Reuschlaw

Zero Trust – Was gibt es recht­lich zu beachten?

Die Grund­idee von Zero Trust ist es, kein Ver­trau­en in Benut­zer, Gerä­te oder Netz­wer­ke zu haben, son­dern davon aus­zu­ge­hen, dass alles bereits kom­pro­mit­tiert sein könn­te. Unab­hän­gig vom Aus­gangs­punkt wird daher jede Akti­vi­tät und jeder Zugriff über­prüft und auto­ri­siert. Risi­ken durch die Über­nah­me von Benut­zer­kon­ten oder den Miss­brauch von War­tungs­zu­gän­gen durch Dienst­leis­ter kann so wirk­sam begeg­net wer­den. Aus recht­li­cher Sicht bie­tet Zero Trust jedoch nicht nur Vor­tei­le, son­dern kann auch Risi­ken ber­gen – ins­be­son­de­re im Hin­blick auf den Datenschutz.

Recht­li­che Vor­tei­le von Zero Trust

Mit dem neu­en euro­päi­schen Cyber­si­cher­heits­recht kom­men auf Unter­neh­men zahl­rei­che neue gesetz­li­che Vor­ga­ben zur Cyber­si­cher­heit zu. Unter­neh­men, die in den Anwen­dungs­be­reich der NIS-2-Richtlinie fal­len, müs­sen mit einem gefahren­über­grei­fen­den Ansatz die Sicher­heit ihrer Infor­ma­ti­ons­sys­te­me gewähr­leis­ten und hier­zu ent­spre­chen­de Kon­zep­te und Lösun­gen ein­set­zen. In Erwä­gungs­grund 89 der NIS-2-Richtlinie wird Zero Trust sogar als grund­le­gen­de Prak­tik der Cyber­hy­gie­ne benannt. Kein Wun­der also, dass Zero Trust bei der Umset­zung der NIS-2-Richtlinie unter ande­rem bei fol­gen­den Punk­ten hel­fen kann:

  • Netz­werk­si­cher­heit: Mikro­seg­men­tie­rung ist ein zen­tra­ler Aspekt von Zero Trust, der den Zugriff auf Sys­te­me und Diens­te ein­schränkt, um die Sicher­heit zu erhöhen.
  • End­ge­rä­te­si­cher­heit: Lösun­gen für End­point Detec­tion and Respon­se (EDR) über­wa­chen das Anwendungs- und Pro­zess­ver­hal­ten auf End­ge­rä­ten zur kon­ti­nu­ier­li­chen Angriffserkennung.
  • Benut­zer­ver­hal­ten: Moder­ne Authen­ti­fi­zie­rungs­sys­te­me erken­nen unge­wöhn­li­che Anmel­de­ak­ti­vi­tä­ten wie z.B. „unmög­li­che“ Stand­ort­wech­sel beim Log­in und unter­stüt­zen die dyna­mi­sche Authentifizierung.
  • Zero Trust Net­work Access (ZTNA): ZTNA-Produkte sind siche­re Gate­ways für Anwen­dun­gen, die Benut­zer authen­ti­fi­zie­ren, den Sicher­heits­sta­tus über­prü­fen und einen risi­ko­ba­sier­ten Zugriff ermöglichen.

Auch bei der Erfül­lung der Anfor­de­run­gen des geplan­ten Cyber Resi­li­ence Act (CRA) und der Cyber­si­cher­heit von Pro­duk­ten mit digi­ta­len Ele­men­ten bie­tet Zero Trust viel­fäl­ti­ge Vor­tei­le. Ein Bei­spiel hier­für sind die gefor­der­ten Kon­troll­me­cha­nis­men zum Schutz vor unbe­fug­tem Zugriff.

Risi­ko: Daten­schutz bei Zero Trust

Da bei Zero-Trust-Ansätzen eine umfas­sen­de Ana­ly­se des Netz­werk­ver­kehrs und des Nut­zer­ver­hal­tens statt­fin­det, wer­den häu­fig auch grö­ße­re Men­gen per­so­nen­be­zo­ge­ner Daten ver­ar­bei­tet als bei her­kömm­li­chen Maß­nah­men zur Cyber­si­cher­heit. Gleich­zei­tig ist die Ver­ar­bei­tung häu­fig eng­ma­schi­ger, was zusätz­li­che Daten­schutz­ri­si­ken bedeu­ten kann. Um Daten­schutz­ver­stö­ße zu ver­mei­den, muss beim Ein­satz von Zero-Trust-Lösungen beson­de­res Augen­merk auf die Com­pli­ance gelegt wer­den. Ver­ant­wort­li­che müs­sen ins­be­son­de­re sicher­stel­len, dass eine Rechts­grund­la­ge für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten besteht. Da zahl­rei­che gesetz­li­che Vor­ga­ben zur Cyber­si­cher­heit bestehen und Cyber­si­cher­heit im All­ge­mei­nen einen hohen Stel­len­wert hat, kön­nen sich Unter­neh­men inso­weit unter ande­rem auf eine recht­li­che Ver­pflich­tung (Art. 6 Abs. 1 lit. c DSGVO) und ein berech­tig­tes Inter­es­se (Art. 6 Abs. 1 lit. f DSGVO) beru­fen. Bei hohen Risi­ken für Betrof­fe­ne ist neben den all­ge­mei­nen Maß­nah­men zur Datenschutz-Compliance außer­dem eine Datenschutz-Folgenabschätzung durchzuführen.

Tipps für Unternehmen

Die Nut­zung von Zero Trust im Unter­neh­men erfor­dert eine kla­re Stra­te­gie, die ins­be­son­de­re fol­gen­de Punk­te umfas­sen sollte:

  1. Über­prü­fung und Anpas­sung der bestehen­den Sicher­heits­ar­chi­tek­tur an die Prin­zi­pi­en von Zero Trust;
  2. Prü­fung und Umset­zung der daten­schutz­recht­li­chen Anfor­de­run­gen an Zero Trust;
  3. Har­mo­ni­sie­rung zwi­schen ver­schie­de­nen Sicher­heits­maß­nah­men und ein­ge­setz­ten Produkten;
  4. Schu­lung der Mit­ar­bei­ten­den in den Grund­la­gen von Zero Trust und Sen­si­bi­li­sie­rung für Risi­ken beim Datenschutz;
  5. Kon­ti­nu­ier­li­che Über­wa­chung, Ana­ly­se von Bedro­hun­gen und Anpas­sung der Sicher­heits­stra­te­gie, um auf neue Risi­ken zu reagie­ren und neue recht­li­che Anfor­de­run­gen umzusetzen.
zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.