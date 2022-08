Cyberkriminalität ist eines der sichersten und lukrativsten Verbrechen. Das Konzept Zero Trust will dem entgegenwirken.

San Jose Es sind Hunderte gelbe Linien, die auf der sich drehenden Weltkugel hin und her jagen. Jede steht für einen Cyberangriff, der derzeit erkannt wird. Die Animation soll Unternehmer oder Behördenchefs aufschrecken: „Wir sind in einem ständigen Wettlauf mit immer besser ausgerüsteten Angreifern“, sagt Jay Chaudhry, Gründer und Chef von Zscaler, bei einer Präsentation in der Firmenzentrale im kalifornischen San José.

Chaudhry macht damit Werbung in eigener Sache. Mit Zscaler hat der gebürtige Inder ein Milliardenunternehmen aufgebaut, das eine radikale Abkehr von bisherigen Ansätzen in der Cybersicherheit fordert: Zero Trust lautet der Name des Konzepts. „Vertraue nichts und niemandem“, fasst Chaudhry gegenüber dem Handelsblatt den Ansatz zusammen.

Es geht um viel: Wenn Einbrecher ins interne Netz gelangen, haben sie oft weitreichenden Zugang. Schon eine Unachtsamkeit eines Angestellten im Homeoffice kann dazu führen, dass Angreifer das gesamte Firmennetz kapern können. Ein Schutz nach außen reicht heute nicht mehr aus.

Zero Trust dreht den Ansatz um. Ein Netz wird nicht nach außen verteidigt. Jeder Zugriff muss stattdessen verifiziert werden, wird vom IT-System als potenziell feindselig eingestuft.

Top-Jobs des Tages Jetzt die besten Jobs finden und

per E-Mail benachrichtigt werden. Standort erkennen

Die Geschäfte laufen für Zscaler, auch wenn der Wettbewerb mit Anbietern wie Crowdstrike oder Cyberark scharf ist. Zero Trust verkauft sich gut. Die US-Regierung will beispielsweise bis zum Jahr 2024 die meisten Behördensysteme darauf umstellen. Der weltweite Zero-Trust-Sicherheitsmarkt wird laut dem Marktforscher Markets and Markets von 27,4 Milliarden US-Dollar Umsatz in diesem Jahr auf 60,7 Milliarden Dollar im Jahr 2027 wachsen.

Zero Trust verspricht Unternehmen deutlich mehr Schutz vor Cyberangriffen. Die nehmen dramatisch zu, wie auch deutsche Unternehmen zu spüren bekommen: Jede zweite Firma war 2020 und 2021 Ziel von Cyberattacken, wie die IT-Beratung MHP in Zusammenarbeit mit dem Landeskriminalamt Baden-Württemberg herausfand. In jedem dritten Schadensfall ging der Verlust in die Millionen Euro. Tendenz: stark steigend.

Cyberangriffe sind für Kriminelle lukrativ

Cyberkriminalität ist eines der sichersten und lukrativsten Verbrechen, die meisten Angriffe können nicht zurückverfolgt oder geahndet werden. An Zero Trust führe daher für viele Firmen einfach kein Weg vorbei, sagt Jeetu Patel, Vorstand beim Netzwerkriesen Cisco. „Wenn Firmen das Konzept nicht umsetzen, steigt das Risiko jeden Tag nur weiter.“

Doch so einfach ist es nicht. Zero Trust ist ein harter Bruch mit bisherigen Konzepten, stellt Unternehmen, Behörden und Mitarbeiter vor Herausforderungen. Die IT-Abteilungen müssen digitale Infrastrukturen neu aufbauen, Mitarbeiter sich umständlicher anmelden und damit klarkommen, weniger Zugriffsrechte zu haben. Und Unternehmens- und Behördenchefs begeben sich völlig in die Hände von Anbietern wie Zscaler, Crowdstrike oder Cyberark.

>> Lesen Sie auch: Auf „Großwildjagd“: Hacker attackieren jetzt Software-Firmen mit Tausenden Kunden

„Es ist unglaublich schwer, ein bestehendes System komplett auf Zero Trust umzustellen“, sagt ein Cybersicherheitsmitarbeiter eines großen US-Tech-Konzerns, der seinen Namen nicht öffentlich nennen will. Bei ihm im Unternehmen werde zwar Zero Trust eingeführt – aber den Anbietern werde nie völlig vertraut. „Wir haben immer mehrere Sicherheitskopien von allen wichtigen Daten“, sagt der IT-Experte.

Das Intranet von Unternehmen und Behörden wird immer komplexer – durch Homeoffice oder Cloudlösungen. Das bietet neue Chancen für Hacker. (Foto: imago images/Chris Emil Janßen) Hackerangriffe

Das Homeoffice und die Cloud bringen nicht wenige Firmen in Bedrängnis, sie können ihre internen Netzwerke nicht mehr ausreichend schützen. Was noch mit wenigen Standorten möglich war, kommt mit vielen Mitarbeitern mit Heimarbeitsplätzen und dem Einbinden von externen Clouddiensten immer stärker an seine Grenzen.

Bei Zero Trust reicht es beispielsweise nicht mehr aus, dass sich ein Nutzer nur mit einem Passwort einloggt und dann loslegt. „Passwörter sind für potenzielle Angreifer, die in ein Unternehmen mit schwachen Sicherheitsvorkehrungen eindringen wollen, das Werkzeug schlechthin“, sagt Sunil Ravi, Chief Security Architect bei Versa Networks.

Ständige Kontrolle, schwankende Zugriffsrechte

Bankkunden in Deutschland kennen das Prozedere: Man muss sich mehrmals identifizieren. Neben einem Passwort beispielsweise kann die Freigabe auf einer App auf dem Dienst-Smartphone stattfinden. Oder es kann ein separater Zugangscode sein, der per SMS verschickt wird. Nur in Kombination gelingt der Zugriff. Ein gestohlenes Passwort reicht nicht mehr aus, ein Firmennetz zu kapern.

Das Misstrauen hört mit der Anmeldung nicht auf. Ein Algorithmus berechnet fortlaufend und in Echtzeit die Gefahr, die ein Nutzer darstellt. Dabei spielen Datenpunkte wie der Standort oder die Sicherheit des Geräts eine Rolle.

Dem Anwender werden die möglichst niedrigsten Zugriffsrechte gewährt. Sie sollen nur auf Informationen und Dienste zugreifen können, die sie für ihre gerade vorliegende Arbeit benötigen. Im Einzelfall kann das zu kleinsten Einschränkungen führen: Beispielsweise dürfen Nutzer keine Laufwerkzuordnungen im Netzwerk verändern, oder die Copy/Paste-Funktion lässt sich nicht nutzen.

Angestellte, die sich verifizieren, können dafür sorglos von überall arbeiten – egal ob zu Hause, im Homeoffice oder unterwegs. „Die Zeit, in der fast alle Mitarbeiter in einem bestens geschützten Büro gearbeitet haben, ist vorbei. Und sie wird nicht zurückkommen“, zeigte sich Zscaler-Chef Chaudhry überzeugt.

USA machten Zero Trust zur Pflicht – Deutschland will nachziehen

Auch die Bundesregierung will ihre Systeme mit einem Fokus auf „Zero Trust“ sicherer machen. Der Staat müsse sich so aufstellen, „dass wir schrittweise in Richtung Zero-Trust-Architektur gehen“, sagte Andreas Könen, Leiter der Abteilung Cyber- und IT-Sicherheit im Innenministerium, kürzlich auf einer Branchenkonferenz. Einen genauen Zeitplan legte die Regierung jedoch nicht vor.

Die USA sind weiter. Das mächtige, dem Weißen Haus unterstellte Amt für Verwaltung und Haushaltswesen hat alle Behörden angewiesen, ihre Systeme bis zum Jahr 2024 auf Zero-Trust-Ansätze umzustellen.

Das Amt warnte vor gezielten Cyberattacken gegen Behörden: „Diese Kampagnen richten sich gegen die technische Infrastruktur des Bundes und bedrohen die öffentliche Sicherheit und die Privatsphäre, schaden der amerikanischen Wirtschaft und schwächen das Vertrauen in die Regierung.“

Auf Initiative von dem US-Präsidenten wird das Sicherheitssystem „Zero Trust“ bis 2024 in den meisten US-Regierungssystemen eingeführt. (Foto: Polaris/laif) Joe Biden

Im Januar gab die dem Verteidigungsministerium unterstellte Defense Information Systems Agency bekannt, der Beratungsfirma Booz Allen Hamilton einen Auftrag mit einem Volumen von 6,8 Millionen Dollar gegeben zu haben, um eine Zero-Trust-Plattform zu entwickeln.

Umstieg auf Zero Trust erfordert viel Vertrauen

Alle führenden Cybersicherheitsfirmen propagieren heute Zero-Trust-Lösungen. Als besonders versierte Anbieter beschreibt die US-Investmentbank Morgan Stanley in einer Analyse neben Zscaler auch Palo Alto Networks und Okta aus dem Silicon Valley sowie Crowdstrike aus Texas und Cyberark aus Israel.

Die Umstellung auf die neue Sicherheitsarchitektur stellt ihre Kunden aber vor erhebliche Herausforderungen. Digitale Infrastrukturen müssen komplett überarbeitet werden. Der Produktchef des Anbieters Crowdstrike, Amol Kulkarni, räumte ein: „Unternehmen haben die Bedeutung von Zero Trust erkannt, tun sich aber schwer damit, es auf breiter Front in heterogenen Umgebungen zu implementieren.“

Anders gesagt: Die Umstellung ist wahnsinnig schwer – und heikel. In der neuen Cybersicherheitswelt wollen die Anbieter als zentrale Schnittstelle fungieren. Sie wollen bewerten, welcher Zugriff erlaubt wird und welcher nicht. Unternehmen müssen dafür den Zero-Trust-Anbietern einen weitreichenden Zugang zu ihren Netzen einräumen. Das fällt nicht leicht.

Das ist besonders der Fall, wenn es um wichtige Daten geht. Eine besondere Fähigkeit etlicher Cybersicherheitsanbieter ist es, verschlüsselte Datentransfers auf Cybergefahren zu durchleuchten. Das erhöht die Sicherheit, erfordert aber viel Vertrauen. „Wir prüfen nur, wofür uns die Firmen beauftragen“, sagt Zscaler-Chef Chaudhry. Sensible Kommunikation könne ein Unternehmen einfach von den Kontrollen ausnehmen.

Sein Technikchef Amit Sinha versucht, Bedenken der Kunden mit Vergleichen wie diesem aus dem Weg zu räumen: „Wir sind wie Sicherheitskontrollen am Flughafen. Wir prüfen, wer sich ausweisen kann, und wir schauen auch in das Gepäck, ob jemand gefährliche Gegenstände dabeihat.“

Furcht vor einem zweiten Solarwinds-Hack

Damit ist ein Kernproblem jedoch noch nicht ausgeräumt. Denn Zscaler und die anderen Anbieter selbst können zum Ziel von Cyberattacken werden. Wer Zugang zu Zscaler hat, kann darüber potenziell auch Zugang zu Systemen der Kunden erlangen. Supply-Chain-Attacken werden diese Angriffe von Fachleuten genannt.

Das Szenario ist keine reine Theorie, sondern hat schon etliche Behörden und Unternehmen ereilt. Ein besonders drastischer Fall war der Angriff auf Solarwinds im Jahr 2020. Etliche Großkonzerne und Behörden verwendeten die Dienste des US-Sicherheitsdienstleisters, um die Datenverbindungen in ihren Netzen zu überwachen. Hacker nutzten die Sonderrolle von Solarwinds, um über ein manipuliertes Update Zugang zu Tausenden Computersystemen zu erhalten.

Der Angriff gilt heute als einer der ausgefeiltesten Hacks der Geschichte. Die Angreifer sollen sogar in die US-Atomwaffenbehörde eingedrungen sein. Amerikanische Geheimdienste vermuten die russische Hackergruppe „Cozy Bear“ hinter der Attacke und befürchten, dass die Kreml-nahen Hacker monatelang Einsicht in sensibelste Daten von Ministerien und Unternehmen hatten. Bis zu 18.000 Solarwinds-Kunden sollen betroffen gewesen sein.

Die Umstellung auf Zero Trust könnte die Rolle von Zulieferern in der Cybersicherheit von Behörden und Firmen weiter steigern. Genau das macht sie jedoch zu besonders lukrativen Zielen.

Zscaler unternehme alles, um sich und seine Kunden bestens gegen Cyberangriffe zu schützen, betont Chaudhry. „Zudem speichern wir auch keine Daten unserer Kunden“, sagt der Zscaler-Chef. Er räumte aber auch ein: „Ich bin seit rund drei Jahrzehnten in der Cybersicherheitsbranche, und ich weiß: Hundertprozentige Sicherheit gibt es nicht.“

Mehr: Der unsichtbare Krieg: Globale Hackerbanden bedrohen Deutschland – betroffene Firmen packen aus.