Wissenswertes über Zero Trust

Saša Zdjelar, Senior Vice President of Security Assurance bei Salesforce, erläutert, wie sich ein Zero-Trust-Ansatz zur Cybersicherheit auf Sie, Ihre Kunden und Salesforce auswirkt.

Bailey Troutman

Praktikantin, Security Communications and Engagement

Sep 8, 2022

RSS abonnieren

Im Bereich Cybersicherheit wurden früher Daten als eine Art Burg betrachtet, die wir mit einem Burggraben, einem feurigen Drachen (als Algorithmus) und vielleicht einer glänzenden Rüstung schützten. Die Daten waren alle da, unsepariert wie ein Haufen goldener Schätze innerhalb dieser Steinmauern. Aber was passierte, wenn ein Eindringling diese Mauern durchbrach? Alles war ihm auf Gedeih und Verderb ausgeliefert.

Ein paar Jahrzehnte später haben Cybersicherheitsexperten neue Ansätze entwickelt, die den Zugang aufgliedern, indem sie neue interne Mauern, viele Tunnel und Kontrollpunkte errichten, an denen die Benutzer ihre Identität nachweisen müssen, was wiederum bestimmt, welche Zugriffsebene sie erhalten.

Das ist bekannt als "Zero Trust".

Dieser neue Ansatz für Cybersicherheit (und wichtiges Schlagwort) mag zwar nicht eingängig klingen, macht aber tatsächlich sehr viel Sinn. Anstatt den Zugang an einem großen, glänzenden Tor mit einem einzigen Kontrollpunkt zu gewähren, fordert der Zero-Trust-Ansatz, dass wir annehmen, dass niemand vertrauenswürdig ist. Personen dürfen erst dann Räume betreten, durch Tunnel kriechen oder Mauern überwinden, wenn sie ihre Identität für jede zugehörige Zugriffsebene kontinuierlich nachgewiesen haben.

Das ist ein Ansatz, den Salesforce aktiv anwendet, um Vertrauen als unser höchstes Gut zu bewahren. Aber was bedeutet das für Salesforce-Kunden? Ich habe mit Saša Zdjelar, Senior Vice President of Security Assurance bei Salesforce, gesprochen, um herauszufinden, wie sich Zero Trust auf Sie, Ihre Kunden und Salesforce auswirkt.

Bailey: Saša, lassen Sie uns ein wenig zurückgehen. Woher kommt "Zero Trust"?

Saša Zdjelar: Gern, das ist der beste Startpunkt. Um die Zukunft zu verstehen, sollten wir die Vergangenheit kennen. Um den Vergleich von Burg und Burggraben zu verwenden: Die Cybersicherheitsbranche betrachtete Daten als etwas, in das man einbrechen kann. Sobald jemand in die Burg eingedrungen war, hatte er Zugang zu allem. Dieser Ansatz funktionierte, weil wir damals mit physischen Standorten, vor Ort installierten Servern und einzelnen Netzwerken gearbeitet haben. Es war sinnvoll, sich auf die Einrichtung und Sicherung eines einfachen Perimeters zu konzentrieren.

Doch dann kamen Unternehmen wie Salesforce und andere SaaS(Software-as-a-Service)-Anbieter auf, die Menschen begannen, Daten zwischen Anbietern zu verschieben, und wir gingen immer mehr auf dezentrales und mobiles Arbeiten über. Die einst eindeutige Abgrenzung wurde unglaublich unscharf. Wenn Sie erst einmal Produkte wie G-Suite, Salesforce CRM und andere Geschäftslösungen eingeführt haben, ist der Perimeter völlig verschwunden, bevor Sie es merken. Es gibt keine einzelne Burg mehr, in der sich alle Daten befinden. Stattdessen haben Sie viele kleine verstreute Datendörfer, die sich nicht mehr innerhalb Ihrer Burg mit den großen Mauern befinden.

Mit der Entwicklung dieser neuen, globalen Technologien wurden auch die Bedrohungen für die Cybersicherheit immer ausgefeilter, was zu fortgeschrittenen Sicherheitsverstößen durch Nationalstaaten, Malware- und Ransomware-Ereignissen führte. Im Laufe der Jahre haben wir gelernt, dass diese Akteure oft die inhärenten Schwachstellen unseres "Burggraben"-Konzepts ausnutzen. An dieser Stelle kommt Zero Trust ins Spiel. Wir haben erkannt, dass bei Sicherheitsverstößen nicht alles kompromittiert und Zugang zu allem gewährt werden sollte. Daher wurde eine Unterteilung in Tunnel vorgenommen, z. B. für nachgewiesene Identität, Geräteberechtigungen, Multi-Faktor-Authentifizierung und mehr. Zero Trust fordert von uns, niemandem zu vertrauen, solange er sich nicht als vertrauenswürdig erwiesen hat, und das macht uns alle sicherer.

Bailey: Dieser Vergleich ist wirklich sehr hilfreich. Können wir näher darauf eingehen, wie Zero Trust in einer Organisation wie Salesforce funktioniert, wo es auf den ersten Blick im Widerspruch zu unserem höchsten Gut, dem Vertrauen, zu stehen scheint?

Saša: Dies sind wichtige Fragen, und der Begriff "Zero Trust" kann sehr verwirrend sein, weil er nicht viel aussagt. Für eine Organisation wie Salesforce, in der Vertrauen an erster Stelle steht, könnte es problematisch erscheinen, den Kunden zu sagen, dass Sie "Zero Trust", also kein Vertrauen, haben.

Was der Begriff eigentlich bedeutet, ist, dass es kein implizites Vertrauen in Verbindungen gibt. Sie erhalten nicht automatisch Vertrauen, nur weil Sie eine Verbindung herstellen können, sondern Sie müssen sich das Vertrauen für jede Ressource, auf die Sie zugreifen, verdienen. Das geschieht unter anderem durch Authentifizierung der Identität und Bescheinigung des Gerätestatus. Sobald wir entschieden haben, dass wir Ihnen vertrauen können, und dieses Vertrauen bei jeder Ihrer Anfragen erneut bestätigen, müssen wir entscheiden, worauf Sie Zugriff haben. Wir können den Zugang zu einem bestimmten Tunnel zu bestimmten Informationen innerhalb einer bestimmten Anwendung vermitteln, und das kann etwas so Spezifisches sein wie ein bestimmter Port oder Dienst.

Bailey: Es hilft uns also tatsächlich, unser höchstes Gut zu gewährleisten.

Saša: Auf jeden Fall. Auf der Salesforce-Unternehmensseite hilft uns Zero Trust dabei, uns besser gegen fortschrittliche anhaltende Bedrohungen, nationalstaatliche Akteure oder andere Angriffe zu schützen, sodass wir alle widerstandsfähiger sind. Und als Produkt für Kunden sollten Sie die Gewissheit haben, dass Ihre Daten besser geschützt sind. Die Vorteile, die Zero Trust für unser Unternehmen mit sich bringt, sind die gleichen, die es auch für unsere Kunden bringt.

Darüber hinaus suchen wir nach Strategien, wie wir Zero-Trust-Konzepte auf den Zugriff unserer Kunden auf ihre eigenen Daten übertragen können. Wenn Mitarbeiter Ihrer Organisation auf Ihre Daten zugreifen, wie kann Zero Trust dazu beitragen, dass nur verifizierten Mitarbeitern der Organisation mit der entsprechenden Autorisierung, den richtigen Geräten und dem richtigen Standort Zugriff auf diese Daten gewährt wird?

Sobald Sie uns mitgeteilt haben, was "gut" für Ihre Organisation in Bezug auf Identifizierung, Geräte und Standorte bedeutet, die Sie erwarten, können wir Ihnen dabei helfen, einen sogenannten "Haustürzugang" einzurichten: Wir bestimmen, ob wir den Zugriff auf Ihre eigenen Daten erlauben. Das kann bei Fehlverhalten von Mitarbeitern, Risiken oder Kompromittierungen in Ihrer eigenen Umgebung und bei der Verhinderung des Zugriffs auf alle bei Salesforce gespeicherten Daten helfen.

Einfach. Effektiv. Sicher.

Da Cyberangriffe immer häufiger vorkommen, bieten Kennwörter keinen ausreichenden Schutz mehr vor unbefugtem Accountzugriff. Die Multi-Faktor-Authentifizierung (oder MFA) bietet zusätzlichen Schutz gegen Bedrohungen wie Phishing-Angriffe und erhöht die Sicherheit für Ihr Unternehmen und Ihre Kunden.

Erfahren Sie mehr über die Multi-Faktor-Authentifizierung

Bailey: Das ergibt sehr viel Sinn. Es ist so hilfreich, zu wissen, wie Cybersicherheitsexperten und Organisationen wie Salesforce Schritte in Richtung Zero Trust unternehmen und warum. Ich weiß, dass dieser Begriff heute so etwas wie ein Schlagwort geworden ist, aber es gibt ihn schon seit über zehn Jahren. Können Sie mehr darüber erzählen, was die Dringlichkeit einer Umstellung auf Zero Trust erhöht oder verstärkt hat?

Saša: Wenn man sich eine technologische Zeitleiste ansieht, gibt es in der Regel Momente, die Veränderungen herbeiführen und den Wandel vorantreiben. Bei Zero Trust war COVID-19 ein entscheidender Moment, der den Wandel vorantrieb, auch wenn der Begriff bereits 2010 von John Kindervag geprägt worden war. Vor COVID-19 befassten sich der Netzwerksicherheitssektor und ein sehr kleiner Prozentsatz der modernsten Cloud-nativen Unternehmen mit Zero-Trust-Praktiken.

Als sich die COVID-19-Pandemie ereignete, wurden ganze Belegschaften aus verschiedenen Branchen und auf der ganzen Welt nach Hause geschickt. Was viele vielleicht nicht wissen: Bei einem Betrieb im VPN-Unternehmensmodus wird das gesamte Netzwerk der Organisation auf diese Orte ausgeweitet. Es überrascht nicht, dass das mit einem großen Risiko einhergeht. Stellen Sie sich vor, Hunderttausende von Mitarbeitern auf der ganzen Welt weiten die Unternehmensnetzwerke auf jeden ihrer Standorte oder jedes Café aus. Dadurch entstehen im Unternehmen unzählige Schwachstellen.

Wenn Sie mit Zero Trust als autorisierter Benutzer einer Anwendung oder eines Dienstes überprüft wurden, vermittelt die Technologie einen spezifischen Mikrotunnel für dieses spezifische Asset, anstatt die gesamte Burg auf Sie auszuweiten. Auf diese Weise sind die Daten viel besser geschützt.

Bailey: Das ist gut zu wissen, vor allem, weil sich die Art und Weise, wie wir online arbeiten und interagieren, seit der COVID-19-Pandemie grundlegend verändert hat. Ich würde gern wissen, wo wir Zero Trust im Alltag sehen. Wo begegnen wir Zero-Trust-Ansätzen oder -Praktiken häufiger?

Saša: Wir sehen tatsächlich viele Zero-Trust-Praktiken in Verbraucheraspekten des alltäglichen Lebens. Wenn Sie sich beispielsweise bei Ihrer Banking-App oder -Website anmelden, müssen Sie sich möglicherweise anmelden und dann einen Code eingeben, der Ihnen per E-Mail oder SMS geschickt wird, um die Anmeldung abzuschließen. Wenn Geräte nicht erkannt werden, werden Sie aufgefordert, zu bestätigen, dass es sich um Ihr Gerät handelt, indem Sie zusätzliche Fragen beantworten. Außerdem werden Sie gefragt, ob Sie dieses Gerät als "vertrauenswürdiges Gerät" hinzufügen möchten. Salesforce verlangt für alle Mitarbeiter und Kunden eine Multi-Faktor-Authentifizierung (MFA), um den Schutz vor Phishing-Angriffen, Credential Stuffing und Kontoübernahmen durch zusätzliche Sicherheitskontrollen zu erhöhen. Selbst in dem Fall, dass jemand einen Benutzernamen und ein Kennwort stiehlt, verhindern die zusätzlichen Sicherheitskontrollen den Zugriff auf kritische Daten. Das ist eine wichtige Zero-Trust-Praktik für uns, die auch von vielen anderen Unternehmen angewendet wird.

Schulen, Krankenhäuser, Banken, Behörden und sogar Einzelhändler beginnen, ihre eigenen Zero-Trust-Praktiken einzuführen, um die Sicherheit der Verbraucher und Bürger zu gewährleisten. Ein guter Aufklärungs- oder Sicherheitshinweis für die Leute ist, wenn Sie Ihr Kennwort vergessen haben und die betreffende Organisation Ihnen eine E-Mail mit Ihrem Kennwort schickt, dann bedeutet das, dass sie Ihr Kennwort kennt und es als Klartext sehen kann. Das ist ein absolutes Tabu. Kennwörter sollten immer verschlüsselt gespeichert werden.

Wenn Sie darüber nachdenken, wie Sie Ihre Daten und die Daten Ihrer Kunden am besten schützen, kann Salesforce Ihnen dabei helfen. Erfahren Sie mehr über die Produkte und Lösungen, die wir speziell mit dem Fokus auf Sicherheit entwickelt haben, damit Ihre Organisation Vertrauen bewahren und Ihre Kunden schützen kann. Erkunden Sie auch unser kostenloses Lernzentrum für Cybersicherheit (eine Initiative in Zusammenarbeit mit dem Zentrum für Cybersicherheit des Weltwirtschaftsforums), um sich die neustens Erkenntnisse zum Thema Sicherheit anzueignen. Schließlich sind wir alle dafür verantwortlich, das Vertrauen zu bewahren.

Trust
Unternehmenssicherheit
Zero Trust
Multi-Faktor-Authentifizierung
Benutzerauthentifizierung

Bailey war im Sommer 2022 Praktikantin im Bereich Sicherheitskommunikation und -engagement bei Salesforce und Doktorandin der Medienwissenschaften an der University of Colorado Boulder. Ihre Leidenschaft besteht darin, die Beziehungen zwischen Technologie, Umwelt/Energie und Cybersicherheit zu erforschen und zu lehren. In ihrer Freizeit geht Bailey gerne wandern und paddeln, sie schreibt und liest gern, mag Golf veranstaltet Filmabende zu Hause.

Mehr von Bailey Troutman