Im ersten Teil dieses zweiteiligen Blogs erläutert Thorsten Kurpjuhn, Security Market Development Manager Europa von Zyxel, weshalb es jetzt, da immer mehr Menschen im Homeoffice arbeiten, so wichtig ist, dass Sie genau wissen, wer sich von außen bei Ihrem Netzwerk anmeldet.
In Ihre Wohnung würden Sie ja auch nicht einfach so Fremde einlassen, oder? Sicherlich nicht, es sei denn, es handelt sich um Mitarbeiter von Behörden, Versorgungsunternehmen oder von der Polizei. Und selbst dann würden Sie verlangen, dass sich diese ordnungsgemäß ausweisen, bevor Sie sie einlassen.
Genauso würden Sie nicht einfach irgendjemandem erlauben, auf Ihr internes Unternehmensnetzwerk zuzugreifen. Sie würden genau prüfen, um wen es sich handelt und ob die betreffenden Personen gute Gründe für den Zugriff auf Anwendungen und Daten sowie für die Nutzung von Ressourcen haben.
In beiden Fällen ist dies eine Frage des Vertrauens. Wenn Sie eine Person kennen oder diese eine offizielle Position bekleidet, werden Sie ihr vertrauen und sie einlassen. Wenn Sie die Person nicht kennen und nicht genau wissen, um wen es sich handelt und welche Absichten die Person verfolgt, werden Sie es nicht riskieren, sie hereinzulassen.
Insiderwissen
Würden alle Mitarbeiter vor Ort im Unternehmen arbeiten und wären sie entweder über ein Netzwerkkabel oder ein internes WLAN-Netz mit dem Netzwerk verbunden, dann könnte man einfacher überwachen und kontrollieren, wer auf das Netzwerk zugreift. In diesem Fall könnten Sie ziemlich sicher sein, dass sich keine Unbefugten im Netzwerk anmelden.
Unbefugte mit kriminellen oder böswilligen Absichten müssten sich zuerst Zutritt zum Gebäude verschaffen oder sich zumindest in WLAN-Reichweite aufhalten. Sie müssten dann entweder den Computer eines Mitarbeiters nutzen oder sich in das interne drahtlose Netzwerk hacken, was nicht so einfach sein dürfte – wenn die Sicherheitsmaßnahmen ordnungsgemäß eingerichtet sind. Selbst dann müssten sich diese Eindringlinge nahe genug am Hub bzw. AP befinden, um unbehelligt eine Verbindung herstellen zu können.
Keine Grenzen
Doch Netzwerke gehen heute weit über die räumlichen Grenzen des Bürogebäudes hinaus. Es ist sehr wahrscheinlich, dass in Zukunft mindestens die Hälfte der Nutzer von anderen Standorten aus auf das Netzwerk zugreifen wird, entweder von zu Hause aus oder von unterwegs.
Dadurch wird die Authentifizierung wesentlich schwieriger. Die Nutzer müssen für den Zugriff nicht mehr das Gebäude betreten; Remote-Benutzer müssen lediglich online sein und die Anmeldedaten kennen. Der Netzwerkadministrator kann nicht erkennen, um wen es sich wirklich handelt.
Ein weiteres Problem ist die Frage, ob das Gerät, das für die Anmeldung genutzt wird, ordnungsgemäß geschützt und abgesichert ist. Dies ist ein wichtiger Punkt. Denn obwohl Sie dem Benutzer des Geräts vertrauen und ihn authentifizieren können, wissen Sie nicht, ob das verwendete Gerät ausreichend geschützt ist, beispielsweise, ob auf dem Gerät Antivirensoftware und eine aktive Firewall installiert sind.
Über jeden Zweifel erhaben
Sie müssen beurteilen, inwieweit Sie einer Person vertrauen können, die versucht, auf Ihr Netzwerk zuzugreifen. Es ist geradeso, als würde man jemanden zu sich nach Hause einladen. Zunächst müssen Sie die Person entweder persönlich kennen oder zweifelsfrei nachprüfen können, dass die Person derjenige bzw diejenige ist, die er bzw. sie vorgibt zu sein. Nur dann öffnen Sie die Tür und lassen die Person herein.
Möglicherweise haben Sie hundertprozentiges Vertrauen in Ihre Familienangehörigen und Freunde, in Ihre Nachbarn und in offizielle Vertreter von Behörden oder Dienstleistungsunternehmen. Wenn jedoch eines Tages ein völlig Fremder an Ihrer Tür auftaucht, ist Ihr Vertrauen in diese Person gleich Null.
Zero Trust – Null Vertrauen
Doch wenn jemand vor Ihrer Haustür steht, können Sie ihn zumindest sehen. Wenn ein Remote-Benutzer versucht, auf Ihr Netzwerk zuzugreifen, sehen Sie ihn nicht. Es könnte sich dabei um eine beliebige Person handeln. Selbst wenn diese Person ein legitimes Interesse verfolgt, könnte sie versehentlich eine Hintertür offen lassen, über die Personen mit unredlichen Absichten in das Netzwerk eindringen könnten.
Genau dies ist das Dilemma, über das wir sprechen, wenn wir den Begriff „Zero Trust“ verwenden. Sie müssen immer davon ausgehen, dass jeder, der versucht, sich in Ihrem Netzwerk anzumelden, ein völlig Fremder ist. Bevor Sie ihn hereinlassen, müssen Sie alle erforderlichen Maßnahmen treffen um sicherzustellen, dass die Person gute Absichten und gute Gründe hat, sich anzumelden.
Im nächsten Blog erfahren Sie, wie Zyxel mit der neuesten Version unserer Firmware für die Sicherheitsanwendungen der USG FLEX-Serie die Herausforderung „Zero Trust“ bewältigt.