Die NCP engineering GmbH warnt in einem Blog-Beitrag vor Missverständnissen und Irrtümern beim Zero-Trust-Konzept. Viele Anbieter würden den Begriff inzwischen zu Marketingzwecken nutzen und ihn dabei immer wieder verwässern, so das Nürnberger Unternehmen.
„Zero Trust zählt mittlerweile zu den beliebtesten Marketing-Buzzwords in der IT-Sicherheit“, schreibt NCP in dem Blog-Beitrag. „Viele Anbieter nutzen diesen Begriff jetzt, um ihre Produkte und Dienstleistungen damit vermeintlich attraktiver zu machen.“ Das soll suggerieren, dass sie besonders moderne Lösungen herstellen. „Dies führt jedoch bei Kunden, die solche Produkte kaufen, zu einem falsch verstandenen Sicherheitsgefühl“, warnt NCP. „Sie fühlen sich dann hundertprozentig sicher, übersehen aber unter Umständen vorhandene Schwachstellen oder bezahlen für Funktionen, die sie gar nicht benötigen.“
Zero-Trust-Konzept hat viele Vorteile
NCP betont, dass dies „keine Kritik an Zero Trust selbst“ sein soll. Das Konzept habe viele Vorteile und stelle „eine längst überfällige Abkehr vom veralteten Perimeter-Modell“ dar. Durch die kontinuierliche und ortsunabhängige Verifikation von Benutzern und Geräten biete Zero Trust „eine deutlich höhere Sicherheit als Modelle, die eine Firewall an der Außengrenze des Netzwerks als wichtigste Schutzmaßnahme betrachten“, so das Unternehmen.
Nicht alles gehört zu Zero Trust
Zusätzliche Sicherheitsfunktionen könnten in einem bestimmten Umfeld durchaus sinnvoll sein, gehörten aber nicht zum eigentlichen Zero-Trust-Modell und erfüllten nicht dessen „sehr spezifische Anforderungen“, schreibt NCP. „Dies gilt auch für klassische Firewalls am Perimeter, die nach wie vor eine Daseinsberechtigung haben.“ Ein weiteres Beispiel sei klassische Antiviren-Software, die sich auf das Erkennen und Beseitigen von Malware konzentriere, „aber keine umfassenden Zugriffskontrollen und kontinuierlichen Überprüfungen bietet, wie sie das Zero-Trust-Modell vorsieht“. Weitere Funktionen, die ebenfalls nicht zum Zero-Trust-Modell gehörten, seien etwa IDS-Lösungen (Intrusion-Detection-Systeme), SIEM (Security Information and Event Management), Secure Boot oder Telemetrie.
Worauf Unternehmen bei Zero-Trust-Lösungen achten sollten, erfahren Sie im weiteren Verlauf des Beitrags von NCP.