In der 9. Episode "Zero Trust – Vertrauen ist gut, Kontrolle ist besser!" unseres Podcasts „Die Datenpragmaten“ geht es unseren beiden IT-Experten Nico Schunter und Henning Dey ganz um das Thema Zero Trust Security in der IT Infrastruktur, und warum klassische Firewalls nicht mehr ausreichen, um moderne IT-Umgebungen zu schützen. Lesen Sie, wie Unternehmen ihre Netzwerke effizient gegen Hackerangriffe absichern können.
Hier finden Sie alle bisherigen Podcast-Episoden.
Henning Dey: Hallo, lieber Nico!
Nico Schunter: Hi Henning, lass uns direkt in das heutige Thema einsteigen. Die Worte Zero Trust sind aktuell in aller Munde. Aber was steckt wirklich dahinter? Zero Trust ist für viele Unternehmen noch ein sehr abstraktes Konzept. Kannst du uns erklären, worum es dabei eigentlich geht?
Henning Dey: Klar! Zero Trust bedeutet im Grunde genommen: „Vertraue niemandem.“, unabhängig davon, ob der Zugriff von innerhalb oder außerhalb des Unternehmensnetzwerks erfolgt.
Der traditionelle Ansatz der IT-Sicherheit basierte darauf, dass man innerhalb eines Unternehmensnetzwerks sicher war. Eine Firewall schützte das interne Netz vor Bedrohungen von Außen. Das Problem: Wenn Angreifer einmal ins Netz gelangten, hatten sie oft Zugriff auf alles. Beispiele dafür sind Angriffe auf Firewalls von Palo Alto (2000 infiltrierte Systeme) und Sophos (81.000 betroffene Geräte weltweit). Zero Trust verändert dieses Modell radikal. Es geht darum, jede einzelne Verbindung zu hinterfragen, Geräte zu prüfen und sicherzustellen, dass nur berechtigte Personen auf bestimmte Ressourcen zugreifen dürfen. Dabei spielt es keine Rolle, ob der Zugriff aus dem internen Firmennetz oder aus dem Homeoffice erfolgt – jede Verbindung wird überprüft und validiert.
Nico Schunter: Also weg vom traditionellen Burggraben-Modell hin zu einer feineren, granulareren Kontrolle?
Henning Dey: Genau! Stell dir vor, du arbeitest mit einem klassischen VPN-Ansatz. Sobald sich ein Mitarbeiter verbindet, hat er oft Zugriff auf viele Unternehmensressourcen, selbst wenn er diese gar nicht benötigt. Das ist wie ein Generalschlüssel für ein Bürogebäude – du kannst damit jede Tür öffnen, auch wenn du nur in einen einzigen Raum musst. Zero Trust funktioniert hingegen wie ein System, bei dem jede Tür mit einem individuellen Code versehen ist, der erst geprüft werden muss. Es bedeutet also, dass selbst innerhalb des Unternehmensnetzwerks niemandem blind vertraut wird und Sicherheitsrisiken so minimiert werden. Zero Trust Security erlaubt nur erforderliche Berechtigungen durch einfache, sichere Verbindungen und prüft kontinuierlich die Identität und Sicherheit der Geräte. Dadurch wird mit einheitlicher Benutzererfahrung ein selektiver Zugriff auf spezifische Anwendungen ermöglicht, ohne dass ein komplettes Netzwerksegment freigegeben werden muss.
Nico Schunter: Das klingt nach einem durchdachten Sicherheitsansatz. Warum setzen dann nicht alle Unternehmen bereits Zero Trust um?
Henning Dey: Gute Frage! Viele Unternehmen sind noch in alten Denkmustern gefangen oder scheuen die Implementierungskosten. Es gibt zudem oft eine gewisse Skepsis gegenüber neuen Sicherheitsmodellen, weil man sich jahrelang auf traditionelle Methoden verlassen hat. Aber aktuelle Sicherheitsvorfälle zeigen, dass Unternehmen umdenken müssen.
Passend zum Thema: Der Chaos Computer Club hat ja kürzlich massive Schwachstellen bei VW aufgedeckt. Was genau ist da passiert, Nico?
Nico Schunter: Ein echtes Desaster! Der CCC hat herausgefunden, dass der Volkswagenkonzern (inkl. Marken wie Seat, Audi und Skoda) riesige Mengen an Fahrzeug-Telemetriedaten gesammelt und unsicher gespeichert hat. Dazu gehörten nicht nur Informationen über den technischen Zustand der Fahrzeuge, sondern auch hochsensible GPS-Daten – teilweise zentimetergenau. Durch schwache Zugangssicherungen konnten die Hacker GPS-Daten von rund 800.000 Fahrzeugen abgreifen.
Henning Dey: Also konnte man ganz genau sehen, wo sich die Autos befinden?
Nico Schunter: Genau! Und noch schlimmer: Angreifer konnten sich relativ einfach Zugriff verschaffen. Man konnte also sehen, wo ein bestimmtes Auto abgestellt wurde – ob vor dem BND, einem Luxushotel oder einem Bordell. Das ist nicht nur ein massiver Datenschutzverstoß, sondern auch ein großes, potenzielles Sicherheitsrisiko. Stell dir vor, Kriminelle haben Zugriff auf diese Daten und können gezielt herausfinden, wann ein Fahrzeugbesitzer nicht zu Hause ist. Hier hätte Zero Trust Security sicher geholfen, oder?
Henning Dey: Definitiv! Wenn VW eine echte Zero-Trust-Architektur genutzt hätte, wären solche Daten nur für autorisierte Nutzer abrufbar gewesen, und zwar nur in dem Umfang, der wirklich notwendig ist. Es hätte sichergestellt, dass sensible Informationen nicht für Angreifer zugänglich sind, selbst wenn diese einen ersten Zugangspunkt kompromittieren.
On demand Webinar
Zero Trust: Raffinierte Bedrohungen strategisch ausschalten
Kompromittierte User und laterale Bewegungen erkennen, wenn vorhandene Sicherheitskontrollen versagen
Henning Dey: Ein weiteres großes Thema, das dazu passt, ist die elektronische Patientenakte. Auch hier gibt es massive Bedenken und Probleme. Was ist da los, Nico?
Nico Schunter: Richtig! Die elektronische Patientenakte soll Gesundheitsdaten digital speichern und zwischen Ärzten teilen. Prinzipiell eine gute Idee. Das Problem: Der Chaos Computer Club konnte zeigen, dass es möglich war, ohne die offizielle Gesundheitskarte auf die Daten zuzugreifen, indem sie sich Zugangs-Tokens erstellen konnten. Zudem war der Schutz vor Social Engineering-Angriffen mangelhaft. Das könnte dazu führen, dass Krankenkassen oder Arbeitgeber unberechtigt an sensible Gesundheitsdaten gelangen. Noch kritischer: Es wäre möglich, personenbezogene Gesundheitsinformationen mit anderen Daten zu verknüpfen und für kommerzielle oder betrügerische Zwecke zu nutzen. Dazu kommt: viele Menschen könnten an der ePA unwissentlich teilnehmen, wenn standardmäßig ein „Opt-Out“-Modell genutzt wird.
Da frage ich mich: Warum werden hier keine strengeren Sicherheitsvorkehrungen getroffen?
Henning Dey: Wahrscheinlich aus Bequemlichkeit und mangelndem Sicherheitsbewusstsein. In der Praxis wird oft der einfachste Weg gewählt, selbst wenn er Sicherheitsrisiken birgt. Es gibt häufig einen Spagat zwischen Benutzerfreundlichkeit und Sicherheit. Viele Verantwortliche glauben fälschlicherweise, dass mehr Sicherheitsmaßnahmen automatisch die Nutzbarkeit verschlechtern. Dabei gibt es moderne Lösungen, die beides vereinen können.
Nico Schunter: Also würdest du sagen, dass viele dieser Probleme durch ein richtig umgesetztes Zero-Trust-Modell hätten verhindert werden können?
Henning Dey: Ganz genau! Ein Zero-Trust-Ansatz hätte verhindert, dass auf die sensiblen Daten von beliebigen Orten aus zugegriffen werden kann. Es hätte zudem sichergestellt, dass nur wirklich berechtigte Personen und Systeme Zugriff haben. Das ist besonders bei personenbezogenen Daten extrem wichtig, um Datenschutzverstöße zu vermeiden.
Nico Schunter: Wie kann denn ein Unternehmen konkret anfangen, Zero Trust zu implementieren?
Henning Dey: Erstens: Bestandsaufnahme. Unternehmen müssen wissen, wer auf welche Systeme zugreift und ob das überhaupt notwendig ist. Zweitens: Identitäten sichern. Starke Authentifizierung wie Multifaktor-Authentifizierung ist ein Muss. Drittens: Zugriff minimalisieren. Mitarbeiter sollten nur das sehen und nutzen können, was sie wirklich brauchen. Und viertens: Kontinuierliche Überwachung. Anomalien sollten sofort erkannt und unterbunden werden. Außerdem sollten Unternehmen moderne Sicherheitslösungen wie Zscaler oder ähnliche Anbieter evaluieren, die Zero Trust in bestehende IT-Infrastrukturen integrieren können.
Nico Schunter: Also quasi: Erst analysieren, dann absichern?
Henning Dey: Exakt! Und dabei nicht nur auf eine Lösung setzen. Zero Trust kann verschiedene Technologien kombinieren, von Identitätsmanagement bis hin zu Netzwerksicherheitstools, z. B. Netzwerksegmentierung, Data Leakage Prevention (DLP) und Mobile Device Management (MDM). Es geht nicht nur um IT, sondern um eine grundlegende Denkweise. Unternehmen müssen verstehen, dass Sicherheit ein kontinuierlicher Prozess ist und nicht einmalig eingerichtet werden kann.
Nico Schunter: Vielen Dank, Henning! Das war super aufschlussreich. Ich hoffe, unsere Leser haben jetzt eine klarere Vorstellung von Zero Trust und warum es so wichtig ist.
Henning Dey: Mir war es wie immer ein Fest, Nico! Danke dir und denkt dran: Bleibt sicher!
Jetzt mehr erfahren und Termin vereinbaren →
Begriffe und Bedeutungen
Firewall: Ein Sicherheitsmechanismus, der Netzwerke vor unautorisierten Zugriffen schützt.
VPN (Virtual Private Network): Eine Technologie, die eine verschlüsselte Verbindung zwischen einem Gerät und einem Netzwerk herstellt.
Multifaktor-Authentifizierung (MFA): Ein Sicherheitsmechanismus, der mehrere Formen der Verifizierung erfordert, z. B. Passwort und Fingerabdruck.
Social Engineering: Eine Angriffstechnik, bei der Menschen manipuliert werden, um vertrauliche Informationen preiszugeben.
Telemetriedaten: Automatisch gesammelte Daten über den Status und die Nutzung eines Geräts oder Fahrzeugs.
Elektronische Patientenakte (ePA): Ein digitales System zur Speicherung und Verwaltung von Gesundheitsdaten.
CCC (Chaos Computer Club): Eine bekannte deutsche Hacker-Organisation, die sich mit IT-Sicherheit und Datenschutz befasst.
