Mein IBM Anmelden Abonnieren

Startseite

Themen

Zero Trust

 Was ist Zero Trust?

Was ist Zero Trust?
Erkunden Sie die Zero-Trust-Lösung von IBM Registrieren sich für Updates zu Sicherheitsthemen
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck, Häkchen

Aktualisiert: 20. Juni 2024

Mitwirkende: Gregg Lindemulder, Matthew Kosinski

Was ist Zero Trust?

Was ist Zero Trust?

Zero-Trust ist eine Sicherheitsstrategie für moderne Multicloud-Netzwerke. Anstatt sich auf den Netzwerkperimeter zu konzentrieren, setzt ein Zero-Trust-Sicherheitsmodell Sicherheitsrichtlinien für jede einzelne Verbindung zwischen Benutzern, Geräten, Anwendungen und Daten durch.

Zero-Trust basiert auf dem Prinzip „Niemals vertrauen – immer überprüfen”, anstatt allen Benutzern innerhalb eines Netzwerks implizites Vertrauen zu schenken. Dieser granulare Sicherheitsansatz hilft, die Cybersicherheitsrisiken zu bewältigen, die durch Remote-Mitarbeiter, Hybrid Cloud-Services, private Geräte und andere Elemente heutiger Unternehmensnetzwerke entstehen.

Immer mehr Unternehmen setzen auf Zero-Trust-Modelle, um ihren Sicherheitsstatus zu verbessern, da ihre Angriffsflächen immer größer werden. Laut einem Bericht der TechTarget Enterprise Strategy Group aus dem Jahr 2024 geben mehr als zwei Drittel der Unternehmen an, dass sie unternehmensweit Zero-Trust-Richtlinien umsetzen.1

Auch die sich weiterentwickelnden rechtlichen und regulatorischen Anforderungen treiben die Einführung von Zero-Trust voran. So wies beispielsweise eine Durchführungsverordnung des US-Präsidenten Joseph Biden aus dem Jahr 2021 alle US-Bundesbehörden an, eine Zero-Trust-Architektur (ZTA) zu implementieren.2
Kosten einer Datenschutzverletzung

Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu bewältigen.
Ähnliche Inhalte Registrieren Sie sich für den X-Force Threat Intelligence Index
Warum Zero-Trust wichtig ist

Warum Zero-Trust wichtig ist

Ein Zero-Trust-Ansatz ist wichtig, da das traditionelle Modell der Netzwerksicherheit nicht mehr ausreicht. Zero-Trust-Strategien sind für die komplexeren, stark verteilten Netzwerke konzipiert, die die meisten Unternehmen heute nutzen.  

Viele Jahre lang konzentrierten sich Unternehmen darauf, die Perimeter ihrer Netzwerke mit Firewalls und anderen Sicherheitskontrollen zu schützen. Benutzer innerhalb des Netzwerkperimeters wurden als vertrauenswürdig eingestuft und erhielten freien Zugang zu Anwendungen, Daten und Ressourcen.

Durch die digitale Transformation wurde das traditionelle Konzept eines Netzwerkperimeters abgeschafft. Heutzutage erstrecken sich Unternehmensnetzwerke über lokale Standorte und Netzwerksegmente hinaus. Das moderne Unternehmensökosystem umfasst Cloud-Umgebungen, mobile Dienste, Datenzentren, IoT-Geräte, Software-as-a-Service-Apps (SaaS) und Remote-Zugriff für Mitarbeiter, Lieferanten und Geschäftspartner.

Durch diese erweiterte Angriffsfläche sind Unternehmen anfälliger für Datenschutzverletzungen, Ransomware, Insider-Bedrohungen und andere Arten von Cyberangriffen. Der Netzwerkperimeter ist keine klare, ununterbrochene Linie mehr, und perimeterbasierte Abwehrmaßnahmen können nicht jede Lücke schließen. Darüber hinaus können sich Bedrohungsakteure, die sich Zugang zu einem Netzwerk verschaffen, das implizite Vertrauen zunutze machen, um Lateralbewegungen auszuführen und kritische Ressourcen zu lokalisieren und anzugreifen.

Im Jahr 2010 führte der Analyst John Kindervag von Forrester Research das Konzept des Zero-Trust als Framework zum Schutz von Unternehmensressourcen durch strenge Zugriffskontrollen ein. Zero-Trust verlagert den Fokus weg vom Netzwerkperimeter und setzt Sicherheitskontrollen um einzelne Ressourcen herum.

Jedes Endgerät, jeder Benutzer und jede Verbindungsanfrage wird als potenzielle Bedrohung angesehen. Anstatt beim Durchschreiten des Perimeters freie Hand zu haben, müssen Benutzer authentifiziert und autorisiert werden, wenn sie eine Verbindung zu einer neuen Ressource herstellen. Diese kontinuierliche Validierung trägt dazu bei, dass nur berechtigte Benutzer auf wertvolle Assets des Netzwerks zugreifen können. 
So funktioniert Zero-Trust

So funktioniert Zero-Trust

Im weitesten Sinne basiert ein Zero-Trust-Sicherheitsstatus auf der kontinuierlichen Überprüfung und Authentifizierung von Verbindungen zwischen Benutzern, Anwendungen, Geräten und Daten.

Die Umsetzung einer Zero-Trust-Strategie in einem Unternehmen kann ein komplexes Unterfangen sein. Es geht nicht darum, eine einzige Zero-Trust-Lösung zu implementieren. Zero-Trust erfordert die Planung und Umsetzung in einer Vielzahl von Funktionsbereichen, darunter Identitäts- und Zugriffsrichtlinien, Sicherheitslösungen und Workflows, Automatisierung, Betrieb und Netzwerkinfrastruktur.

Viele Unternehmen folgen spezifischen Zero-Trust-Frameworks, um Zero-Trust-Architekturen zu erstellen. Zu den etablierten Modellen gehören Forresters Zero-Trust-Framework, die Sonderveröffentlichung (SP) 800-2073 des National Institute of Standards and Technology (NIST) und das Zero-Trust-Reifegradmodell (ZTMM) der Cybersecurity and Infrastructure Security Agency (CISA).4

Unternehmen können zwar aus verschiedenen Frameworks wählen, aber die meisten Zero-Trust-Strategien basieren auf diesen Schlüsselkonzepten: den drei Prinzipien von Zero Trust, den fünf Säulen von Zero-Trust und Zero Trust Network Access (ZTNA).

Was sind die drei Prinzipien von Zero-Trust?

Die technischen Spezifikationen der verschiedenen Frameworks und Modelle können variieren, aber sie alle folgen einem Kernsatz von Zero-Trust-Prinzipien:

  • Kontinuierliche Überwachung und Validierung
  • Prinzip der minimalen Rechtevergabe
  • Vermutung einer Datenschutzverletzung
Kontinuierliche Überwachung und Validierung

Bei Zero-Trust sind standardmäßig alle Assets im Netzwerk unzugänglich. Benutzer, Geräte und Workloads müssen eine kontinuierliche, kontextbezogene Authentifizierung und Validierung durchlaufen, um auf Ressourcen zugreifen zu können. Zusätzlich muss diese Prüfungen jedes Mal bestanden werden, wenn eine Verbindung angefordert wird.

Dynamische Zugriffssteuerungsrichtlinien bestimmen, ob Anfragen auf der Grundlage von Datenpunkten wie den Berechtigungen eines Benutzers, dem physischen Standort, dem Gerätezustand, Threat-Intelligence und ungewöhnlichem Verhalten genehmigt werden. Die Verbindungen werden kontinuierlich überwacht und müssen regelmäßig neu authentifiziert werden, um die Sitzung fortzusetzen.
Prinzip der minimalen Rechtevergabe

In einer Zero-Trust-Umgebung haben Benutzer und Geräte nur eingeschränkten Zugriff auf Ressourcen. Das bedeutet, dass sie nur die Mindestbefugnisse erhalten, die erforderlich sind, um eine Aufgabe zu erledigen oder ihre Rolle zu erfüllen. Diese Berechtigungen werden nach Beendigung der Sitzung widerrufen.

Durch diese Art der Verwaltung von Berechtigungen wird die Möglichkeit von Bedrohungsakteuren eingeschränkt, Zugriff auf andere Bereiche des Netzwerks zu erhalten.
Vermutung einer Datenschutzverletzung

In einem Zero-Trust-Unternehmen gehen Sicherheitsteams davon aus, dass Hacker bereits in die Netzwerkressourcen eingedrungen sind. Maßnahmen, die Sicherheitsteams häufig ergreifen, um einen laufenden Cyberangriff abzuschwächen, werden zur Standardarbeitsanweisung. Zu diesen Maßnahmen gehören die Netzwerksegmentierung zur Begrenzung des Umfangs eines Angriffs, die Überwachung aller Assets, Benutzer, Geräte und Prozesse im gesamten Netzwerk und die Reaktion auf ungewöhnliches Verhalten von Benutzern oder Geräten in Echtzeit.

Was sind die fünf Säulen von Zero-Trust?

Das Zero-Trust-Sicherheitsmodell von CISA beschreibt4  Säulen, auf die sich Unternehmen bei der Umsetzung von Zero Trust konzentrieren können:

  1. Identität
  2. Geräte
  3. Netzwerke
  4. Anwendungen und Workloads
  5. Daten
Identität

Die Authentifizierung von Benutzeridentitäten und die Gewährung des Zugriffs auf ausschließlich genehmigte Unternehmensressourcen ist eine grundlegende Funktion der Zero-Trust-Sicherheit.

Zu den gängigen Tools, die Unternehmen zu diesem Zweck einsetzen, gehören Systeme für das Identity und Access Management (IAM), Single Sign-on (SSO)-Lösungen und Multi-Faktor-Authentifizierung (MFA).
Geräte

Jedes Gerät, das mit einer Netzwerkressource verbunden ist, sollte vollständig mit den Zero-Trust-Richtlinien und Sicherheitskontrollen des Unternehmens übereinstimmen. Dazu gehören Workstations, Mobiltelefone, Server, Laptops, IoT-Geräte, Drucker und andere.

Zero-Trust-Unternehmen führen vollständige und aktuelle Bestandslisten aller autorisierten Endgeräte. Nicht autorisierten Geräten wird der Netzwerkzugriff verweigert.
Netzwerke

Unternehmen wechseln in einer Zero-Trust-Umgebung von der traditionellen Netzwerksegmentierung zur Mikrosegmentierung. Ressourcen und Workloads werden in kleinere, sicherere Zonen aufgeteilt, wodurch Unternehmen Sicherheitsverletzungen besser eindämmen und Lateralewegungen verhindern können. Bedrohungsakteure können noch nicht einmal auf Ressourcen zugreifen, für deren Nutzung sie nicht autorisiert sind.

Unternehmen können auch andere Methoden zur Verhinderung von Netzwerkbedrohungen bereitstellen, wie z. B. die Verschlüsselung des Netzwerkverkehrs und die Überwachung des Benutzer- und Entitätsverhaltens.
Anwendungen und Workloads

Wie bei jedem anderen Element in einem Zero-Trust-Sicherheitsmodell gilt auch für Anwendungen und Programmierschnittstellen (APIs), dass sie nicht automatisch vertrauenswürdig sind.

Anstatt einen einmaligen, statischen Zugriff auf Anwendungen zu ermöglichen, gehen Unternehmen zu einer dynamischen Autorisierung über, die eine kontinuierliche erneute Validierung für einen dauerhaften Zugriff erfordert. Unternehmen überwachen Anwendungen, die miteinander kommunizieren, kontinuierlich auf ungewöhnliches Verhalten.
Daten

Im Rahmen eines Zero-Trust-Modells kategorisieren Unternehmen ihre Daten, um gezielte Zugriffskontrollen und Richtlinien zur Datensicherheit anwenden zu können und so Informationen zu schützen.

Daten, die übertragen werden, in Verwendung sind oder sich im Ruhezustand befinden, werden durch Verschlüsselung und dynamische Autorisierung geschützt. Unternehmen überwachen die Datenverarbeitung kontinuierlich auf ungewöhnliche Aktivitäten, die auf Datenschutzverletzungen oder die Exfiltration sensibler Daten hinweisen könnten. 

Was ist Zero Trust Network Access (ZTNA)?

Eine der wichtigsten Technologien für die Implementierung einer Zero-Trust-Strategie ist der Zero Trust Network Access oder ZTNA. Wie ein virtuelles privates Netzwerk (VPN) bietet ZTNA Remote-Zugriff auf Anwendungen und Dienste. Im Gegensatz zu einem VPN verbindet ein ZTNA die Benutzer nur mit den Ressourcen, auf die sie zugreifen dürfen, und nicht mit dem gesamten Netzwerk.

ZTNA ist ein wichtiger Bestandteil des Secure Access Service Edge (SASE)-Modells, das es Unternehmen ermöglicht, direkte, sichere Verbindungen mit geringer Latenz zwischen Benutzern und Ressourcen bereitzustellen.
Anwendungsfälle für Zero-Trust

Anwendungsfälle für Zero-Trust

Sicherheit für Multicloud-Umgebungen

Da die Zero-Trust-Architektur die Zugriffskontrolle auf der Grundlage der Identität erzwingt, kann sie einen starken Schutz für Hybrid- und Multicloud-Umgebungen bieten. Verifizierten Cloud-Workloads wird der Zugriff auf kritische Ressourcen gewährt, während nicht autorisierte Cloud-Services und -Anwendungen abgelehnt werden.

Unabhängig von Quelle, Standort oder Änderungen an der IT-Infrastruktur kann Zero-Trust stark frequentierte Cloud-Umgebungen kontinuierlich schützen.

Sicherheit in der Lieferkette

Unternehmen müssen häufig Anbietern, Auftragnehmern, Dienstleistern und anderen Dritten Netzwerkzugriff gewähren. Hacker profitieren von dieser Situation, um Angriffe auf die Lieferkette durchzuführen, bei denen sie kompromittierte Anbieterkonten und Workloads verwenden, um in das Netzwerk eines Unternehmens einzudringen.

Zero-Trust wendet eine kontinuierliche, kontextbezogene Authentifizierung und einen Zugriff mit minimalen Rechten auf jede Entität an – auch auf solche außerhalb des Netzwerks. Selbst wenn Hacker in das Konto eines vertrauenswürdigen Anbieters eindringen, können sie nicht auf die sensibelsten Ressourcen des Unternehmens zugreifen.

Remote-Zugriff für Mitarbeiter

Unternehmen verlassen sich traditionell auf virtuelle private Netzwerke (VPNs), um Remote-Mitarbeiter mit Netzwerkressourcen zu verbinden. Aber VPNs lassen sich weder einfach skalieren, noch verhindern sie Lateralbewegungen.

In einem Zero-Trust-Modell können Unternehmen stattdessen Zero-Trust-Netzwerkzugriffslösungen (ZTNA) verwenden. ZTNA überprüft die Identität der Mitarbeiter und gewährt ihnen dann nur Zugriff auf die Anwendungen, Daten und Dienste, die sie für ihre Arbeit benötigen.

IoT-Transparenz

Da IoT-Geräte mit dem Internet verbunden sind, stellen sie ein Risiko für die Unternehmenssicherheit dar. Hacker haben es oft auf IoT-Geräte abgesehen, weil sie diese nutzen können, um Malware in anfällige Netzwerksysteme einzuschleusen.

Zero-Trust-Architekturen verfolgen kontinuierlich den Standort, den Status und den Zustand jedes IoT-Geräts in einem Unternehmen. Jedes Gerät wird als potenziell bösartige Entität behandelt. Wie andere Elemente einer Zero-Trust-Umgebung unterliegen auch IoT-Geräte Zugriffskontrollen, Authentifizierung und verschlüsselter Kommunikation mit anderen Netzwerkressourcen.
Lösungen

Lösungen

Lösungen von IBM Verify für Identity und Access Management

Schützen und verwalten Sie Kunden-, Mitarbeiter- und privilegierte Identitäten in der Hybrid Cloud mit Hilfe von KI.

 IBM Verify erkunden
Verwaltete Infrastruktur- und Netzwerksicherheitsservices

Schützen Sie Ihre Infrastruktur und Ihr Netzwerk vor raffinierten Cybersecurity-Bedrohungen – mit bewährten Sicherheitsfunktionen, Fachwissen und zukunftsfähigen Lösungen.

 Mehr über verwaltete Infrastruktur- und Netzwerksicherheitsservices erfahren
Datensicherheits- und Datenschutzlösungen  

Schützen Sie Daten über Hybrid-Clouds hinweg und vereinfachen Sie Compliance-Anforderungen.

 Mehr über Datensicherheitslösungen
Ressourcen

Ressourcen

IBM Security Framing and Discovery Workshop

Diese kostenlose, virtuelle oder persönliche dreistündige Design-Thinking-Session mit leitenden IBM-Sicherheitsarchitekten und -beratern hilft Ihnen, Ihre Cybersicherheitslandschaft zu verstehen und Initiativen zu priorisieren.

 IBM Office of the CIO

Das IBM CIO-Büro hat sich für IBM Security Verify entschieden, um die digitale Authentifizierung der nächsten Generation für Mitarbeiter und Kunden zu sichern.

 Fünf häufige Probleme beim Datenschutz, die es zu vermeiden gilt

Erfahren Sie, wie Sie Ihre Datensicherheit und Compliance verbessern können, auch wenn die IT-Landschaft zunehmend dezentraler und komplexer wird.
Machen Sie den nächsten Schritt

IBM Security Verify ist eine führende IAM-Plattform, die KI-gestützte Funktionen zur Verwaltung Ihrer Belegschaft und Kundenanforderungen bietet. Vereinheitlichen Sie Identitätssilos, reduzieren Sie das Risiko identitätsbasierter Angriffe und ermöglichen Sie moderne Authentifizierung – auch passwortlos.

 Verify entdecken Testen Sie Verify 90 Tage lang
Fußnoten

Alle Links befinden sich außerhalb von ibm.com.

1 Trends rund um Zero-TrustEnterprise Strategy Group by TechTarget. März 2024.

2 Erlass zur Verbesserung der Cybersicherheit der NationDas Weiße Haus. 12. Mai 2021.

3 NIST SP800-207: Zero-Trust-Architektur. NIST. August 2020.

4 CISA Zero-Trust-Reifegradmodell. CISA. April 2023.