Definitionen Was ist bzw. was bedeutet Zero Trust?

Bei Zero Trust handelt es sich um ein neuartiges Konzept für die IT-Sicherheit. Der Grundgedanke ist, Nutzern in internen Netzwerken kein Vertrauen entgegenzubringen. Besonders wichtig ist dieser Ansatz bei sensiblen Daten wie im Bereich eHealth.

Der Begriff Zero Trust bezeichnet einen Sicherheitsansatz, bei dem IT-Verantwortliche Usern in internen Netzwerken grundsätzlich misstrauen. Das unterscheidet dieses Konzept von den klassischen Sicherheitsmechanismen wie Firewalls und VPNs. Lange galt das Motto: Nach der Zugangskontrolle durch ein Passwort und andere Verfahren dürfen sich Nutzer in einem internen Netzwerk frei bewegen und zum Beispiel auf alle Daten zugreifen. Beim Ansatz Zero Trust gehen IT-Experten dagegen davon aus, dass jederzeit Gefahr besteht. Entsprechend umfassend ist die IT-Sicherheitsarchitektur gestaltet.

Die Grundzüge einer Zero-Trust-Lösung

Das zentrale Merkmal dieser Sicherheitslösung ist, dass Nutzer nicht nur bei der Anmeldung in das interne Netzwerk überprüft werden. Stattdessen prüft die jeweilige Software während der gesamten Session die Vertrauenswürdigkeit, es erfolgt eine kontinuierliche Überwachung. Bei jedem Zugriff auf Daten und Anwendungen kontrolliert die Software die Zugriffsberechtigung.

Zugleich zeichnet sich dieses Konzept der IT-Sicherheit durch Transparenz aus. Die entsprechenden Programme dokumentieren jede Aktivität von Usern wie das Abrufen von Daten und das Nutzen von IT-Services. Diese permanente Dokumentation aller Schritte erfüllt zwei Zwecke:

• Die Aufzeichnung sämtlicher Aktivitäten ermöglicht es den IT-Mitarbeitern, Missbrauch zu entdecken und gegebenenfalls sofort einzugreifen.

• Die Dokumentation wirkt präventiv: User meiden zum Beispiel das unberechtigte Abrufen von Daten, weil sie negative Konsequenzen befürchten.

Kein-Vertrauen-Konzept implementieren

Bei Zero Trust handelt es sich um einen grundlegenden Ansatz, welcher der Konkretisierung bedarf. Die genaue Umsetzung unterscheidet sich zwischen unterschiedlichen IT-Sicherheitsarchitekturen erheblich. Im ersten Schritt empfiehlt sich deshalb eine individuelle Analyse, bei der Verantwortliche unter anderem eine Risikobewertung durchführen und Daten sowie Anwendungen priorisieren. Einen besonderen Schutz erhalten alle geschäftskritischen Datensätze und Anwendungen. Auf dieser Basis erarbeiten Experten ein konkretes Konzept für die IT-Sicherheit, das vielfältige Sicherheits- und Überwachungsmechanismen enthalten kann.

Zero Trust und eHealth

Bei der Gestaltung einer effektiven IT-Sicherheitsarchitektur gilt der Grundsatz, dass sensible Daten und Anwendungen einen zuverlässigen Schutz vor Datendiebstahl und unberechtigten Datenänderungen erfordern. Es liegt auf der Hand, dass das Kein-Vertrauen-Konzept im Bereich eHealth wertvolle Dienste leisten kann. So zeichnen sich die Daten in der elektronischen Patientenakte durch ein hohes Maß an Sensibilität aus, ein Datenleck kann für die Betroffenen fatale Folgen haben. Innovative Ansätze wie Zero Trust erhöhen das Vertrauen in die Datensicherheit und können damit zu einer wachsenden Akzeptanz digitaler Lösungen beitragen.

(ID:49464053)