Banken können es sich nicht leisten, ihre Sicherheit zu vernachlässigen. Insbesondere dann nicht, wenn sie ihre Daten, Anwendungen und Systeme in die Cloud verlagern. Denn ein erfolgreicher Angriff kann große Schäden verursachen, nicht nur beispielsweise durch den Diebstahl von Daten oder das Erpressen von Lösegeld für verschlüsselte Daten. Noch schwerer wiegt der Reputations- und Vertrauensverlust bei den Kunden. Um das zu verhindern, kommt immer häufiger der Zero-Trust-Ansatz (ZTA) zum Einsatz.
Gegen Bedrohungen von innen wie außen
Mitarbeiter erhalten im Zero-Trust-Modell oft Zugriff auf interne Systeme basierend auf granularen Richtlinien, die sicherstellen, dass ihre Zugriffe kontinuierlich überwacht und eingeschränkt werden. Kunden hingegen erleben eher eine vereinfachte Form des Zero-Trust-Modells durch zusätzliche Sicherheitsmaßnahmen, die ihre Konten und Transaktionen absichern, ohne dass sie den gesamten internen Sicherheitsprozess der Bank sehen.
ZTA kam in den frühen 2010er Jahren auf und gehört inzwischen zu den führenden IT-Sicherheitsansätzen. Ab etwa 2014 gewann das Zero-Trust-Konzept, insbesondere als Reaktion auf immer komplexere Bedrohungen der IT-Sicherheit, zum Beispiel durch Insider-Angriffe, an Bedeutung. Herkömmliche Sicherheitsarchitekturen, die auf Netzwerkgrenzen basierten, stießen zunehmend an ihre Grenzen. Die Verlagerung von Daten und Diensten in die Cloud sowie das Aufkommen von hybriden Arbeitsmodellen in der Corona-Zeit beschleunigten die globale Verbreitung.
Experten schätzen, dass weltweit mittlerweile 60 bis 70 Prozent aller Akteure der sicherheitskritischen Finanzbrache bereits ZTA-Lösungen verwenden oder daran arbeiten, diese zu implementieren.
ZTA basiert auf zwei Grundprinzipien
„Never Trust, Always Verify“: Der Grundsatz ist, dass keine Netzwerkknoten, Benutzer oder Geräte implizit als vertrauenswürdig gelten, auch wenn sie innerhalb des Unternehmensnetzwerks operieren.
Vertrauen wird nie gewährt: Jede Identität und jeder Zugriff müssen kontinuierlich überprüft werden.
Das bedeutet konkret, dass Unternehmen nicht mehr blind dem technologischen Kontext des Nutzers vertrauen. Stattdessen wird jeder Zugriffsversuch anhand von Faktoren wie Nutzeridentität, IP-Adresse oder dem geografischen Standort, Gerätestatus (Firmen- oder Privateigentum), dem Zustand des Betriebssystems (sicher oder jailbroken), Patch-Status oder den digitalen Zertifikaten für das Identitäts- und Zugangsmanagement überprüft. Der Zugriff muss von Nutzern immer wieder neu angefragt und legitimiert werden. Nutzer sollen dann im Falle des temporären Zugangs zum System nur auf die Daten, Anwendungen oder Systeme zugreifen können, die sie tatsächlich für ihre Arbeit benötigen.
Dadurch wird der potenzielle Schaden minimiert, wenn sich zum Beispiel Kriminelle Zugang zu Anmeldeinformationen von Mitarbeitern verschafft haben oder wenn durch eine Insiderbedrohung die Gefahr vom eigenen Mitarbeiter ausgeht.
ZTA erfordert als dynamischer Prozess ebenso hohen wie dauerhaften finanziellen sowie personellen Ressourcenaufwand. Um das Zero-Trust-Konzept umzusetzen, brauchen Banken als entsprechende Lösung ein Zusammenspiel verschiedener Funktionalitäten, damit alle Aspekte der Interaktion zwischen Nutzern und Ressourcen abgedeckt sind. Dazu gehört auch ein konstantes Monitoring des Nutzerverhaltens sowie die Integration von künstlicher Intelligenz, um Muster beziehungsweise Abweichungen zu entdecken, die Hinweise auf eine Gefährdung der Sicherheit liefern können. Gerade weil diese Aufgabe eine fortwährende ist und niemals abgeschlossen werden kann, ergibt sich ein hoher Anspruch für die Anwender. Bei einer organisationsübergreifenden Vernetzung müssen die Zero-Trust-Konzepte zwischen den beteiligten Organisationen verbindlich abgestimmt werden. Dafür ist die Interoperabilität von Produktfunktionalitäten für eine erfolgreiche Zero-Trust-Umsetzung elementar. Dies stellt heute für viele Unternehmen noch eine große Herausforderung dar.
