Newsroom
Newsletter abonnieren

Zero-Trust-Netzwerke und ihre Auswirkungen auf videobasierte Sicherheitssysteme

6 Minuten zum Lesen
Tags:
Geschrieben von:
Wayne Dorris
Wayne Dorris
Zero trust networks

Netzwerke sind zunehmend gefährdet. Die Kombination aus immer raffinierteren und zahlreicheren Cyberangriffen sowie dem exponentiellen Wachstum vernetzter Geräte – von denen jedes einen weiteren potenziellen Angriffspunkt darstellt – führt dazu, dass Organisationen einen fortwährenden Kampf um die Sicherheit ihrer Netzwerke führen.

Traditionell verließen sich Unternehmen darauf, ihre Unternehmens-Firewall möglichst robust zu gestalten. Zwar schützt dieser Ansatz den Zugang zum Netzwerk, doch sobald jemand die Firewall überwinden kann, bewegt er sich relativ frei innerhalb des Netzwerks. Einmal im Inneren, droht der Verlust sensibler Daten mit potenziell irreparablen Schäden – und Angreifer können sich wochen- oder monatelang unentdeckt im System aufhalten.

Zudem ist das Konzept eines Netzwerks, das vollständig durch eine Firewall abgeschottet ist, veraltet. Die schiere Anzahl vernetzter Geräte macht es unmöglich, den Netzwerkperimeter mit einer einzigen Lösung zu schützen. Hinzu kommt die Nutzung cloudbasierter Dienste außerhalb des Netzwerks sowie die Vorteile durch durchlässigere Netzwerkgrenzen – etwa durch die direkte Anbindung von Kunden- und Lieferantensystemen zur Effizienzsteigerung in der Lieferkette. All das hat die Anforderungen an Netzwerksicherheit grundlegend verändert.

Niemandem und nichts im Netzwerk vertrauen

Daraus entstand das Konzept des „Zero Trust“ – also der Null-Vertrauen-Strategie – und damit auch entsprechende Netzwerkarchitekturen. Wie der Name schon sagt, geht man in einem Zero-Trust-Netzwerk grundsätzlich davon aus, dass keine Instanz – ob Mensch oder Maschine – vertrauenswürdig ist, unabhängig davon, woher sie kommt oder wie sie sich verbindet.

Die zentrale Philosophie lautet: „Nie vertrauen, immer verifizieren.“ Das bedeutet, dass jede Instanz im Netzwerk mehrfach und auf unterschiedliche Weise überprüft wird – abhängig vom Verhalten und der Sensibilität der jeweils genutzten Daten. Grundsätzlich wird nur der minimale Zugriff gewährt, der zur Erfüllung einer Aufgabe notwendig ist.

Zero Trust nutzt unter anderem Mikrosegmentierung – also unterschiedliche Sicherheitsstufen für einzelne Netzwerkbereiche mit besonders sensiblen Daten – sowie granulare Zugriffskontrollen basierend auf Nutzer- und Geräteprofilen, Standortdaten und weiteren Identifikatoren, um zu entscheiden, ob Zugang gewährt werden kann.

Individuen erhalten nur Zugriff auf jene Netzwerkbereiche und Daten, die sie für ihre Rolle benötigen – ein offensichtlicher Sicherheitsvorteil. Auffälligkeiten im Verhalten dieser Identitäten bieten darüber hinaus eine zusätzliche Schutzebene.

Ein Beispiel: Ein Netzwerkadministrator hat weitreichenden Zugriff, etwa auf Entwicklungs- oder Finanzserver. Wenn dieselben Zugangsdaten jedoch mitten in der Nacht verwendet werden, um gezielt Dateien herunterzuladen und aus dem Netzwerk zu senden, ist das ein klares Warnsignal. Das könnte auf gestohlene Zugangsdaten, einen unzufriedenen Mitarbeiter oder wirtschaftliche Spionage hindeuten.

In einem Zero-Trust-Netzwerk können in solchen Fällen zusätzliche Authentifizierungen verlangt oder zumindest die verdächtige Aktivität in Echtzeit erkannt und dem Sicherheitszentrum zur Prüfung gemeldet werden.

Regeln definieren und anwenden

Im Zentrum von Zero-Trust-Netzwerken stehen sogenannte Policy Engines – Softwarelösungen, mit denen Organisationen Regeln für den Zugriff auf Netzwerkressourcen und Daten erstellen, überwachen und durchsetzen können.

Diese Engines nutzen eine Kombination aus Netzwerk-Analysen und vordefinierten Regeln, um rollenbasierte Zugriffsrechte zu vergeben. Vereinfacht gesagt: Jede Anfrage wird mit den geltenden Richtlinien abgeglichen, und die Engine entscheidet, ob der Zugriff erlaubt wird.

In einem Zero-Trust-Netzwerk definieren und erzwingen Policy Engines Sicherheits- und Zugriffsvorgaben über Hosting-Modelle, Standorte, Nutzer und Geräte hinweg. Organisationen müssen daher Regeln in zentralen Sicherheitskomponenten wie modernen Firewalls, E-Mail- und Cloud-Gateways sowie Software zur Datenverlustprävention (DLP) sorgfältig festlegen.

Diese Komponenten ermöglichen Mikrosegmentierung über Hosting-Modelle und Standorte hinaus. Zwar müssen Richtlinien derzeit oft noch in den jeweiligen Verwaltungskonsolen festgelegt werden, doch zunehmend integrierte Lösungen erlauben eine automatische Definition und Aktualisierung über mehrere Produkte hinweg.

Identitäts- und Zugriffsmanagement (IAM), Multi-Faktor-Authentifizierung, Push-Benachrichtigungen, Dateiberechtigungen, Verschlüsselung und Sicherheitsorchestrierung sind zentrale Bausteine in der Architektur von Zero-Trust-Netzwerken.

Auswirkungen auf videobasierte Sicherheitssysteme

Zu den mit dem Netzwerk verbundenen Instanzen zählen natürlich Menschen – aber zunehmend sind es Geräte, die den Großteil der Verbindungen ausmachen. Dazu gehören auch netzwerkgebundene Kameras und weitere angeschlossene Geräte. Wenn Organisationen auf Zero-Trust-Architekturen umstellen, müssen diese Geräte die Prinzipien der Verifizierung erfüllen. Es wäre paradox, wenn ein Gerät, das dem physischen Schutz dient, zur digitalen Schwachstelle wird.

Auch klassische Gerätesicherheitsmaßnahmen reichen nicht mehr aus. So wie Angreifer Zugangsdaten von Mitarbeitenden stehlen können, sind sie auch in der Lage, Sicherheitszertifikate von Geräten zu kompromittieren. In einem Zero-Trust-Netzwerk müssen Geräte neue Wege finden, um ihre Vertrauenswürdigkeit nachzuweisen.

Die Identität von Hardware verifizieren

Eine Technologie, die eine unveränderliche Vertrauensbasis für vernetzte Hardware bieten kann, ist die Blockchain. Auch wenn Blockchain oft mit Kryptowährungen in Verbindung gebracht wird – und dadurch mitunter einen zweifelhaften Ruf hat – handelt es sich um ein offenes, verteiltes Register, das Transaktionen effizient, überprüfbar und dauerhaft dokumentieren kann. Es gibt öffentliche und private Blockchain-Implementierungen, und Unternehmen können private Blockchains nutzen, um vertrauenswürdige Schlüssel in Geräten zu verankern.

Durch die Struktur der Blockchain kann keine Transaktion ohne Zustimmung aller vorherigen Knoten verändert werden – alle sind kryptografisch miteinander verknüpft. Wenn also Vertrauensschlüssel für identifizierbare Hardware-Komponenten in der Blockchain hinterlegt sind, entstehen unveränderliche Zugangsdaten für das Gerät selbst.

Vorbereitung auf eine Zero-Trust-Zukunft

Man könnte meinen, der Zero-Trust-Ansatz sei ein trauriges Spiegelbild unserer Zeit, in der gut ausgestattete Cyberkriminelle ständig nach Schwachstellen suchen. Tatsächlich ist es ein logischer Weg, um Netzwerke angesichts der wachsenden Zahl vernetzter Instanzen möglichst widerstandsfähig und sicher zu gestalten. Deshalb setzen immer mehr Organisationen auf diese Architektur.

Für jeden Hardware-Hersteller – auch für Axis – ist es entscheidend, sich auf diese Zukunft vorzubereiten. Sie wird schneller Realität, als wir denken.

Mehr über digitale Sicherheit bei Axis erfahren Sie hier.
Cybersicherheit bei Axis

Wayne Dorris

Wayne Dorris ist Cybersecurity Program Manager bei Axis Communications, Nord-, Mittel- und Südamerika. In seiner Rolle schärft er das Bewusstsein für Cybersicherheit und unterstützt die Strategie zur Cybersicherheit sowie die Nachfrage nach Axis Produkten. Wayne verfügt über mehr als 30 Jahre Erfahrung in der Sicherheitsbranche und beeinflusst IP-Lösungen für Cybersicherheit durch Beziehungen und Networking mit allen Normungsorganisationen, Verbänden, Partnern und Kunden. Er ist ein Certified Information Systems Security Professional (CISSP; zertifizierter Fachmann für Informationssicherheitssysteme) und Vorsitzender des Cybersicherheitsbeirats der Security Industry Association.

Mehr Beiträge lesen von Wayne
Wayne Dorris