Zero Trust-Modell: Wie Messenger und Sicherheit ineinandergreifen
Krisensituationen können heutzutage mannigfaltig sein. Ob bei der Umsetzung von Hybridarbeit, hervorgerufen durch eine globale Pandemie, oder die immer häufiger auftretenden Cyberattacken auf Unternehmen-IT-Infrastrukturen – alle digitalen IT-Systeme sind unter allen Umständen vor Notfällen zu schützen.
Die Umsetzung eines Zero Trust-Modells bei einem Messenger
Hybridarbeit steht im absoluten Trend. Gerade Angestellte, die mehr an einem Schreibtisch sitzen als mobil unterwegs zu sein, wollen von überall aus arbeiten können – sei es im Büro, Homeoffice oder Remote. Ein ähnliches Prinzip gilt natürlich auch für mobile Arbeitskräfte. Zwar ändert sich dadurch an ihrem Arbeitsalltag nichts, doch insbesondere diejenigen, die in der Vergangenheit aufgrund fehlender Kommunikationskanäle teils von der Unternehmenskommunikation ausgeschlossen worden sind, sollen von einem hybriden Kommunikationsmodell ebenso profitieren wie ortsunabhängige Büroangestellte. Mobile Kommunikationskanäle, wie unser Business Messenger Teamwire, ermöglichen es, alle Mitarbeitende in die Kommunikation einzuschließen und über Text- und Sprachnachrichten sowie über Video-Telefonie miteinander für kommunikative Absprachen zu verbinden.
Allerdings ist das ortsunabhängige Arbeiten als ein Ergebnis der digitalen Transformation leider nicht nur eine Chance, sondern birgt ebenso Gefahren. Eine hybride Arbeitsform eröffnet, etwa durch die Nutzung unautorisierter (Kommunikations-)Anwendungen oder durch die Verbindung über virtuelle private Netzwerke (VPNs) noch größere Angriffsflächen für Cyberkriminelle. So nimmt die Anzahl an Cyberangriffen auf Unternehmen pro Tag stetig zu. Zudem hat die aktuelle Situation rund um die Ukrainekrise, die Themen Cybersicherheit und sichere Kommunikation in Krisen- und Notfallsituationen nochmals zugenommen.
Um einerseits Hackerangriffen gegenüber gewappnet zu sein, wollen immer mehr Unternehmen ihre IT-Infrastruktur und Kommunikationssysteme besser schützen und Sicherheitslücken schließen. Um andererseits eine durchgängige Kommunikation sicherzustellen, benötigen sie ausfallsichere und stabile Serverumgebungen, die unabhängig von ausländischen Cloudanbietern sind, sowie geschützte Kommunikationskanäle für die Zusammenarbeit auf sämtlichen Endgeräten bereitstellen.
In diesem Zusammenhang verwundert es kaum, dass ein neues Sicherheitsmodell aufgestellt wurde, an dem sich Unternehmen für noch mehr Cybersicherheit orientieren sollten: das Zero Trust-Modell. Wir von Teamwire begrüßen diese Entwicklung, da es seit jeher unser Anspruch ist, eine optimale Kommunikation für alle Mitarbeitende eines Unternehmens zu ermöglichen – Sicher. Einfach. Leistungsstark. Das bedeutet eine reibungslose Kommunikation bei größtmöglicher Datensicherheit und -souveränität. Dabei setzen wir auf das Zero Trust-Modell, sowohl aus Produktsicht als auch aus Unternehmenssicht.
Definition: Was hat es mit dem Zero Trust-Modell auf sich?
Zunächst wollen wir der Frage nachgehen, was sich hinter Zero Trust verbirgt und das Zero Trust-Modell ein wenig greifbarer machen. Zero Trust geht davon aus, dass absolut nichts sicher ist – egal welches Tool oder welche Plattform; auch nicht hinter der Unternehmens-Firewall. Deshalb wird im Rahmen des Zero Trust-Modells jede Anforderung so geprüft, als käme sie aus einem offen zugänglichen Netzwerk. Es gilt das Prinzip „Vertrauen ist gut, Kontrolle ist besser“. Bevor ein Zugriff gewährt wird, ist dessen Anforderung vollständig zu authentifizieren, zu autorisieren und zu verschlüsseln. Zugleich bedeutet es, die Identität zu verifizieren und den Zustand des Endgeräts zu überprüfen. Geringstmögliche Zugriffsrechte tragen dazu bei, Ausbreitungen im System einzudämmen. Umfassende Business Intelligence (BI) und Analytics helfen, die digitale Umgebung besser zu sichern, indem sie Anomalien in Echtzeit erkennen und abwehren. Auf diese Weise wird es für Cyberkriminelle um ein Vielfaches schwerer, Daten abzugreifen oder Schaden anzurichten.
Dass das Zero Trust-Modell eine der Technologien mit der derzeit höchsten Bedeutung ist, bestätigt auch die Capgeminie-Studie „IT-Trends 2022“. So landet Zero Trust auf Platz 2 von 10 der Technologie-Trends. Demnach sind knapp 20 Prozent der befragten CIOs aktuell mit der Implementierung beschäftigt. Das sind doppelt so viele wie vor einem Jahr. Rund ein weiteres Viertel plant zudem, ein Zero Trust-Modell noch 2022 zu realisieren.
Die drei Zero Trust-Prinzipien
Das Zero Trust-Modell beruht im Kern auf den folgenden drei Prinzipien:
1. Explizites (Nach-)Prüfen
Bei der Authentifizierung und Autorisierung gilt es stets, alle verfügbaren Datenpunkte, wie Anomalien, Datenklassifizierung, Geräteintegrität, Ressourcen und Standort einzubeziehen.
2. Geringstmögliche Berechtigungen und Rechte
Um Daten umfassend zu schützen und proaktiv zu bleiben, ist es wichtig, nicht mehr Berechtigungen und Rechte als nötig zu vergeben. Empfehlenswert ist, etwa den Nutzerzugriff mit Just-in-Time (JIT), Just-Enough-Access (JEA) sowie risikobasierten adaptiven Richtlinien zu limitieren.
3. (Bedrohungs-)Ausbreitung minimieren
Zero Trust-Mikrosegmentierung hilft, Sicherheitsrichtlinien auf eine starke, maschinengenerierte Identität für einzelne Workloads zu stützen, anstatt auf allgemeine IP-Adressen. Dies ermöglicht die Nutzung von Technologien wie Containern und Microservices. Verschlüsselungen und Analytics unterstützen zudem den Schutz von Daten und die Erkennung und Abwehr von Angriffen.
Wie lässt sich das Zero Trust-Modell in Unternehmen realisieren?
Fakt ist: Die Zeit ist reif für ein neues Sicherheitsmodell, das sich nahtlos in komplexe moderne Umgebungen einfügt, den hybriden Arbeitsplatz einbezieht und dabei Daten, Geräte samt Anwendungen und Nutzer an jedem Ort und zu jeder Zeit schützt. Hierbei müssen nicht nur geplante, sondern auch bereits eingesetzte Lösungen dem gestellten Anspruch nach Zero Trust gerecht werden. Das gilt auch für Kommunikationslösungen wie unsere Business-Messaging-App Teamwire, da, wie eingangs erwähnt, jede Lösung, auch ein Business Messenger, als potenzieller Angriffsvektor genutzt werden könnte. Das bedeutet zugleich, dass unsichere Messenger aus dem Privatgebrauch – wie etwa WhatsApp, Signal und Telegram – von vornherein rausfallen. Denn Consumer Messenger sind weder datenschutzrechtlich, funktional noch technisch hinsichtlich Zero Trust ausreichend aufgestellt und stoßen in Sachen Cybersicherheit und sichere Kommunikation, einschließlich Administration über die IT an Grenzen.
Wie Teamwire Zero Trust in einem Business Messenger erfüllt
Wir bei Teamwire haben uns auf eine schnelle, sichere und souveräne Kommunikation über Text- und Sprachnachrichten sowie Videotelefonie spezialisiert. Bei Datenschutz und -sicherheit machen wir seit jeher keine Kompromisse. Im Folgenden haben wir Aspekte und Funktionen unserer Messaging-App zusammengefasst, die aus Unternehmenssicht auf dem Zero Trust-Modell aufbauen:
- Zentrale Nutzerverwaltung, über die sich Berechtigungen und Rechte für Nutzer und Geräte individuell vergeben sowie von der IT-Administration jederzeit einschränken und kontrollieren lassen.
- Granulare Administrator-Rechte ermöglichen unterschiedliche Berechtigungen auf Ebene der IT-Administration, um den geringstmöglichen Zugriffsrechten des Zero-Trust-Prinzips gerecht zu werden.
- Zwei-Faktor-Authentifizierung über E-Mail-Adresse und Telefonnummer, die für einen sicheren Identitätsnachweis innerhalb des Zero Trust-Messengers und somit in der digitalen Umgebung sorgt.
- Geräte- und Nutzer- Authentifizierung bei jedem Öffnen oder Zugriff auf die App, dem Abrufen von Nachrichten sowie dem Versenden von Nachrichten.
- MDM-Authentifizierung ermöglicht die Einschränkung der Nutzung auf ausgewählte und verifizierte Endgeräte.
- Mehrfache und vollständige Verschlüsselung von Nachrichten und Daten in der Übertragung und Speicherung – sowohl auf den Endgeräten als auch auf den Servern.
- Datensparsamkeit bei personenbezogenen Daten und Metadaten, die pseudonymisiert erhoben und nur gespeichert werden, wenn es für bestimmte Funktionen des Zero Trust-Messengers erforderlich ist.
- Verschlüsselter App-Container, der sensible Daten auf Firmen- wie BYOD-Geräten sicher abschottet und den Zugriff und die Verbreitung von Daten steuert.
- Ausfallsichere und stabile Serverumgebungen, die souverän und unabhängig von ausländischen Cloudanbietern und nach ISO 27001 zertifiziert sind.
- Audit Logs, die jeden Zugriff von Nutzern, Endgeräten und Administratoren protokollieren.
- „Privacy by Default“ als Technikgestaltung, was starke Datenschutzeinstellungen als Standard inkludiert.
- Regelmäßige Sicherheitsupdates für eine hohe Robustheit der Zero Trust-Messaging-App.
- Interne und externe Sicherheits-Audits, bei denen umfassende Penetrationstests und Schwachstellenanalysen durchgeführt werden.
- Zero Trust Produktstrategie setzt Datensicherheit, -schutz und -souveränität sowie Zero Trust bei der Weiterentwicklung an oberste Stelle.
Fazit: Ein Messenger = 100% Zero Trust
Die zunehmende Digitalisierung geht mit Sicherheitsrisiken einher – das steht außer Frage. Um die Cybersicherheit dahingehend zu verbessern und eine sichere Kommunikation zu garantieren, ist eine Zero Trust-Architektur das Gebot der Stunde. Doch Zero Trust lässt sich nicht von heute auf morgen umsetzen. Es ist eine fortlaufende Reise, die mit einfachen ersten Schritten startet und Prozesse kontinuierlich sowie iterativ verbessert. Ein Messenger wie Teamwire, der auf dem Zero Trust-Modell aufsetzt, kann Unternehmen dabei entscheidend unterstützen.
Wir sind für Sie da!
Sie haben Fragen, wie Sie Teamwire als Zero Trust-Messenger in Ihrem Unternehmen nutzen können? Dann kontaktieren Sie uns und vereinbaren ein unverbindliches Beratungsgespräch.