Das heutige Internet wurde in den 1960er Jahren ursprünglich als Kommunikationssystem entwickelt, das auch einen Atomkrieg überstehen sollte. Es basierte auf der grundlegenden Vision frei verfügbarer Informationen und einem vertrauenswürdigen Netzwerk. 40 Jahre später hat sich das Internet als kommerzielles Produkt weiterentwickelt, das der Informationssuche und der Unterhaltung dient. Mit dieser Evolution und Popularität einhergehend wurde dieselbe Technologie allerdings auch für kriminelle Machenschaften ausgenutzt, so dass sich darauf aufbauend auch die Cyber-Sicherheit fortentwickelt hat. Aufbauend auf den begrenzten technischen Möglichkeiten kristallisierte sich der Trugschluss heraus, dass Unternehmen ihren eigenen Netzwerken vertrauen können und anderen externen Netzwerken mit Misstrauen gegenübertreten sollten. Dementsprechend basierten die meisten Sicherheitsmaßnahmen auf der Vorstellung, ein Netzwerk technisch absichern zu können. Diese Annahme war von vornherein falsch, denn die einzige Möglichkeit für die absolute Sicherheit eines Netzwerks bestünde darin, es nicht zu nutzen.

Trotz dieser Naivität begann Anfang der Jahrtausendwende ein Wettlauf um die Frage, wie man ein sicheres Netzwerk aufbauen könnte, dem User ohne Bedenken Vertrauen schenken können. Sicherheitsteams versuchten dafür zu sorgen, Eindringlinge durch den Aufbau technischer Hürden fernzuhalten. Alternativ dazu setzten viele IT-Teams auf Segmentierung und teilten ein großes Netzwerk in verschiedene kleinere Netze, um die Komplexität für die Angreifer zu erhöhen. Diese Vorgehensweise ist allerdings immer noch grundlegend fehlerbehaftet, da sie nach wie vor auf der Annahme der Absicherbarkeit eines Netzwerks beruht.

Auf der Suche nach Einfallstoren

Traditionell waren die Firewall und ihre nachfolgenden Technologien die wichtigste Kontrollfunktion, die IT-Teams für die Netzwerksicherheit nutzten. Im Kern bestand deren Aufgabe darin, den gesamten Datenverkehr am Eintritt in ein Netzwerk zu hindern, mit der Ausnahme von Traffic mit den richtigen IP-Adressen und Portnummern. In manchen Fällen wäre das ein sehr effektiver Mechanismus, wenn es darum geht, lediglich zwei Geräte im eigenen Besitz miteinander kommunizieren zu lassen. Sobald Firewalls jedoch der Zugriff auf Internet-Ports erlaubt wird, entsteht ein Risiko, das mit der folgenden Metapher gleichgesetzt werden kann: Es wird ein Loch in den Rumpf eines Bootes gebohrt, um das Wasser vom Deck abzuleiten. Denn auf diese Weise erhalten Malware-Akteure ebenfalls Zugang zum Netzwerk.

Neben den Firewalls besteht die Aufgabe der Sicherheitsteams einerseits in der Analyse des Datenverkehrs in den Netzen. Andererseits geht es darum, diesen zu drosseln, sowie zu ermitteln, wo sich sensible Daten und Anwendungen innerhalb des Netzes befinden, die es zu schützen gilt. Dieser Prozess lässt sich mit der Suche nach der Nadel im Heuhaufen vergleichen. Grundsätzlich ist es völlig egal, wie viele Kontrollen und Sperren in einem Netzwerk eingerichtet werden, denn Sicherheitsteams werden nie in der Lage sein, dem Netzwerk vollständig zu vertrauen. Sie werden fortlaufend auf der Suche nach potenziellen Schwachstellen im Netzwerk sein, die den böswilligen Akteuren Türen öffnen könnten unter Umgehung der Firewall.

Das Netzwerk aus dem Sicherheitsmodell ausklammern

Die Auflösung dieses Problems gelingt IT-Teams dann, wenn sie die Architektur verändern und das Netzwerk nicht mehr als Teil des Sicherheitsmodells betrachten. Dann lassen sie die alte Mentalität des impliziten Vertrauens hinter sich und verwenden das Zero Trust-Konzept als Grundlage für ihre Cybersicherheit. Bei diesem Ansatz geht es darum, Inside-Out-Konnektivität bereitzustellen. Der gesamte Datenverkehr in einem Netzwerk wird dann über einen verifizierten Vertrauensmakler geleitet, der das potenzielle Risiko jedes Datenverkehrs vorhersagen und eine gemeinsame risikobasierte Richtlinie anwenden kann, bevor er Verbindungen zum Netzwerk zulässt.

Indem IT-Teams denjenigen im Netzwerk das Grundvertrauen entziehen, können sie den kriminellen Akteuren einen Schritt voraus sein. Eine Kontrollfunktion wird automatisch und zentralisiert aufgebaut, ohne jeden Datenverkehr manuell überprüfen zu müssen, sobald er die Firewall durchbrochen oder umgangen hat. Die Kontrollen selbst stellen keinen großen Unterschied zu der Art und Weise dar, wie sie seit fast 35 Jahren genutzt werden. Es geht also nicht darum, die Kontrollen selbst zu revolutionieren, sondern vielmehr darum, sie anders anzuwenden. Anstelle herauszufinden, wo sich alle sensiblen Daten und Anwendungen im Netzwerk befinden und diese spezifischen Bereiche mit Kontrollen zu versehen, stellt Zero Trust das Prinzip auf den Kopf. Das Konzept ermöglicht den Sicherheitsteams auf der einen Seite die Mitarbeitenden zu schützen, die dem Netzwerk ständig neue sensible Daten hinzufügen. Und andererseits müssen sie keine Angreifer mehr jagen, die nach Schwachstellen im Netzwerk als Einfallstor suchen.

Die Herausforderung bleibt dennoch bestehen: Angreifer werden immer neue und innovative Wege suchen, um auch die modernsten Cybersicherheitsstrategien zu umgehen. Dieses Modell ermöglicht es den Sicherheitsteams jedoch, die Übersicht und Kontrolle zu behalten und nicht ständig ins Hintertreffen zu geraten. Es ermöglicht ihnen, ihre Abwehrmaßnahmen viel intelligenter zu planen, wenn sie nicht mehr das Netz als Teil ihres Sicherheitsmodells betrachten.

IT-Teams können ein viel effektiveres Modell zum Schutz der Assets und Anwendungen eines Unternehmens implementieren, wenn sie den grundlegenden Fehler akzeptieren, dass ein Netzwerk niemals wirklich sicher sein kann. Dafür muss die Idee des impliziten Vertrauens in diejenigen, die sich innerhalb der Firewall befinden, aufgegeben werden. Das Zero Trust-Modell transformiert die Art und Weise, wie der Datenverkehr verwaltet wird. Es zentralisiert Kontrollen durch einen Trustbroker und ermöglicht es den Sicherheitsteams dadurch, potenzielle Angriffe vorausblickend abzuwehren, anstatt ständig hinter der Entwicklung des Netzwerks hinterherzuhinken.