Personenorientierter Ansatz bei Zero Trust ist wichtig Zero Trust in der hybriden Arbeitswelt

Anbieter zum Thema

Pathlock Deutschland | akquinet enterprise solutions GmbH

TXOne Networks

VMware Global Inc Zweigndl. Deutschland

In Zeiten, in denen hybride Arbeitsbedingungen zunehmend zur Norm werden, öffnen sich neue Angriffsflächen für Cyber-Attacken. Um sich zu schützen, müssen Unternehmen extrem wachsam sein und ein gesundes Maß an Misstrauen aufrechterhalten. Selten wird dabei geprüft, ob die eingesetzten Sicherheitsmechanismen Unternehmen und Mitarbeiter in unbeabsichtigter Weise beeinflussen.

Die hybride Arbeitswelt hat Unternehmen gezwungen, etablierte Sicherheitsmodelle zu hinterfragen, um die nunmehr nötige Flexibilität zu gewährleisten. “Zero Trust” ist derweil für viele Unternehmen zum Sicherheitskonzept der Wahl avanciert. Im Kern besteht es darin, dass jeder Akteur, der Zugang zu Diensten oder Ressourcen im Netzwerk verlangt, zunächst als feindlich behandelt wird, bis eine Verifizierung und Authentifizierung das Gegenteil beweist – und damit Vertrauen schafft. Dieser Nachweis muss kontinuierlich erbracht werden, weshalb der Ansatz auch als Least-Privilege-Prinzip oder “Never trust always verify” bekannt ist. In der Theorie können Unternehmen Zero Trust anwenden, um ihren Teams zu ermöglichen, unabhängig vom Standort auf Informationen und Anwendungen zuzugreifen. In der Praxis sorgt das Konzept jedoch oft für Frustration – vor allem, wenn es nicht richtig an die Mitarbeiter angepasst ist.

Herausforderungen bei der Umsetzung von Zero Trust

Wichtig ist, festzuhalten, dass das Problem nicht im Zero-Trust-Prinzip selbst liegt. Vielmehr geht es darum, wie Unternehmen es in Bezug auf ihre Belegschaft umsetzen. Es ist richtig, grundsätzlich allen Nutzern zu misstrauen, doch dabei darf es nicht bleiben.

Zero Trust zielt darauf ab, Unternehmen einen präzisen, risikobasierten Sicherheitsansatz zu ermöglichen, der Beschäftigten mehr Flexibilität erlaubt und zugleich den Anforderungen der Sicherheitslage genügt. In der Umsetzung bedeutet das z. B., dass Mitarbeiter über ihre eigenen Geräte auf mehr Anwendungen und Daten mit geringerem Risiko zugreifen dürfen, wohingegen der Zugang zu besonders sensiblen Daten ausschließlich über gesicherte Methoden wie vollständig verwaltete Unternehmensgeräte in bekannten Netzwerken gewährt wird.

In der Realität wenden Unternehmen jedoch oft die gleichen strengen Regeln bei allen Beschäftigten an – egal, wo diese sich befinden und auf welche Inhalte sie zugreifen wollen. Viele Unternehmen blenden die individuellen Bedürfnisse verschiedener Stellenprofile bei der Abbildung des Risikos aus. Dies kann jedoch die Produktivität derjenigen einschränken, die sicherere oder weniger riskante Aufgaben wahrnehmen als andere. So lässt sich z. B. hinterfragen, ob es sinnvoll ist, die Person, die Pakete ausliefert, an die gleichen Sicherheitsstandards zu binden wie den Geschäftsführer mit Bürojob – vor allem, wenn der Zugangsprozess zeitaufwendig ist.

Schlecht umgesetzt kann Zero Trust bedeuten, dass die Bedeutung der IT-Sicherheit alle anderen Aspekte eines Unternehmens überlagert – sowohl die Notwendigkeiten individueller Tätigkeitsprofile als auch den Bedarf eines Unternehmens, Nutzererlebnis, Agilität und Innovation voranzutreiben.

Im Arbeitsalltag zeigt sich oft: Je strikter Unternehmen Zero Trust umsetzen, desto stärker ist der Gegenwind der Beschäftigten. Oft suchen Team-Mitglieder, die ihre Aufgaben aufgrund strenger Sicherheitsmaßnahmen nicht mehr wie gewohnt ausführen können, Wege, diese zu umgehen – was wiederum eine ganze Reihe neuer Probleme nach sich ziehen kann.

Darüber hinaus birgt der Begriff “Zero Trust” das Risiko, von IT-fernen Mitarbeitern fehlinterpretiert zu werden, die ihn auf das Vertrauen des Unternehmens in ihre Arbeitsleistung beziehen. Generell sollten IT-Verantwortliche dies als Anlass nehmen, sich bei der Benennung von IT-Projekten zu überlegen, wie der Name auf die Adressaten wirkt.

Personenorientierter Ansatz mit individueller Risikoprofilierung

Vor diesem Hintergrund stellt sich die Frage, wie Unternehmen Zero Trust umsetzen und zugleich den Bedürfnissen der Belegschaft gerecht werden. Die Lösung liegt in einem Ansatz, bei dem Unternehmen die Zero-Trust-Prinzipien umsetzen, sie aber mit einer Risikoprofilierung kombinieren, bei der Nutzer und Geräte entsprechend ihrer Funktion und der Daten, auf die sie zugreifen müssen, sorgfältig geprüft werden. Bei dieser Herangehensweise steht die Person – und nicht die Organisation – im Mittelpunkt, was eine flexiblere Nutzererfahrung ermöglicht, ohne Kompromisse bei der Sicherheit einzugehen.

Dabei sind mehrere Faktoren zu berücksichtigen. Zunächst gilt es, die Risikobehaftung der verschiedenen Tätigkeitsprofile zu verstehen – also welche Risiken damit verbunden sind, wenn die betreffende Person z. B. auf Apps und Daten zugreift. Diese werden durch den Kontext, also Standort, Sensibilität der Daten oder verwendete Geräte, bedingt.

Der zweite Faktor betrifft das Prinzip der kontinuierlichen Verifizierung. Schlecht ausgeführt, birgt dieses großes Frustrationspotenzial für den einzelnen Nutzer. Stellen Sie sich vor, Sie haben einen Tisch im Restaurant reserviert. Sie betreten das Lokal und werden vom Kellner nach Ihrem Namen gefragt. So weit, so gut. Nicht so gut wäre es, wenn auch den Rest des Abends alle fünf Minuten ein Kellner an den Tisch käme, um zu fragen, wie Sie heißen, damit sichergestellt ist, dass auch die richtige Person am Tisch sitzt. Analog kann es auch für Mitarbeiter hinderlich sein, bei der Ausübung ihrer Tätigkeit ständig um Authentifizierung gebeten zu werden. Es bedarf einer ausgewogenen Risikobeurteilung, die auch in Betracht zieht, dass sich Risiken ändern können.

Bis vor kurzem war es schwierig, die dafür nötigen Informationen zu sammeln und mit der im Kontext erforderlichen Geschwindigkeit anzuwenden. Doch technologische Fortschritte, v. a. im Bereich Machine Learning, ermöglichen es, Risiken schneller zu beurteilen. Das kann helfen, die “Always Verify”-Prämisse des Zero Trust-Prinzips erfolgreich umzusetzen. Bezogen auf das Restaurant-Beispiel würde das bedeuten, dass der Kellner nur dann erneut nach dem Namen fragt, wenn die Person am Tisch ganz anders aussieht als die, die hereinkam. Es geht also darum, auf Veränderungen und Anomalien zu achten und diese zu überprüfen, dies aber in einer Art und Weise zu tun, die die Person nicht beeinträchtigt.

Bedarfsgerechte IT-Sicherheit bei Rentokil Initial

Auch Rentokil Initial verfolgt einen solchen Zero-Trust-Ansatz. Als führender Anbieter auf dem Gebiet der Schädlingsbekämpfung und gewerblichen Hygienedienstleistungen beschäftigt der Konzern 44.000 Mitarbeiter in 85 Ländern. Die Verantwortlichen für IT-Security nutzen eine Intelligence-Plattform, um Schwachstellen und Risiken auf Grundlage des Nutzerverhaltens zu identifizieren. Dies kann bei der Profilerstellung hilfreich sein.

Auch bei Schulungen und Weiterbildungen zu IT-Sicherheit setzt Rentokil Initial den personenbezogenen Ansatz um. Anhand des jeweiligen Kenntnisstandes unterteilt das Unternehmen die Belegschaft in verschiedene Gruppen, die dann auf sie zugeschnittene Trainings bekommen. Dafür hat es verschiedene Personas entwickelt. So ist sichergestellt, dass jeder Teilnehmer die für ihn relevanten Informationen erhält, ohne sich zu langweilen oder überfordert zu sein.

Die erfolgreiche Umsetzung von Zero Trust ist somit letztlich eine Frage der Balance. Zwar ist IT-Sicherheit heute wichtiger denn je, doch darf ihre Umsetzung nicht zulasten der Produktivität der Mitarbeiter gehen. Unternehmen müssen sich weiterentwickeln, um ihren Beschäftigten die Möglichkeit zu geben, ihre Arbeit bestmöglich zu erledigen, ohne die Sicherheit der Online-Umgebung zu gefährden. Die Entscheidung für einen Zero-Trust-Ansatz ist keine schlechte Entscheidung, aber sie kann sich als falsch erweisen, wenn das Prinzip nicht richtig umgesetzt wird.

Über den Autor: Björn Brundert ist Principal Technologist CEMEA bei VMware.

(ID:49587316)