Von Ralf Keuper

In der Vergangenheit konnte sich die IT-Abteilung eines Unternehmens auf die Verteidigung des Netzwerkrands konzentrieren. Dabei gilt die Annahme, dass jeder und alles, was sich bereits im eigenen Netzwerk befindet, dem Unternehmen wohlgesonnen ist. Benutzer innerhalb des Netzwerks haben private IP-Adressen und sind “vertrauenswürdig”, während Remote-Benutzer virtuelle private Netzwerke verwenden, um auf eine private IP-Adresse im Netzwerk zuzugreifen. Das Problem ist, dass dieses Modell geschaffen wurde, als Mitarbeiter Firmencomputer in Firmennetzwerken innerhalb der Firmenmauern verwendeten. Das ist heute anders^[1]The Zero Trust Model – What It is and Why It Starts with Identity.

In der heutigen Unternehmensumgebung sind die Grenzen zwischen intern und extern fließend – Mitarbeiter können von überall aus arbeiten, oft mit ihren eigenen Geräten. Gleichzeitig benötigen Anbieter und andere Dritte mehr Zugriff auf das Unternehmensnetzwerk. Statt der alten Devise “Vertraue, aber überprüfe” lautet der neue Ansatz: “Überprüfe alles, vertraue nichts und niemandem”: Zero Trust.

Unternehmen müssen sich demnach eine Null-Vertrauens-Mentalität aneignen und unter der Annahme arbeiten, dass alle Benutzer, Endpunkte und Ressourcen nicht vertrauenswürdig sind und immer verifiziert werden müssen. In der Zero Trust – Welt sind alle extern, d.h. jede angeforderte Transaktion wird auf ihr Risiko geprüft, bevor sie ausgeführt werden darf. Das Vertrauen wird explizit aus einer Vielzahl von unabhängigen Merkmalen berechnet, die auf der Identität des Anfragenden und dem Kontext der Anfrage selbst basieren. Jede einzelne Transaktion einschließlich Benutzer, Quell- und Zi…