In einem Blog-Beitrag erklärt die NCP engineering GmbH, was das Zero-Trust-Prinzip in der Compliance von Unternehmen bewirken kann, welche Vorteile es aufweist und wie die Zero-Trust-Implementierung von NCP Cyberangriffe verhindert.
„Der Begriff Compliance steht nicht nur für die Einhaltung gesetzlicher und regulatorischer Vorgaben, sondern auch für die Erfüllung individueller Anforderungen, die ein Unternehmen selbst festgelegt hat“, schreibt die NCP engineering GmbH zum Beginn des Blog-Beitrags. In anderen Worten: Die Beschäftigten und die Technologien, die sie verwenden, müssen bestimmten Vorgaben entsprechen, um den Arbeitgeber zu schützen. Compliance und Zero Trust weisen dabei einige Gemeinsamkeiten auf, denn auch das Zero-Trust-Sicherheitsmodell soll Unternehmen vor Schaden (beispielsweise Datenschutzverletzungen) bewahren. Es beruht auf dem Gedanken, dass Mitarbeiter nur Zugriff auf diejenigen Daten erhalten sollen, die sie auch wirklich für ihre Tätigkeit brauchen. „Alle Identitäten und Berechtigungen von Benutzern und Geräten benötigen deshalb ständige Kontrollen und Authentifizierungen. Erst nach der Überprüfung kann ein Zugriff auf die entsprechende Ressource erfolgen, der aber stets zeitlich begrenzt ist“, heißt es dazu im Blog.
Die Zero-Trust-Lösung von NCP
Zero Trust wendet also Datenlecks ab und hilft somit bei der Erfüllung von Compliance-Kriterien. Die Zero-Trust-Implementierung von NCP schützt umfassend vor Cyberattacken und besteht aus mehreren Bausteinen, die eng miteinander verzahnt sind: Neben „Zugriffskontrollen für Benutzer, Geräte und Anwendungen“ (Multi-Faktor-Authentifizierung) überwacht das Angebot alle Aktivitäten und sorgt für eine „granulare und zeitlich begrenzte Vergabe von Berechtigungen“. Die Folge: „Selbst im Falle einer erfolgreichen Attacke erhält der Angreifer nur Zugriff auf einen sehr kleinen Teil des Netzwerks“, so NCP. „Die übrigen Ressourcen bleiben ihm verschlossen. Betroffene Segmente können zudem schneller isoliert und von einer Bedrohung befreit werden, ohne dass das gesamte System heruntergefahren werden muss.“
Weitere Aspekte
Im weiteren Verlauf des Blog-Beitrags beschäftigt sich das Nürnberger Unternehmen mit den fünf wichtigsten Fragen bei der Zero-Trust-Implementierung, die darüber entscheiden, „ob ein Zugriff erlaubt oder blockiert wird“. Außerdem erklärt NCP, welche Vorteile das Zero-Trust-Prinzip generell hat wie es mit der Datenschutz-Grundverordnung (DSGVO) harmoniert. Die DSGVO kann aber auch zum Hemmschuh bei der Einführung einer Zero-Trust-Architektur werden, „wenn sie personenbezogene Daten auswertet und damit Nutzerprofile zur Bewertung von Zugangsanfragen erstellt“, so NCP. „In diesem Fall ist vorab eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO durchzuführen.“