Post

Zero Trust ist tot, lang lebe Verified Trust

Posted
Preview Image
By Thomas Krampe
3 min read
Zero Trust ist tot, lang lebe Verified Trust

Warum über 80 % der DACH-Unternehmen ihre Sicherheitsarchitektur neu überdenken müssen

Ich habe gerade diese Woche in einer Diskussion zum Feierabend wieder einmal das Thema Zero Trust aufgegriffen und sehr intensiv diskutiert. Dabei sind wir zu dem Schluss gekommen, dass die Zeit der harten Sicherheitsperimeter nun endgültig vorbei ist.

Während in der DACH-Region traditionell immer noch auf dicke Mauern und Firewalls gesetzt wird, bewegen sich bereits Ransomware-Gruppen, manchmal bereits monatelang unbemerkt im Netz oder prasseln KI-gestützte Phishing-Angriffen, die aktuell nur schwer zu erkennen sind, auf unsere Mitarbeiter ein. Die aktuelle Bedrohungslage zeigt dabei eines ganz klar, Vertrauen ist eine unserer größten Schwachstellen.

Der Ruf nach Zero Trust ist allgegenwärtig und bei jedem CIO oder CISO auf der Agenda. Ich habe das vor gut zwei Jahren bereits in einem Artikel beschrieben. Auch heute noch stoßen viele Unternehmen an die Grenzen der reinen Zero Trust-Theorie, denn Null Vertrauen führt in der Praxis auch zu Null Produktivität.

Wir müssen über reines “Zero Trust” hinausgehen und zu einem “Verified Trust”-Modell übergehen. Prinzipiell ist das der strategische Unterschied, den IT-Führungskräfte jetzt verstehen müssen, um die digitale Resilienz zu sichern.

Was ist “Verified Trust” und warum ist es besser?

Zero Trust besagt: Traue niemandem, weder intern noch extern. Das ist ein exzellenter Ausgangspunkt.

Verified Trust ist die praktische Weiterentwicklung: Traue niemandem, bis die Identität, der Kontext und der Zustand des Geräts in Echtzeit verifiziert wurden – und re-verifiziere ständig.

In der DACH-Region, wo der Mittelstand das Rückgrat bildet, muss Sicherheit nicht nur wasserdicht, sondern auch pragmatisch sein. Verified Trust adressiert diese Notwendigkeit durch drei Säulen:

1. Adaptive Authentifizierung (Nicht nur MFA) Multi-Faktor-Authentifizierung (MFA) ist Pflicht, aber nicht ausreichend. Adaptive Authentifizierung prüft bei jeder Zugriffsanfrage Risikofaktoren wie: Ist der Standort ungewöhnlich? Ist die Uhrzeit außerhalb der Geschäftszeiten? Ist das verwendete Gerät bekannt und gepatcht?

  • Der Unterschied: Ein Zero-Trust-System blockiert einen unbekannten Login. Ein Verified-Trust-System fordert bei einem Login aus einem neuen Land zum Beispiel automatisch eine zusätzliche, biometrische Verifizierung an, bevor der Zugriff gewährt wird.

2. Micro-Segmentierung der kritischen Assets Viele Unternehmen segmentieren ihr Netz grob. Bei einem Einbruch kann sich der Angreifer oft relativ frei bewegen (Lateral Movement). Verified Trust fordert eine Micro-Segmentierung der kritischsten Assets (z.B. SAP-Server, Kundendatenbanken, Finanzsysteme).

  • Jede Anwendung, jeder Workload und jeder User erhält nur exakt die Berechtigungen, die jetzt für die Aufgabe notwendig sind (Least Privilege). Eine Kompromittierung des HR-Systems führt nicht automatisch zur Kompromittierung aller anderen Systems.

3. Kontinuierliche Überwachung & Threat Detection Die größte Schwachstelle der Perimeter-Sicherheit war die Annahme, man wisse, wann man angegriffen wird. Im Verified Trust-Modell wird jede Interaktion als potenziell bösartig behandelt.

Hier spielen KI-gestützte Extended Detection and Response (XDR)-Systeme eine entscheidende Rolle. Sie analysieren Verhaltensanomalien in E-Mails, Endpunkten und im Netzwerk gleichzeitig. Sie erkennen Muster, die menschliche Analysten übersehen würden, und ermöglichen eine Reaktion in Minuten statt in Tagen.

Der 3-Punkte-Plan für den Wechsel zu Verified Trust

Der Umstieg ist keine einmalige Installation, sondern eine kulturelle und architektonische Transformation.

  1. Die Assets identifizieren: Definieren Sie die 3–5 geschäftskritischsten Anwendungen, quasi Ihre Kronjuwelen und beginnen Sie die Micro-Segmentierung und die strikte Zugriffsprüfung dort.
  2. Die Lücke schließen: Bewerten Sie die Reife Ihrer MFA-Lösung und implementieren Sie Conditional Access Policies. Machen Sie den Kontext zum Schlüssel für den sicheren Zugriff.
  3. Die Kultur verändern: Schulen Sie Ihre Mitarbeiter nicht nur auf Phishing, sondern darauf, dass jeder Endpunkt eine Grenze ist. Security Awareness muss zum festen Bestandteil des Digital Workplace werden.

Machen wir uns nichts vor, in der Realität sind die Angreifer bereits in Ihrem Netz. Ihre Aufgabe als IT-Führungskraft ist es dabei nicht sie draußen zu halten, sondern sicherzustellen, dass sie beim ersten Schritt im Inneren auf eine Wand stoßen.

Übrigens, viele der dafür benötigten Tools werden sie mit großer Wahrscheinlichkeit bereits haben, Sie müssen diese nur zu nutzen lernen.

Was ist Ihr größtes Hindernis bei der Implementierung von Zero Trust/Verified Trust - Budget, Fachkräftemangel oder technologische Komplexität?

Teilen Sie Ihre Meinung in den Kommentaren und diskutieren Sie mit!

Strategie, Security
security zero-trust verified-trust
This post is licensed under CC BY 4.0 by the author.