Als Mensch möchte ich eigentlich jeder anderen Person zunächst offen und unvoreingenommen begegnen.
In der IT ist das allerdings der falsche Ansatz.
Indem sich die Unternehmen immer mehr in die Cloud bewegen, öffnen sich die Türen auch für ungebetene und kriminelle Subjekte immer weiter.
Um dem zu begegnen, gibt es den Zero Trust Ansatz: “nicht vertrauen – alles überprüfen”.
Der Begriff „Zero Trust“ wurde von einem Analysten von Forrester Research im Jahr 2010 eingeführt. Seine Wurzeln liegen aber noch früher, etwa 2003, als der Begriff “Deperimeterisierung” von Paul Simmonds vom Jericho Forum geprägt wurde.
Auch Microsoft bewirbt den Markt damit und hat dieses Konzept in seinen Produkten bereits teilweise eingebunden.
Es gibt Grundsätze, die diesen Ansatz prägen:
- Kein grundsätzliches Vertrauen. Keinem Benutzer oder Gerät sollte man standardmäßig Vertrauen.
- Prinzip der minimalen Rechte. Der Anwender sollte nur das unbedingt erforderliche Minimum an Zugang erhalten.
- Berechtigungen und Netzwerkkomponenten werden in kleinere Segmente mit individuellen Zugangsanforderungen unterteilt.
- Risikobewertung und -analyse. Der gesamte Netzwerkverkehr sollte protokolliert und auf verdächtige Aktivitäten untersucht werden.
Mit den klassischen “W-Fragen” kann man dieses Prinzip feiner unterteilen:
WER greift WANN von WO über WELCHEN Weg WORAUF zu.
So ergeben sich bereits verschiedene Schutzmöglichkeiten,
Ein Beispiel soll das verdeutlichen.
In sehr vielen Netzwerken werden Benutzer eingerichtet und bekommen ein Kennwort.
Aber haben Sie schon einmal darüber nachgedacht, dass Ihre Benutzer nicht jedes beliebige Gerät verwenden und auch nicht zu jeder beliebigen Zeit tätig sind?
Kleine Unternehmen können die Einstellungen direkt in der Benutzerverwaltung pflegen.
Es macht übrigens durchaus auch Sinn, wenn man für jedes Konto ein “Ablaufdatum” setzt, damit eventuell vergessene, bereits ausgeschiedene Mitarbeiter nicht weiterhin den Zugriff behalten.
Größere Unternehmen können den Beitrag darüber im Internet lesen. Es gibt für alle Varianten die passenden Lösungen.
Das ist aber erst ein Anfang.
Wenn Sie sich näher mit dem Thema beschäftigen, werden sie selbst bald bemerken, dass man mit wenig Aufwand durchaus viel zur Sicherheit beitragen kann.
Nehmen Sie sich einfach einmal die oben genannten Leitsätze und denken Sie losgelöst von der Technik darüber nach.
Für die Umsetzung findet sich dann schon der richtige Admin oder Partner.