IT-Sicherheit: Wie man Endgeräte und Benutzer überall sicher und einfach authentifiziert

Weil sie zu den wertvollsten Gütern von Firmen zählen, sind Daten immer wieder Angriffen ausgesetzt. Moderne Sicherheitskonzepte wie Zero Trust minimieren das Risiko solcher Attacken. Wie das funktioniert, erläutert das Whitepaper von Macmon mit dem Titel „Zero Trust Network Access in der Cloud“.  

Die Zahl der Hackerangriffe steigt stetig, zudem geht die zunehmende Digitalisierung mit einer Auslagerung verschiedener Dienste in die Cloud einher. Das birgt Risiken, die das Sicherheitskonzept Zero Trust auf ein Minimum reduzieren kann. Die Verantwortlichen beim 2003 in Berlin gegründeten Unternehmen Macmon stellen im Whitepaper Zero Trust Network Access in der Cloud fest: „Es fußt auf der Philosophie, weder einem Gerät noch einem Benutzer einen Vertrauensvorschuss zu geben, bevor eine sichere Authentifizierung erfolgt ist. Es ist ein wenig wie am Flughafen: Wer sich nicht ausweisen kann, bleibt sicherheitshalber am Boden und fliegt nicht mit. Im Mittelpunkt von Zero Trust stehen die Ressourcen – und nicht der perimeterbasierte Schutz, sprich die traditionelle Absicherung der Grenzen zum Unternehmensnetzwerk.“

Welche Rolle der Homeoffice-Trend spielt 

Hinzu kommt der durch die Corona-Pandemie ausgelöste und nicht mehr umkehrbare Trend zum Homeoffice. So gelangt das Beratungshaus EY in einer Studie vom Mai 2021 zu dem Ergebnis, dass gut 80 Prozent der rund 1.000 Befragten ihre Arbeitszeit künftig komplett oder zumindest teilweise im Homeoffice verbringen wollen. Doch bei der Heimarbeit lauern weitere Gefahren, denn oft kommen beispielsweise private Endgeräte zum Einsatz, ohne dass es im Vorfeld Absprachen mit der IT-Abteilung gegeben hat. So verlieren Unternehmen Einfluss darauf, wer oder was auf ihre Ressourcen zugreifen kann. Umgekehrt haben so auch Einflüsse von außen (etwa Trojaner) leichteres Spiel beim Eindringen ins Netzwerk. 

Was eine effektive Zugangskontrolle so wichtig macht  

Um Datendieben das Handwerk zu legen, dürfen Eindringlinge von außen keinerlei Zugriff erhalten. Konventionelle Passwortabfragen reichen schon lange nicht mehr aus, da Passwörter schnell in falsche Hände geraten können. Im Gegensatz dazu setzt das Zero-Trust-Konzept auf Restriktion und Monitoring, indem es ausschließlich definierten Geräten – vom Drucker bis hin zum Laptop – Zugang zum Netzwerk gewährt. Folglich lassen sich alle Geräte im lokalen Netzwerk jederzeit identifizieren und überwachen. Nur registrierte User oder Geräte erhalten Zugriff, sonst niemand. 

Wodurch sich Zero Trust von anderen Ansätzen unterscheidet

Ein weit verbreiteter Sicherheitsansatz sind Virtual Private Networks (VPN), bei denen der Datenverkehr verschlüsselt und die IP-Adresse verschleiert wird. SDP (Secure Defined Perimeter) von Macmon geht bei den Zugriffskontrollen und -rechten noch weiter: User und Geräte brauchen einen SDP-Agenten, der den SDP-Controller von Macmon mit der Cloud verbindet. Sowohl Benutzer als auch Agent authentifizieren sich also am Controller. Beim Zero-Trust-Konzept wird ausnahmslos jeder Zugriff auf Firmenressourcen geprüft – ohne Vertrauensvorschuss. „Eine Berechtigung erhält nur, wer sich authentifizieren kann und wenn der Zugriff erforderlich ist“, schreibt Macmon im Whitepaper. „Dieser restriktive Ansatz hat nichts damit zu tun, dass ein Unternehmen seine Mitarbeiter unter Generalverdacht stellt, auch wenn Zero Trust übersetzt null Vertrauen heißt. Er verdeutlicht vielmehr, dass jeder, der auf Ressourcen zugreifen will, ein berechtigtes Interesse daran haben muss. Kann dieses nachgewiesen werden, ist alles in Ordnung. Wenn nicht, heißt es, hellhörig zu sein.“ 

Welcher Unterschied zwischen Zero Trust Access und Zero Trust Network Access besteht

Bei der Zugriffsberechtigung (Access) kommt zudem der Begriff Zero Trust Access (ZTA) ins Spiel, der das Zuteilen von Berechtigungen an Nutzer, die sich zuvor lückenlos authentifiziert haben, beschreibt. Sie dürfen nicht auf alles zugreifen, sondern nur auf das, was für sie vorgesehen ist. Zero Trust Network Access (ZTNA) in der Cloud hingegen hat die Anwendungen und wer sie verwenden möchte im Fokus. So wird der authentifizierte Nutzer direkt mit den Anwendungen verbunden, auf die er zugreifen möchte und darf – ein weiterer Vorteil auf dem Weg zu noch mehr Datensicherheit.