:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mythen und übersteigerten Erwartungen Weg mit drei Zero-Trust-Mythen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im Unternehmensumfeld gehört „Zero Trust“ bereit seit einiger Zeit ohne Zweifel zu den angesagtesten Begriffen. Wie bei so vielen anderen Buzzwords in der IT ranken sich darum aber eine Reihe von Mythen. Zeit, damit aufzuräumen.
Eine in diesem Jahr veröffentlichte Studie der Cloud Security Alliance kommt zu dem Schluss, dass 80 Prozent der Führungskräfte in Unternehmen „Zero Trust“ eine mittlere bis hohe Priorität einräumen. 77 Prozent wollen in den kommenden 12 Monaten beschleunigt an diesem Thema arbeiten. Zero-Trust-Netzwerke haben also offenbar einen Nerv getroffen. Doch wie so oft in der Branche sind mit Zero Trust eine ganze Reihe falscher Vorstellungen verbunden. Solche Missverständnisse und Mythen führen schnell dazu, dass von dem Ansatz wahre Wunder erwartet werden. Dies war auch im Falle von KI oder der Blockchain so. Mythen und übersteigerten Erwartungen sind in der Regel das Resultat der überzeugend geschriebenen Marketingmaterialien von Lösungsanbietern, die in der Sache aber nicht präzise genug sind. Es scheint also an der Zeit, mit diesen falschen Vorstellungen aufzuräumen.
Mythos 1: Zero Trust ist eine Technologie
Zero Trust ist, anders als es Marketingtexte versprechen, kein Produkt oder eine Technologie, die Unternehmen einfach kaufen können. Es gibt also keine Lizenz, die erworben wird und schon ist das Zero-Trust-Netzwerk fertig. Es handelt sich stattdessen um ein Prinzip, das Architekturen und Sicherheitsrichtlinien bestimmt. Faktisch bedeutet dies, dass ein Unternehmen selbst den eigenen Mitarbeitenden misstraut. Werden Entscheidungen über Datenzugriffe getroffen, bedeutet „Zero-Trust“ buchstäblich kein Vertrauen. Der Zugriff wird erst auf der Basis kontinuierlicher, adaptiver und vom Kontext abhängiger Entscheidungen gewährt.
Wenn ein Unternehmen eine „Zero-Trust“-Strategie nutzt, bildet Secure Access Service Edge (SASE) den damit verbundenen Rahmen. Und Security Service Edge (SSE) beschreibt letztlich eine Produktgattung, deren Lösungen erworben werden können. Aus Erkenntnissen über das Benutzerverhalten, der Identität, dem Anwendungsrisiko, der Daten und dem genutzten Gerät wird dann Zugriff eingeräumt. Aber das ist eben nur ein Baustein einer solchen Strategie.
Mythos 2: ZTNA ist das Ziel und die Lösung
Zero Trust wird oftmals vorschnell ausschließlich mit dem Netzwerkzugang assoziiert. Es geht im Kern aber um mehr. Denn im Zeitalter hybrider Arbeitsmodelle und BYOD-Strategien sollte sich der Zero-Trust-Gedanke auf die gesamte Infrastruktur beziehen. Zero-Trust-Network-Access (ZTNA) ist insofern ein guter Ausgangspunkt für eine Zero-Trust-Strategie, die aber umfassender sein sollte.
- 1. In der ersten Phase definieren Unternehmen die Basis des Zero Trusts. Alle Zugriffsebenen innerhalb der Organisation sind klassifiziert, alle Anwendungen inventarisiert und Datenbestände identifiziert. Es geht um nichts anderes, als einen Zustand zu erreichen, in dem ein anonymer Zugang auf keine Ressource möglich ist. Laterale Bewegungen im Netzwerk sind eingeschränkt, Anwendungen vor Port-scannern oder Fingerprinting verborgen und SSO mit Multifaktor-Authentifizierung erweitert.
- 2. In der zweiten Phase kann die Zugriffskontrolle adaptiv ergänzt werden. Signale von Anwendungen und Benutzern werden ausgewertet und adaptive Richtlinien erlassen, die dann etwa eine zusätzliche Authentifizierung erfordern. In dieser Phase müssen Unternehmen lernen und umsetzen, wie Zugriffsrichtlinien mit einem Kontext versehen werden können, um so den Zugriff in Abhängigkeit von bestimmten Bedingungen zuzulassen. Handelt es sich um ein intern verwaltetes Gerät, das nur lesend auf eine lokale Anwendung zugreift, ist das Risiko anders zu bewerten, als bei einem Fernzugriff von Anwender:innen, die Inhalte löschen wollen.
- 3. Phase drei widmet sich dem Schutz risikobehafteter Ziele und nutzt explizite Vertrauenskontrollen. On-Demand-Isolierung, d. h. eine Isolierung, die sich bei hohem Risiko automatisch einfügt, schränkt etwa den Aktionsradius von gefährdeten Be-nutzern und gefährlichen oder riskanten Websites ein.
- 4. Die vierte Phase beseitigt „überschüssiges“ Vertrauen, in dem konsequent eine Richtlinie der geringsten Privilegien verfolgt wird. Die Bewegungen sensibler Daten innerhalb des Netzwerks werden verfolgt und der Datenabfluss möglichst unterbunden. Das ist zugleich gelebter Datenschutz.
- 5. Die fünfte Phase schließlich verfeinert die Richtlinien kontinuierlich. Dafür sind Analysen in Echtzeit unerlässlich. Auf Basis von Benutzertrends, Anomalien bei Zugriffen oder Änderungen an Anwendungen werden die Zugriffe restriktiver gehandhabt.
Mythos 3: Zero Trust ist ein reines Sicherheitsthema
Eines der größten Missverständnisse um Zero Trust liegt sicherlich darin, dass es als reines Sicherheitsthema verstanden wird. Die Strategie mag von Sicherheitsteams initiiert sein und die Verbesserung der Sicherheit in einem Unternehmen ist wahrscheinlich auch der Hauptantrieb zur Einführung von Zero Trust. Die Strategie reicht aber weit über den Aspekt der Sicherheit hinaus. Denn dieser Weg kann auch ein Wegbereiter für mehr geschäftliche Agilität sein. Wird Zero Trust richtig konzipiert und umgesetzt, helfen die Initiativen den CIOs bei der Konsolidierung von Anbietern und Lösungen, verbessern die Transparenz bei der Service-Integration und steigern damit die betriebliche Effizienz.
Da, wie in den Phasen der Strategieumsetzung erwähnt, alle eingesetzten Anwendungen, Netzwerkzugänge, Datenspeicher und Geräte berücksichtigt werden, erstrecken sich Zero-Trust-Initiativen über Sicherheits-, Cloud- und Netzwerkteams. Das kann als Katalysator für mehr funktionsübergreifende Zusammenarbeit genutzt werden.
Erfolgreich umgesetzt, schaffen die Prinzipien von Zero Trust eine Sicherheitslage, die Unternehmen viele Vorteile bietet:
- Die geografische Lage von Benutzer:innen und Daten sind keine limitierenden Faktoren mehr, womit Unternehmen flexibler bei der Wahl von Standorten werden.
- Für Business-Teams wird es einfacher, neue Partner einzubinden und neue Geschäftsmodelle zu erkunden, ohne dass dies das Risikoprofil des Unternehmens erhöht.
- Es wird leichter, neue digitale Lösungen zu testen, um Produktivitätssteigerungen zu erzielen, ohne erst monatelang neue Sicherheitsrichtlinien und Security-Systeme anzupassen.
Zero Trust ist also viel mehr als ein reines modisches Schlagwort und es wirkt positiv auch über den reinen Sicherheitsaspekt hinaus. Es ist nur eben leider kein Produkt, das Firmen einfach kaufen können. Und auch den Weg zum Ziel müssen Unternehmen genauso individuell finden und beschreiten.
Über die Autorin: Ilona Simpson ist Chief Information Officer EMEA bei Netskope. Seit über 15 Jahren ist sie als CIO in diversen internationalen Unternehmen für die Initiierung und Leitung der Umsetzung neuer Geschäfts- und Technologiestrategien sowie Betriebsmodelle verantwortlich. Besonders in den Bereichen der Automobilindustrie und Supply Chain ist ihr Branchenwissen tief verankert.
(ID:48667164)
:quality(80)/p7i.vogel.de/wcms/68/40/68406d5bb09eb3fb7855e661c033a2d8/0106096319.jpeg "Kein Mythos: Das Zero-Trust-Modell basiert auf der Idee, dass Benutzern und Geräten niemals standardmäßig vertraut werden sollte. (Bild: © – momius – stock.adobe.com)")
![Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)](https://cdn1.vogel.de/iSNX769w1PwqU9CpT3WxZmH8QM0=/392x392/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8f/b1/8fb15924728ac426eb7c17cad3fa22c4/0106973381.jpeg "Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)")