Zero Trust oder IAM? Zero Trust – Hype oder Allheilmittel?

Autor / Redakteur: Pascal Jacober / Peter Schmitz

Aktuell spricht gefühlt die ganze Security-Welt über Zero Trust und das Potenzial, das diese Herangehensweise für die IT-Sicherheit hat. Doch stellt sich die Frage: Ist der Hype wirklich gerechtfertigt oder existieren bereits Alternativen, die für den Unternehmenseinsatz vielleicht sogar noch besser geeignet sind?

Firmen zum Thema

Statt auf Zero Trust sollten sich Unternehmen mehr auf Identitäten konzentrieren und sicherstellen, dass der einzelne Mitarbeiter als Fehlerquelle so gut es geht aus der Gleichung genommen wird.
Statt auf Zero Trust sollten sich Unternehmen mehr auf Identitäten konzentrieren und sicherstellen, dass der einzelne Mitarbeiter als Fehlerquelle so gut es geht aus der Gleichung genommen wird.
(© Tierney - stock.adobe.com)

Der Begriff „Zero Trust“ existiert bereits seit 2010. Er wurde von John Kindervag, der damals als Analyst für Forrester gearbeitet hat, als Technologiephilosophie und begleitende Architektur geprägt. Dabei dreht sich alles darum, dass selbst bei den besten Sicherheitsmaßnahmen niemandem getraut werden kann – weder inner- noch außerhalb derselben. Denn Zero Trust funktioniert nach dem Credo „Nie vertrauen, immer verifizieren“. Aus diesem Grund ist eine entsprechende Sicherheitsarchitektur der Wunsch vieler Security-Verantwortlicher. Doch kann heutzutage kaum ein Unternehmen wirklich selbstbewusst sagen, dass es Zero Trust bereits vollumfänglich implementiert hat. Und selbst wenn wir eine Kristallkugel zu Hilfe nehmen und in eine Zukunft schauen würden, in der tatsächlich alle Unternehmen Zero Trust an allen Access Points und für alle Anwendungen implementiert haben, müssen wir uns die Frage stellen: „Ist Zero Trust wirklich das Allheilmittel für sämtliche IT-Sicherheitsprobleme?“ Die Antwort darauf lautet „Nein“.

Denn das größte Sicherheitsrisiko in Unternehmen sind nicht die angeschlossenen Geräte – selbst „Bring your own device“ hat hier die Kurve nicht signifikant verschoben. Das größte Risiko sitzt tatsächlich oftmals am Schreibtisch. Denn gesundes Sicherheitsbewusstsein und das Wissen über Cyber-Bedrohungen ist essenziell für die IT-Sicherheit. Und wenn Mitarbeiter existierende Maßnahmen umgehen wollen – sei es aus Bequemlichkeit, aus Unwissenheit oder aus Leichtsinn – dann werden sie auch einen Weg finden. So könnten sie beispielsweise in der aktuellen Situation rund um COVID-19 auf privat genutzte Cloud-Dienste zurückgreifen, die zwar möglicherweise komfortabel sind und einen tollen Funktionsumfang bieten, aber leider in den meisten Fällen aus unterschiedlichen Gründen nicht compliant sind. Auf diese Weise kann die sogenannte Schatten-IT zum Einfalltor für Cyber-Kriminelle werden, da sie genutzt wird, ohne von internen IT-Sicherheitsmaßnahmen abgedeckt zu werden.

Identität statt Misstrauen

Daher sollten Sicherheitsverantwortliche dafür sorgen, dass es den Mitarbeitern so schwer wie nur irgend möglich gemacht wird, die Sicherheit zu kompromittieren – ohne gleichzeitig die User Experience außer Acht zu lassen. Ein Mittel, wie dies einfach und gleichzeitig für die Anwender möglichst komfortabel umgesetzt werden kann, sind sogenannte IAM-Lösungen (Identity and Access Management).

Bei diesen wird der Zugang zu Unternehmensressourcen in der Regel über ein zentrales Zugangsportal gewährt. Das bedeutet, dass für den Zugriff nur noch eine Authentifizierung nötig ist, die im besten Fall sogar passwortlos gestaltet werden kann. Stattdessen empfiehlt sich der Einsatz von Multi-Faktor-Authentifizierung (MFA), um maximale Sicherheit zu garantieren und gleichzeitig dafür zu sorgen, dass die Mitarbeiter intuitiv auf ihre Daten zugreifen können.

Dabei muss allerdings durch einzigartige Identitäten für jeden einzelnen Anwender sichergestellt werden, dass diese auch nur auf diejenigen Daten und Ressourcen zugreifen können, die sie für ihre tägliche Arbeit brauchen. Außerdem sollten Unternehmen darauf achten, dass das eingesetzte IAM-System es den Administratoren ermöglicht, Tausende Anwendungen zentral zu verwalten und gleichzeitig innerhalb kürzester Zeit auf neue Onboarding-Anfragen zu reagieren. Und nachdem IAM-Teams – wenn es denn überhaupt dedizierte Experten innerhalb der IT-Abteilung gibt – üblicherweise vergleichsweise klein sind, sollten die Systeme mit Automatisierungsfunktionen und APIs ausgestattet sein, um Selfservice und delegierte Verwaltung zu ermöglichen.

Fazit

Es zeigt sich also, dass Zero Trust tatsächlich – zumindest aktuell – noch mehr Philosophie als tatsächliche Security-Maßgabe ist. Stattdessen sollten sich Unternehmen mehr auf Identitäten konzentrieren und sicherstellen, dass der einzelne Mitarbeiter als Fehlerquelle so gut es geht aus der Gleichung genommen wird. Mit Zero Trust können sich die Verantwortlichen dann beschäftigen, wenn es tatsächlich auch gangbare und vor allem nachhaltig sichere entsprechende Lösungen gibt, die sowohl den Schutz der Unternehmensressourcen als auch die Anwenderfreundlichkeit im Fokus haben.

Über den Autor: Pascal Jacober ist Sales Manager DACH bei Ping Identity.

(ID:47107175)