Warum ZTNA dem Datenschutz nutzen und schaden kann
Eine risikoabhängige Zugangskontrolle senkt das Risiko für Datendiebstahl, doch Zero Trust kann auch zur Gefahr für den Datenschutz werden, wenn die Nutzeranalyse zu weit geht.
ZTNA (Zero Trust Network Access) gehört zu den wichtigsten, neuen Entwicklungen in der Netzwerksicherheit. Wer oder was einen Zugang zum Netzwerk und zu den Daten bekommt, wird nicht nur davon abhängig gemacht, ob ein gültiges Passwort für den Netzwerkzugang vorliegt. Es reicht auch nicht, wenn die Person, das Gerät oder die Anwendung, die zugreifen will, dem eigenen Unternehmen angehört oder nicht.
Das Analystenhaus Gartner zum Beispiel beschreibt Zero Trust Network Access als Lösung, die eine identitäts- und kontextbasierte, logische Zugriffsgrenze um eine Anwendung oder eine Gruppe von Anwendungen erstellt. ZTNA überprüft also die Identität, den Kontext und die Richtlinieneinhaltung, bevor der Zugriff gewährt wird, und verhindert laterale Bewegungen an andere Stellen im Netzwerk. Dadurch wird die Angriffsfläche erheblich reduziert, so Gartner.
Keine Frage, der Datenschutz profitiert, wenn unerlaubte Zugriffe auf zu schützende Daten besser abgewehrt werden können. Für Datendiebe reicht es dann nicht, sich Passwörter anzueignen oder betriebseigene Geräte zu stehlen, um einen Zugriff auf das Netzwerk und auf Anwendungen zu bekommen. Jeder Zugriff wird hinsichtlich der aktuellen Risiken bewertet, der jeweilige Zugriff entsprechend beschränkt, verwehrt oder aber erlaubt. Trotzdem könnte ZTNA auch zu Datenrisiken beitragen, wenn nicht an die Datenschutzprinzipien bei Einführung und Betrieb gedacht wird.
Zugriffsrisiken versus Datenschutzrisiken
Der Bezug von ZTNA zum Datenschutz liegt schnell auf der Hand. Wenn eine Nutzerin oder ein Nutzer einen Zugriff auf Netzwerk, Anwendungen und Daten tätigen will, wird insbesondere auch diese Nutzerin oder dieser Nutzer überprüft.
ZTNA-Anbieter erklären hierzu zum Beispiel: Verdächtige nutzerbasierte Aktivitäten können sehr unterschiedlich sein. Manche erfordern möglicherweise sofortige Maßnahmen – beispielsweise, wenn derselbe Benutzer an mehreren Standorten gleichzeitig angemeldet ist.
Riskantes Verhalten kann je nach Organisation unterschiedlich sein. Wenn ein Nutzer etwa eine große Datenmenge herunterlädt, kann dies eine verdächtige Aktivität sein. Wenn es jedoch für einen Mitarbeiter einer Organisation typisch ist, große Datenmengen herunterzuladen, würde die Beschränkung dieses Verhaltens die Benutzererfahrung und die Produktivität beeinträchtigen. Mit der nutzerbasierten Risikobewertung von ZTNA können IT-Teams entscheiden, welche Verhaltensweisen für eine weitere Überprüfung vorgesehen werden sollten und welche nicht.
Dieses Vorgehen macht offensichtlich Sinn: Eine dynamische, risikoabhängige Zugriffskontrolle wie bei ZTNA muss auch die nutzerabhängigen Risiken betrachten, um zum Beispiel Anzeichen für einen möglichen Identitätsdiebstahl oder eine Insider-Attacke erkennen zu können. Aber die Risikoanalyse könnte weiter gehen, als es der Datenschutz erlaubt. Dann würden Zugriffsrisiken minimiert, aber Datenschutzrisiken erhöht. Das gilt es zu vermeiden.
Datenschutz bei ZTNA-Implementierung beachten
Wenn man den Datenschutz bei einer modernen Lösung für Netzwerksicherheit wie ZTNA prüfen will, ist es ein guter Ansatz, zuerst die Einhaltung der sogenannten Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO (Datenschutz-Grundverordnung) zu betrachten.
Bei ZTNA muss man sich insbesondere fragen: Wird die Zweckbindung der erhobenen Nutzungsdaten eingehalten, ist also sichergestellt, dass die Nutzeranalysen nicht jenseits des Zwecks von ZTNA verwendet werden können? Um die Risiken des Nutzerverhaltens bestimmen zu können, müssen Lösungen im Bereich ZTNA zuerst lernen, was das Normalverhalten eines bestimmten Nutzers ist. Dieses Wissen jedoch könnte viel über den jeweiligen Nutzer verraten, auch viele Informationen, die man für den Zugriffsschutz gar nicht benötigt.
Wichtig ist es zudem, möglichst wenig Daten zu sammeln und nicht etwa möglichst viele, denn der Datenschutz verlangt die Datenminimierung, also eine Datenverarbeitung, die „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ muss.
Die Daten mit Personenbezug dürfen auch nicht unbegrenzt aufbewahrt werden, vielmehr gilt das Prinzip der Speicherbegrenzung. Dies bedeutet, dass die Daten „ in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Wenn also für den Zweck von ZTNA die Daten nicht mehr benötigt werden, müssen die Löschpflichten geprüft werden.
Nicht zuletzt die Rechtmäßigkeit der Datenverarbeitung will geprüft sein, das ist eigentlich sogar der erste Schritt der Datenschutzkontrolle. Doch die Rechtmäßigkeit bezieht sich nicht nur auf das berechtigte Interesse einer besseren Netzwerksicherheit. Vielmehr kann es auch sein, dass die ZTNA-Lösung in der Cloud betrieben wird, also womöglich Nutzerdaten in eine Cloud übertragen werden. Dann aber müssen die Voraussetzungen geklärt werden, insbesondere bei einer geplanten Datenübermittlung in einen Drittstaat, also zum Beispiel eine Cloud jenseits des EU-/EWR-Raumes.
Es zeigt sich: So wichtig Sicherheitsmaßnahmen für Netzwerke wie ZTNA auch sind, die Nutzeranalysen für die Risikobewertung des Nutzerverhaltens müssen enge Grenzen beachten, damit ZTNA dem Datenschutz hilft und nicht etwa gefährdet. Das Ziel lautet deshalb immer Privacy-Preserving ZTNA, also ZTNA mit eingebautem Datenschutz.