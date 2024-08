ZTNA (Zero Trust Network Access) gehört zu den wichtigsten, neuen Entwicklungen in der Netzwerksicherheit. Wer oder was einen Zugang zum Netzwerk und zu den Daten bekommt, wird nicht nur davon abhängig gemacht, ob ein gültiges Passwort für den Netzwerkzugang vorliegt. Es reicht auch nicht, wenn die Person, das Gerät oder die Anwendung, die zugreifen will, dem eigenen Unternehmen angehört oder nicht.

Das Analystenhaus Gartner zum Beispiel beschreibt Zero Trust Network Access als Lösung, die eine identitäts- und kontextbasierte, logische Zugriffsgrenze um eine Anwendung oder eine Gruppe von Anwendungen erstellt. ZTNA überprüft also die Identität, den Kontext und die Richtlinieneinhaltung, bevor der Zugriff gewährt wird, und verhindert laterale Bewegungen an andere Stellen im Netzwerk. Dadurch wird die Angriffsfläche erheblich reduziert, so Gartner.

Keine Frage, der Datenschutz profitiert, wenn unerlaubte Zugriffe auf zu schützende Daten besser abgewehrt werden können. Für Datendiebe reicht es dann nicht, sich Passwörter anzueignen oder betriebseigene Geräte zu stehlen, um einen Zugriff auf das Netzwerk und auf Anwendungen zu bekommen. Jeder Zugriff wird hinsichtlich der aktuellen Risiken bewertet, der jeweilige Zugriff entsprechend beschränkt, verwehrt oder aber erlaubt. Trotzdem könnte ZTNA auch zu Datenrisiken beitragen, wenn nicht an die Datenschutzprinzipien bei Einführung und Betrieb gedacht wird.

Zugriffsrisiken versus Datenschutzrisiken Der Bezug von ZTNA zum Datenschutz liegt schnell auf der Hand. Wenn eine Nutzerin oder ein Nutzer einen Zugriff auf Netzwerk, Anwendungen und Daten tätigen will, wird insbesondere auch diese Nutzerin oder dieser Nutzer überprüft. ZTNA-Anbieter erklären hierzu zum Beispiel: Verdächtige nutzerbasierte Aktivitäten können sehr unterschiedlich sein. Manche erfordern möglicherweise sofortige Maßnahmen – beispielsweise, wenn derselbe Benutzer an mehreren Standorten gleichzeitig angemeldet ist. Riskantes Verhalten kann je nach Organisation unterschiedlich sein. Wenn ein Nutzer etwa eine große Datenmenge herunterlädt, kann dies eine verdächtige Aktivität sein. Wenn es jedoch für einen Mitarbeiter einer Organisation typisch ist, große Datenmengen herunterzuladen, würde die Beschränkung dieses Verhaltens die Benutzererfahrung und die Produktivität beeinträchtigen. Mit der nutzerbasierten Risikobewertung von ZTNA können IT-Teams entscheiden, welche Verhaltensweisen für eine weitere Überprüfung vorgesehen werden sollten und welche nicht. Dieses Vorgehen macht offensichtlich Sinn: Eine dynamische, risikoabhängige Zugriffskontrolle wie bei ZTNA muss auch die nutzerabhängigen Risiken betrachten, um zum Beispiel Anzeichen für einen möglichen Identitätsdiebstahl oder eine Insider-Attacke erkennen zu können. Aber die Risikoanalyse könnte weiter gehen, als es der Datenschutz erlaubt. Dann würden Zugriffsrisiken minimiert, aber Datenschutzrisiken erhöht. Das gilt es zu vermeiden.