. Als weiterer interessanter Aspekt kommt der Schutz vor Fehlern von Mitarbeiterinnen und Mitarbeitern hinzu. So mancher selbst verschuldete Fehler hat schon zum Ausfall eines Systems geführt oder Schaden angerichtet. Doch nur das Zusammenwirken von Mikrosegmentierung und Zero-Trust-Konzepten schöpft die Möglichkeiten dieser Technologien wirklich aus.
Autor: Uwe Sievers
