Das perimeterbasierte Sicherheitsmodell ist tot. Unternehmen, die an VPNs und Firewalls als primärer Verteidigung festhalten, arbeiten mit einer grundlegend falschen Annahme: dass alles innerhalb des Netzwerks vertrauenswürdig ist.
Das Perimetermodell ist tot
Zwanzig Jahre lang ging die Unternehmenssicherheit von einer harten Schale mit weichem Kern aus: eine Firewall und ein VPN am Rand, implizites Vertrauen für alles bereits Innere. Diese Annahme bricht in dem Moment zusammen, in dem der Laptop eines Mitarbeiters kompromittiert wird, die Zugangsdaten eines Anbieters durchsickern oder sich ein Auftragnehmer von einem nicht verwalteten Gerät aus verbindet — also ständig. Zero-Trust ersetzt die Annahme durch eine Regel: Jede Anfrage wird authentifiziert, autorisiert und verschlüsselt, unabhängig davon, woher sie stammt.
Was Zero-Trust tatsächlich erfordert
Zero-Trust ist kein Produkt, das man kauft. Es sind drei architektonische Verpflichtungen: identitätsbasierte Zugriffskontrolle, die jeden Benutzer und jedes Dienstkonto einzeln behandelt; Mikrosegmentierung, die laterale Bewegung zwischen Systemen stoppt, sodass eine Sicherheitsverletzung in einer Anwendung nicht zu einer Verletzung des gesamten Netzwerks wird; und kontinuierliche Verifizierung, bei der eine Sitzung anhand des Kontexts — Gerätezustand, Standort, Verhalten — erneut geprüft wird, statt ihr nach einer einzigen Anmeldung für ihre gesamte Dauer zu vertrauen.
Eine realistische Einführungsreihenfolge
Organisationen, die versuchen, alles auf einmal umzustellen, stagnieren ein Jahr lang. Die Reihenfolge, die funktioniert: jede Identität und ihren aktuellen Zugriff inventarisieren — die meisten Unternehmen sind überrascht, was sie dabei finden; Multi-Faktor-Authentifizierung überall durchsetzen, ohne Ausnahmen für Altsysteme; das Netzwerk zunächst um die wertvollsten Systeme herum segmentieren — Finanzdaten, Kundendatensätze, Produktionsinfrastruktur — nicht um die am einfachsten zu migrierenden Systeme; und erst dann das Modell nach außen erweitern.
Was zu messen ist
Messen Sie die mittlere Zeit bis zur Erkennung lateraler Bewegung, den Anteil rollenbasiert vergebener gegenüber manuell genehmigter Zugriffe, und die Anzahl dauerhaft aktiver privilegierter Konten — diese letzte Zahl sollte gegen null tendieren. Ein Zero-Trust-Programm, das dauerhafte Privilegien nicht reduziert, ist kein echtes Zero-Trust — es ist ein Marketing-Label auf demselben Perimetermodell.