Blog WatchGuard

Go to 

Zero Trust nach NSA-Leitlinien: fortlaufende Kontrolle statt Einmalprüfung

Zero Trust basiert laut NSA auf der Bewertung jeder Session-Aktivität. Sieht Ihre Sicherheitsstrategie eine solch kontinuierliche Überprüfung vor?

Zero Trust ist aus gutem Grund seit Jahren in aller Munde: Die Entwicklung der Bedrohungslage und die zunehmende Raffinesse von Angriffen machen immer wieder deutlich, dass Sicherheitsansätze auf kontinuierlicher Validierung basieren müssen – das implizite Vertrauen traditioneller Sicherheitsmodelle hat ausgedient.

Jedoch lag der Fokus vieler Zero-Trust-Implementierungen darauf, den initialen Zugriff abzusichern, ohne das zugrunde liegende Kontrollmodell wirklich zu verändern. Es ist absolut richtig, Identitätsprüfungen zu verstärken, aber es ist falsch, weiterhin allein in Perimeter-Strukturen zu denken. Heute nutzen Angreifer zunehmend legitime Identitäten und gültige Anmeldedaten aus. Damit verschiebt sich das Risiko: Entscheidend ist nicht mehr nur, wer Zugriff erhält, sondern was nach der Authentifizierung passiert.

Von der Identitätsprüfung zur Verhaltenskontrolle

Ein einfaches Beispiel: Ein Mitarbeiter greift per gültiger Multifaktor-Authentifizierung (MFA) erfolgreich auf das Netzwerk zu. Alles scheint normal zu sein. Kurz darauf beginnt er jedoch, tausende Kundendatensätze um drei Uhr morgens herunterzuladen – aus einem Land, von dem aus er sich zuvor noch nie angemeldet hat. In einem statischen Modell bleibt dieses Verhalten zulässig, solange das Sitzungstoken aktiv ist. In einem dynamischen Autorisierungsmodell erkennt das System hingegen, dass dieses Verhalten nicht dem üblichen Muster des Benutzers entspricht, und blockiert die Aktion oder fordert eine zusätzliche Verifizierung an.

Diesen Perspektivwechsel betont auch die National Security Agency (NSA) der Vereinigten Staaten in ihren Zero-Trust-Leitlinien. Zugriffskontrolle wird hier nicht mehr als einmalige Entscheidung behandelt, sondern als kontinuierlicher Prozess. Die Überprüfung von Identität oder Gerät ist nur der Anfang. Danach muss immer wieder neu bewertet werden, wenn sich Kontext, Verhalten oder Zugriffsbedingungen ändern. 

Dazu ist es notwendig, eine verhaltensbasierte Risikobewertung zu implementieren, die Berechtigungen kontextabhängig anpasst und bei steigendem Risiko Sitzungen unterbrechen oder zusätzliche Authentifizierungsschritte anfordern kann. Sicherheitskontrollen müssen während der Sitzung Identität, Gerätezustand, Zugriffskontext und Benutzeraktivitäten bewerten können. Zugriff ist kein einmaliges Ereignis, sondern wird fortlaufend überprüft, je nachdem, welche Aktion der Benutzer ausführen will, auf welche Ressource er zugreifen möchte und ob die Bedingungen für das gewährte Vertrauen weiterhin bestehen.

Zero Trust erfordert somit das Zusammenspiel von Identität und Zugriffskontrolle auf Sitzungsebene. Die Authentifizierung stellt fest, wer der Benutzer ist, aber die kontinuierliche Autorisierung bestimmt, ob dieser die gleiche Zugriffsebene behalten darf, wenn sich Bedingungen ändern. Steigt das Risiko während der Sitzung, können Berechtigungen eingeschränkt, zusätzliche Verifizierungen angefordert oder Sitzungen vollständig beendet werden.

In Konsequenz verschiebt sich der Fokus für MSP von der reinen Bereitstellung sicherer Zugriffe hin zur kontinuierlichen Kontrolle dessen, was nach dem Zugriff geschieht. Ziel ist es nicht nur, unbefugten Zugriff zu verhindern, sondern auch die Auswirkungen kompromittierter Identitäten, gestohlener Tokens oder risikoreichen Verhaltens während der Sitzung zu minimieren.

Kontextuelle Intelligenz dient dabei nicht nur der Erkennung von Anomalien, sondern auch der Reduktion von Fehlalarmen, indem legitime Muster verstanden werden, die von tatsächlichen Risiken abgrenzbar sind. In Umgebungen mit mehreren Kunden erleichtert diese Korrelations- und Analysefähigkeit die Priorisierung und reduziert operative Last bei steigendem Signalaufkommen.

Über den Zugriff hinaus: die wahre Herausforderung für MSP

Im Jahr 2026 wird Risiko nicht mehr nur durch unbefugten Zugriff definiert. Eine der am schwersten zu bekämpfenden Bedrohungen ist der Missbrauch legitimer Identitäten, da der Benutzer beim Zugriff zunächst unauffällig erscheinen kann. Für MSP bedeutet das, dass Managed Security nicht bei der initialen Authentifizierung enden darf. 

Damit verändert sich auch, wie MSP ihre Serviceversprechen formulieren und welche Erwartungen sie bei Kunden wecken. Der Mehrwert liegt nicht mehr nur darin, unbefugten Zugriff beim Login zu blockieren, sondern darin, das Risiko während der gesamten Sitzung zu reduzieren. Dies erfordert eine kontinuierliche Überprüfung der Zugriffsbedingungen und die Einschränkung der Aktionen, sobald sich der Vertrauensstatus eines Benutzers, Geräts oder einer Sitzung verändert. In der Praxis verlagert sich das Gespräch mit dem Kunden von der reinen Prävention hin zur kontinuierlichen Kontrolle legitimer Zugriffe.

Die NSA-Leitlinien machen deutlich, dass es bei Zero Trust nicht nur darum geht, die Identität zum Zeitpunkt des Zugriffs zu überprüfen – das ist nur der Anfang. Eine echte Risikominderung erfolgt, wenn das Vertrauen während der gesamten Sitzung kontinuierlich neu bewertet wird und bei veränderten Bedingungen entsprechende Maßnahmen ergriffen werden können. Die Authentifizierung bestätigt, wer der Benutzer ist, während die kontinuierliche Autorisierung regelt, welche Aktivitäten er wie lange und unter welchen Bedingungen ausführen darf. Erst wenn Identitäts- und Zugriffskontrolle auf diese Weise zusammenwirken, wird Zero Trust zu einem praktischen Modell, das operative Risiken nachhaltig reduziert.

Classé sous : Cybersecurity Trends, Zero Trust, Channel-Partner, Managed Security, Operative Effizienz