Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

07. Februar 2023

Zero Trust: Was bedeutet es für den Datenschutz?

Zero Trust: Was bedeutet es für den Datenschutz?
Bild: iStock.com / fpm
5,00 (4)
Inhalte in diesem Beitrag
Analyse zu neuen IT-Sicherheitskonzepten
Die Security empfiehlt ein Zero-Trust-Konzept: Unternehmen sollten nicht darauf vertrauen, dass die interne IT sicher ist und alle Angriffe von außen kommen. Was heißt das für den Datenschutz?

Was steckt hinter Zero Trust?

Zero Trust bedeutet einfach gesagt, dass man keiner IT-Komponente mehr trauen soll, keinem Rechner und keiner Anwendungen, ganz gleich, ob die IT extern oder intern ist.

Warum ist Zero Trust für Datenschutzbeauftragte wichtig?

Sicherheitsmaßnahmen hatten über Jahrhunderte hinweg einen zentralen Ansatz: Wir müssen den inneren Bereich vor Angriffen von außen schützen.

Genau nach diesem Modell haben Unternehmen und Behörden Burgen errichtet, und genauso waren die IT-Sicherheitskonzepte in den letzten Jahrzehnten gestrickt: Das interne Netzwerk mit den Rechnern, Anwendungen und Daten muss gegen das Internet und andere gefährliche Einflüsse von außen geschützt werden.

Doch die jüngere Vergangenheit hat gezeigt:

  • Die „Burgmauern“ bieten nicht genug Schutz, es kommen immer wieder Angreifer (Hacker) in das Innere.
  • Selbst die „Bewohner der Burg“ können zu Angreifern werden (Innentäter).
  • Das Innere der „Burg“ ist nicht der einzige Bereich, in dem Sicherheit herrschen muss. Man denke an Entwicklungen wie Homeoffice, Mobile Work und Cloud Computing.

Die veränderte IT-Nutzung führt dazu, dass es nicht mehr sinnvoll ist, Innen und Außen in der IT zu unterscheiden. Risiken drohen nicht nur von außen , sondern auch von innen. Und externe Gefahren verschaffen sich Zugang ins interne Netzwerk.

Aus diesem Grund raten immer mehr Security-Experten und -Expertinnen zu einem sogenannten Zero-Trust-Konzept. Das ist wiederum für die Beratungs-Praxis von Datenschutzbeauftragten (DSB) wichtig.

Beispiel
Wie riskant es ist, an alten Security-Konzepten festzuhalten, zeigt das Beispiel VPN (Virtual Private Network):

  • In vielen Unternehmen erhalten Mitarbeitende im Außendienst nur dann von unterwegs Zugriff auf das Firmennetzwerk, wenn sie einen VPN-Zugang nutzen.
  • Nun hat ein Außendienstler sein Notebook in einem Hotel-WLAN genutzt und dabei Schadsoftware (Malware) auf sein Gerät geladen.
  • Verwendet er daraufhin den VPN-Zugang ins Firmennetzwerk, erhält er seine Zugriffsrechte. Also so, als ob er innerhalb der Firma wäre.
  • Diesen Zugang und alle Zugriffsrechte kann aber auch eine unerkannte Malware auf dem Notebook nutzen. Und schon schafft es ein Angreifer in das Firmennetzwerk, trotz VPN.

Was sind die zentralen Bausteine von Zero Trust?

Selbst wenn ein Unternehmen alles überprüft und kontrolliert, braucht es einen Vertrauensanker. Es benötigt eine Instanz, die es nach einer Kontrolle als vertrauenswürdig einstuft.

Zero-Trust-Konzepte setzen auf die Nutzerin und den Nutzer sowie darauf, deren Identität zu prüfen. Zero Trust vertraut dem identifizierten Nutzer. Den Geräten und Apps, die der Nutzer verwendet, dagegen nicht.

Für den Datenschutz bedeutet das: Die IT-Sicherheit wird zunehmend nutzerzentriert. Zero-Trust-Lösungen müssen Nutzer und Nutzerinnen identifizieren, um ihnen im Rahmen ihrer Berechtigungen zu erlauben, die IT zu verwenden. Zentrale Bausteine von Zero Trust sind deshalb:

  • die Nutzer-Zugangskontrolle (mit Mehrfaktor-Authentifizierung, MFA),
  • die Überwachung von Nutzeraktivitäten und
  • die sehr präzise Vergabe von Berechtigungen (Prinzip der minimalen Berechtigungen, Need-to-know-Prinzip).

Zero-Trust-Konzepte behandeln alle Geräte und Anwendungen so, als stammten sie von Dritten. Das gilt unabhängig davon, ob die Nutzenden sie extern oder intern verwenden.

Die Fragen, die die Security beantworten muss, lauten:

  • Wer ist dieser Benutzer?
  • Auf welche App oder auf welchen Dienst möchte der Nutzer zugreifen?
  • Ist das Gerät bekannt oder verwaltet?
  • Von wo erfolgt der Zugriff? Wann erfolgt der Zugriff?
  • Sind die Aktivitäten der Nutzenden unüblich, im Vergleich zu einem normalen Verhalten?

Die Berührungspunkte mit dem Datenschutz sind offensichtlich: Zero Trust muss möglichst viel über den Nutzer oder die Nutzerin sowie den Kontext wissen. Erst dann ist es möglich, ihm beziehungsweise ihr Vertrauen zu schenken.

Cybersicherheit für Datenschutzbeauftragte

Cybersicherheit für Datenschutzbeauftragte

So beraten Sie datenschutzkonform bei der Vorbeugung, der Abwehr und bei der Erholung von Cyberangriffen:

  • Cyberbedrohungen für den Datenschutz systematisch ermitteln
  • Angriffe erkennen und Meldepflichten erfüllen – mit zahlreichen Checklisten und Muster-Texten
  • Datenschutz und Cyberschutz wiederherstellen und verbessern

Welche Auswirkungen hat Zero Trust auf den Datenschutz?

Bevor Verantwortliche ein neues Tool einführen, um Zero Trust zu implementieren, sollten sie prüfen, welche Auswirkungen das auf den Datenschutz hat.

Wertet die geplante Lösung personenbezogene Daten aus und erstellt sie Nutzerprofile, um die Vertrauenswürdigkeit eines Zugriffs zu ermitteln, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 Datenschutz-Grundverordnung (DSGVO) nötig.

Das zeigt auch ein Blick in die Liste der Verarbeitungstätigkeiten, für die Verantwortliche eine Folgenabschätzung durchführen müssen (siehe https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf).

Entscheidend ist zudem, dass jedes Security-Konzept den Datenschutz-Prinzipien gerecht wird, die Artikel 5 DSGVO verlangt. Dabei geht es insbesondere um

Welche Zero-Trust-Lösungen gibt es?

Es gibt eine Reihe von IT-Sicherheitslösungen, die helfen, ein Zero-Trust-Konzept umzusetzen.

Der Beginn: Googles BeyondCorp

Begonnen hat alles mit BeyondCorp von Google. Das Unternehmen Google hatte bereits vor Jahren für die eigene IT ein Zero-Trust-Konzept namens BeyondCorp entwickelt. Dieses Konzept veröffentlichte Google als Zero Trust Security Framework (zu finden unter https://www.beyondcorp.com/ und https://cloud.google.com/beyondcorp/).

Die Kernelemente:

  • Ob ein Nutzer oder eine Nutzerin Zugang zu IT-Ressourcen erhält oder nicht, darf nicht (!) davon abhängen, von welchem Netzwerk aus sie oder er sich anmeldet. Sprich: Google stuft weder ein öffentliches WLAN noch das interne Netzwerk als zuverlässig ein.
  • Die Entscheidung, ob ein Nutzer oder eine Nutzerin Zugang zu IT-Ressourcen bekommt, hängt allein vom Nutzer / der Nutzerin und vom verwendeten Gerät ab. Sprich: Es sind Analysen zu Nutzenden und Geräten erforderlich).
  • Zero Trust erteilt Zugänge dynamisch, nicht dauerhaft. Diese Zugänge müssen geschützt werden (verschlüsselte Verbindung, Mehrfaktor-Authentifizierung).

Aktuell: KI-Lösungen

Um das aktuelle Risiko eines Zugriffs auf IT-Systeme und Daten so genau wie möglich zu bestimmen, werten Zero-Trust-Lösungen immer mehr Informationen über den Kontext des Zugriffsversuchs aus. Datunter sind personenbezogene und personenbeziehbare Daten wie

  • übliche Arbeitszeiten und Aufenthaltsorte eines Nutzenden,
  • Verwendung bestimmter privater Endgeräte oder
  • die bevorzugten Apps, die die Anwendenden für den Datenzugriff und parallel zum Zugriffsversuch nutzen.

Abweichungen vom Normalverhalten können Anzeichen für ein erhöhtes Risiko sein, so die Idee dahinter. Denn Internetkriminelle, die eine digitale Identität gestohlen haben, verhalten sich meist anders als das Opfer.

Die Nutzungs- und Nutzerprofile, die so entstehen, sind äußerst umfangreich. Daher setzen Zero-Trust-Lösungen vermehrt auf Maschinelles Lernen und auf KI-Dienste, um das aktuelle Risiko zu bestimmen.

Der Datenschutz und Datenschutzbeauftragte müssen hier besonders genau hinschauen:

  • Klären Sie zum einen, was die KI mit den Daten macht und ob weitere Verarbeitungszwecke damit verbunden sind wie etwa Leistungskontrollen.
  • Prüfen Sie zum anderen,
    • ob ein KI-Dienst aus einer Cloud zum Einsatz kommt,
    • wo diese Cloud betrieben wird und
    • ob eine Übermittlung personenbezogener Daten in einen Drittstaat bzw. ohne geeignete Rechtsgrundlage stattfinden könnte.
Wichtig
Fazit: Setzt ein Verantwortlicher Zero Trust ein, gilt auch aus Datenschutzsicht Zero Trust. Schenken Sie als Datenschutzbeauftragte /-r einer solchen Lösung also nicht einfach Vertrauen, sondern hinterfragen Sie genau die Datenschutzfolgen.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.