Zero-Trust-Sicherheit ist kein neues Modell. Es wurde 2010 von John Kindervag publiziert, der damals bei der IT-Analystenfirma Forrester Research angestellt war. Grundlagen dafür wurden in der Forschung aber schon 1994 von Stephen Paul Marsh in seiner Doktorarbeit an der University of Stirling gelegt. Richtig populär wurde das Konzept aber erst im Jahr 2020, als in Folge der Corona-Pandemie sehr viele Unternehmen kurzfristig auf Home Office und neue Arbeitsmodelle umstellen mussten und damit auch die bisherigen Sicherheitskonzepte auf den Prüfstand stellten. In der Folge definierten viele Unternehmen Zero Trust als Kern der Cybersicherheit und starteten entsprechende Projekte.

Der Schritt vom grundlegenden Modell hin zu konkreten Implementierungen gestaltet sich aber langsam und schwierig, auch weil das Modell einerseits zunächst sehr netzwerkzentrisch war ("Zero Trust Networks") und andererseits in erster Linie generische Anforderungen postulierte. Doch gibt es inzwischen eine "Zero Trust Architecture" [1] von der US-amerikanischen Standardisierungsorganisation NIST und auch ein Positionspapier des deutschen BSI [2], zu dem das Institut ausdrücklich zu Anregungen, Kommentaren und Kritik einlädt.

Zero Trust richtete ursprünglich seinen Blick auf die Sicherheit in Netzwerkinfrastrukturen. Der Fokus war die Vermeidung sogenannter "lateraler Bewegungen", bei denen sich Angreifer nach Überwindung der Firewall vergleichsweise frei im Netzwerk bewegen und weitere Systeme angreifen können. Daraus hat sich der Grundgedanke entwickelt, nicht einzelnen Komponenten zu vertrauen, sondern eine kontinuierliche Verifizierung an unterschiedlichsten Stellen und auf unterschiedlichen Ebenen durchzuführen – "Don’t trust, always verify". Daraus ergeben sich grundlegende Eckpfeiler von Zero Trust:

- Kontinuierliche Verifizierung oder, genauer gesagt, eine wiederholte Überprüfung von Benutzern, Geräten und Anwendungen bei Zugriffen und auch in laufenden Sessions, weil diese als inhärent unsicher gelten.

- Minimalprinzip: Die Zuordnung nur der minimal erforderlichen Berechtigungen. Idealerweise auch nur "just-in-time" (JIT) vergeben, also nur während sie erforderlich sind.

- Mehrstufige Sicherheit, da die Überprüfung wiederholt und auf unterschiedlichen Ebenen erfolgt.

Auch die Mikrosegmentierung von Netzwerken wird häufig genannt, um die Angriffsflächen zu reduzieren, mehr Stellen für die Verifizierung zu schaffen und die Ausbreitung von Angriffen einzudämmen. Allerdings ist das eher eine technische Umsetzungsmaßnahme unter vielen.

Eine etwas andere und breitere Sichtweise ergibt sich aus Bild 1: Benutzer greifen mit ihren Geräten über das Netzwerk auf Dienste zu, die sich aus der System- und Anwendungsebene zusammensetzen. Sie haben Zugang zu Daten und bearbeiten diese; Software bildet das Fundament dafür. Der Zugriff kann auch von Dienstkonten, Dingen oder anderen nicht-menschlichen Identitäten aus erfolgen, das Prinzip aber bleibt gleich. Das Bild verdeutlicht einerseits die Komplexität von Zero Trust als Konzept, weil dies eben nicht nur an einer Stelle greift. Auf der anderen Seite erlaubt es auch, das umfangreiche Modell in kleinere Teile zu zerlegen und sich auf vielfältige Sicherheitsmaßnahmen über die gesamte Kette hinweg zu konzentrieren, die sich dann zu einem Zero-Trust-Ansatz zusammenfügen.

Aus dem Bild ergeben sich die Bereiche, auf die sich Maßnahmen beim Aufbau von Zero-Trust-Sicherheit fokussieren:

- Identitäten mit IAM (Identity and Access Management) und insbesondere MFA (Mehrfaktor-Authentifizierung), die idealerweise nicht mehr mit Kennwörtern arbeitet (kennwortlose Authentifizierung).

- Geräte mit Endgerätesicherheit und Gerätemanagement.

- Netzwerk mit Microsegmentierung und ZTNA (Zero Trust Network Access)

- Systeme mit Hardening und Zugriffssteuerung im Zusammenspiel mit IAM

- Anwendungen mit Hardening, Zugriffssteuerung über IAM und möglichst auch dynamischer Autorisierung über PBAM (Policy Based Access Management).

- Datensicherheit und Data Governance.

- Software mit Software-Supply-Chain-Security.

Neben diesen Handlungsfeldern gibt es, wie auch in Bild 2 dargestellt, noch übergreifende Funktionen. Hier sind insbesondere das Policy-Management und das Monitoring im weitesten Sinne zu nennen, also Themen wie XDR (eXtended Detection & Response). Weitere Aspekte wie Incident Response Management, SIEM/SOAR-Werkzeuge als Teil des Monitorings und das Attack Surface Management sind ebenfalls zentrale Bausteine in einem Zero-Trust-Konzept.

Ein wichtiges Element sind dabei Policies oder Richtlinien, die auch die NIST in ihrer Zero-Trust-Architektur betont. Die Steuerung der Sicherheit soll über Richtlinien erfolgen, was heute auf verschiedenen Ebenen wie bei Firewall-Policies für den Netzwerkzugriff schon längst der Fall ist. Was aber noch fehlt sind durchgängige Konzepte auf allen Ebenen wie beispielsweise PBAM im Bereich der Autorisierung von Anwendungszugriffen und durchgängige Tools für das Management und die Governance der Richtlinien. Das ist aber kein Hinderungsgrund dafür, Zero-Trust-Modelle umzusetzen. Eine konsistente Policy-Governance lässt sich auch ohne technische Werkzeuge für ein systemübergreifendes Policy-Management umsetzen.

Das klingt zunächst nach einer sehr großen Zahl von Handlungsfeldern. Letztlich ist das auch so, weil Cybersicherheit viele Facetten hat und sich eben nicht auf einzelne Technologien reduzieren lässt. Auf der anderen Seite starten Unternehmen ja üblicherweise nicht auf der grünen Wiese, sondern haben bereits verschiedene Elemente im Einsatz. Es geht also meist mehr um die Vervollständigung und Optimierung als den kompletten Neuaufbau der Cybersicherheit.

Der Schlüssel zum Erfolg bei Zero Trust ist einfach zu definieren und umfasst zwei Aspekte. Als Erstes ist die Reduzierung der Komplexität zu nennen: Derartige Probleme lassen sich am einfachsten durch Herunterbrechen in kleine Teile lösen, die IT-Verantwortliche individuell – aber mit Blick auf das Ganze – betrachten und dann zusammensetzen. Bild 1 illustriert, dass Zero Trust aus vielen Elementen besteht, die für sich lösbar sind. Anders gesagt: Es geht darum, überschaubare Projekte in einem Zero-Trust-Programm zu definieren und umzusetzen und gleichzeitig den Überbau wie übergreifendes Monitoring und Policy-Governance zu definieren.

Der zweite Aspekt beschreibt die Konkretisierung. Zwar ist Zero Trust ein abstraktes Konzept, die einzelnen Elemente lassen sich aber gut konkretisieren. Was braucht es für mehr Netzwerksicherheit? Wie sieht ein modernes IAM aus? Das sind einfache, klare Fragestellungen, bei denen dann die Grundthese von Zero Trust, also "Don’t trust, alway verify", zur Prüfung dient. Admins müssen sich dabei fragen, ob der gewählte Ansatz eine von vielen Schichten in einem mehrstufigen Sicherheitsmodell mit kontinuierlicher Überprüfung ist oder ob die IT eigentlich nur wieder eine Schicht schafft, der sie vertraut.

Der erste Schritt vor der Definition von Projekten in einem Programm ist aber zu verstehen, was eigentlich gemacht werden muss. Den besten Startpunkt dafür bildet eine Business-Impact-Analyse (BIA), um zu begreifen, welche Teile des Geschäftsbetriebs und der darunter liegenden IT und OT (Operational Technology, beispielsweise in der Produktion) besonders kritisch sind. Zusammen mit Attack Surface Management (ASM) lässt sich so ermitteln, wo Kritikalität für den Geschäftsbetrieb und Risiken durch Angriffsflächen besonders groß sind. Auf dieser Basis und mit dem Wissen über die grundlegenden Elemente in einem Zero-Trust-Ansatz lässt sich auch ein grobes Idealbild skizzieren, das notwendige Bausteine auflistet. Diese lassen sich wiederum auf die bewerteten Risiken und kritischen Bereiche abbilden.

Der nächste organisatorische Schritt ist die Gap-Analyse, also eine kritische Gegenüberstellung der erforderlichen und priorisierten Komponenten und des aktuellen Status. Auf diese Weise lassen sich die größten Lücken identifizieren und in der Folge eine Roadmap entwickeln, um den aktuellen Stand der Cybersicherheitsinfrastruktur im Sinne von Zero Trust weiterzuentwickeln. Auf diese Weise ergibt sich in logischer Folge die konkrete Programm- und Projektplanung.

Den zuvor bewusst gewählten Begriff der "kritischen Gegenüberstellung" sollten Sie dabei immer beachten. Bei der Gap-Analyse wird leider oft defensiv argumentiert, weil sich einzelne Bereiche und Verantwortliche angegriffen fühlen, wenn Lücken und Änderungsbedarfe zur Sprache kommen. Darum geht es aber nicht, sondern das Ziel ist, den nächsten Schritt hin zu modernen Sicherheitskonzepten und -technologien zu machen – und nicht darum, das bisher Geleistete zu kritisieren.

Wichtig ist beim Schritt hin zu Zero-Trust-Modellen auch das Überdenken der Organisation. In der Regel liegt das Thema beim Verantwortlichen für die IT-Sicherheit oder dem CISO. In der Praxis ist das aber nicht immer für alle Elemente der Fall. In manchen Organisationen ist IAM immer noch der IT-Infrastruktur und nicht dem CISO zugeordnet. Die Netzwerksicherheit liegt manchmal bei einem separaten Netzwerk- und Kommunikationsbereich, die Anwendungssicherheit ist oft dezentral organisiert und die Endgerätesicherheit ist vielfach Aufgabe des Clientmanagements. Idealerweise passen sich Unternehmen an, um alle sicherheitsrelevanten Themen beim CISO anzusiedeln. Falls das nicht durchsetzbar ist, müssen die anderen Bereiche aber in das Zero Trust-Projekt eingebunden werden und der CISO die nötige Rückendeckung durch die IT-Leitung und die Geschäftsführung erhalten.

Eine oft gestellte Frage ist, wo die Reise zu Zero Trust beginnen soll. Genau genommen ergibt sich die Antwort aus der eben skizzierten, systematischen Vorgehensweise. Die Risiko- und Gap-Analysen zeigen eindeutig auf, was die wichtigsten Themenfelder sind. Diese müssen IT-Teams im Rahmen der Budgetverfügbarkeit priorisieren. Es gibt aber zumindest einen Bereich, der immer richtig ist: Wie Bild 1 darstellt, beginnt Zero Trust bei der Identität und der Authentifizierung. MFA, soweit noch nicht umgesetzt, ist damit nie falsch, weil es ein zentrales Element von Zero Trust ist. Gleiches gilt für den Aufbau und Ausbau respektive die Modernisierung von IAM. Dies beinhaltet eben diese Authentifizierung, aber auch das Management aller Arten von Identitäten und Benutzerkonten, die Steuerung von Zugriffsberechtigungen und PBAM für die dynamische Autorisierung von Zugriffen.

Auf der anderen Seite ist es auch wichtig zu verstehen, dass es keine einzelne Lösung gibt, mit der Sie Zero-Trust-Architekturen zur Realität werden lassen. Auch Ansätze wie ZTNA, bei denen "Zero Trust" im Namen enthalten ist, sind nur Teilelemente in einem solchen Konzept, bei denen auch differenziert zu bewerten ist, ob und in welchem Umfang sie tatsächlich notwendig sind. Auch andere Teilelemente wie Mikrosegmentierung sind zwar wichtig, aber keineswegs immer erforderlich. Für Unternehmen, die mit flexiblen Arbeitsmodellen und Zugriffen von unterschiedlichsten Standorten arbeiten, dabei aber nur Clouddienste und keine interne IT nutzen, spielt Mikrosegmentierung keine Rolle; wohl aber, wenn noch viele IT-Dienste intern in Rechenzentren betrieben werden.

Letztlich ist, neben IAM und MFA als logische technische Startpunkte, der richtige Einstieg in Zero Trust die konzeptionelle Arbeit. Diese entwickelt aus einem abstrakten, komplexen und oft diffusen Konzept eine konkrete Programmplanung und hilft dabei, diese schrittweise umzusetzen. Eines ist aber klar: Zero Trust ist nicht überholt, sondern ein Modell, das die Cybersicherheit auch in den kommenden Jahren prägt. Und zwar in konkreten Umsetzungen – nach dem Hype.