Sicherheitsstrategie Zero Trust
eBook von Thales: Der Weg zu Zero Trust
Der Weg zu einer Zero-Trust-Struktur ist nicht geradlinig
Die IT-Landschaft verändert sich mit rasender Geschwindigkeit. Neue Technologien ebnen den Weg für neue Arbeitsweisen. Vor allem die allgegenwärtigen Vernetzungsmöglichkeiten haben neu definiert, wie gearbeitet wird – die Mitarbeiter bestimmen zunehmend selbst, wo und mit welchem Gerät sie arbeiten möchten und mit welchen Tools sie ihre Produktivität steigern wollen. Die Cloud und insbesondere SaaS-Anwendungen haben eine neue Form von IT hervorgebracht.
Das vergangene Jahr hat diesen Trend noch verstärkt, da Unternehmen gezwungen waren, bessere Möglichkeiten zur Arbeit aus der Ferne zu schaffen. Manche sehen darin einen Katalysator für die sogenannte digitale Transformation. Doch hinter den Kulissen hat die Flut benutzereigener, häufig nicht vertrauenswürdiger Geräte (BYOD) und die verstärkte Verwendung nicht genehmigter Anwendungen (oft als „Schatten-IT“ bezeichnet) in den IT-Abteilungen zu Sicherheitsalbträumen geführt.
Es hat sich auch gezeigt, wie schlecht ältere, auf einem perimeterorientierten Sicherheitsansatz basierende Sicherheitstools für die vermehrte Fernarbeit und Schatten-IT gerüstet sind. Das Zero-Trust-Konzept, obwohl schon eine ganze Weile existent, war noch nie so aktuell wie heute. Ausgehend von dem Prinzip „never trust, always verify“, gibt Zero Trust den Firmen eine Reihe von Leitlinien zum Aufbau eines neuen Security-Stacks an die Hand, der für das moderne Unternehmen besser geeignet ist.
Der Weg zu einer Zero-Trust-Struktur ist nicht geradlinig, und die großen Versprechungen von Sicherheitsanbietern machen die Entscheidungsfindung oft nur noch schwerer. Wir haben führende Experten für Informationssicherheit gefragt, welchen Herausforderungen Unternehmen auf dem Weg zu Zero Trust begegnen. Hier sind ihre Antworten.
Ambler T. Jackson, Senior Privacy Subject Matter Expert
Eine der größten Schwierigkeiten bei der Umsetzung von Zero Trust ist die „Readiness“. Die Implementierung eines Zero-Trust-Sicherheitsmodells ist heute wichtiger denn je, da die Mitarbeiter aufgrund der COVID-19-Pandemie vermehrt von zu Hause aus arbeiten müssen. Unternehmen stehen vor der enormen Herausforderung, nicht nur neue Formen von Cyberangriffen verstehen und bewältigen zu müssen, sondern auch eine komplexere Bedrohungslandschaft – eine, die mehr mobile Mitarbeiter umfasst als je zuvor. Je nachdem, wie ausgereift das Sicherheitsprogramm eines Unternehmens ist, wird es möglicherweise viel schwieriger erscheinen, Zero-Trust-Bereitschaft zu erreichen, als das vor der Pandemie der Fall war.
Die Technologien, die Zero Trust unterstützen, entwickeln sich weiter, und die Anbieter bemühen sich sehr, ein breites Spektrum an Lösungen auf den Markt zu bringen, sodass die Unternehmen mehr Optionen haben. Die Wahl der geeigneten Strategie und der besten Technologie für die speziellen Anforderungen eines Unternehmens erfordert Führungsstärke, sorgfältige Planung, Zeit und Ressourcen. Es geht um viel mehr als nur darum, die Denkweise zu ändern oder einen Kulturwandel herbeizuführen.
Angus Macrae, Head of Cyber Security
Eine der größten Herausforderungen ist wahrscheinlich die Frage, wie Sie den Übergang zu einem Zero-Trust-Modell praktisch bewerkstelligen, während Sie gleichzeitig die vorhandenen IT-Sicherheitstools und -architekturen weiternutzen müssen, in die Sie investiert haben und die wahrscheinlich auf eher perimeterbasierten Modellen aufbauen. Für die meisten Unternehmen wird der Übergang zu Zero Trust eher eine Evolution sein als eine Revolution oder eine Aufgabe, die zu einem bestimmten Zeitpunkt erledigt ist. Zero Trust erfordert eine grundlegende Änderung der Denkweise. Aus nicht-technologischer Perspektive betrachtet, wird es jedoch wichtiger denn je, dass ein Unternehmen und seine IT-Abteilung ein wirklich fundiertes Verständnis der Assets haben, die sie zu schützen versuchen.
Sarah Clarke, Data Protection & Security GRC, Infospectives
Als ich auf Zero Trust gestoßen bin, erst als Begriff und dann als Konzept, fiel es mir schwer, den Mehrwert herauszuarbeiten. Für mich war der Umgebungskontext ohnehin schon immer das wichtigste Element der Risikobewertung; allerdings hatte ich auch den Luxus, in größeren Firmen zu arbeiten, die das nötige Budget hatten, um sich um den Kontext zu kümmern, statt nur Brände löschen zu können. Der Löwenanteil des Risikos liegt innerhalb des Perimeters und draußen in der unbewachten Wildnis.
Die größte Herausforderung mag sein, dass Menschen, wenn sie sich mit verschiedenen Geräten verbinden oder mit ihnen arbeiten, leicht Fehler machen oder – sei es absichtlich oder zwangsläufig – Missbrauch treiben, damit die Dinge glatt laufen. Was Sie in erster Linie brauchen, ist eine gute Methode, um das relative Risiko zu bewerten und dabei alle Ressourcen, Assets und Standorte einzubeziehen. Dann können Sie eingehendere Analysen, Monitoring und Kontrollen priorisieren. Das hängt allerdings davon ab, wie viel Sie an Ihrem Technologie-Stack tatsächlich ändern können. Wie gut können wir mehrschichtige und miteinander vernetzte Clouds, mobile Geräte und die immer zahlreicheren, schwer durchschaubaren „Dinge“, die via Internet eng vernetzt sind, wirklich absichern?
Ross Moore, Cyber Security Support Analyst
Die größte Herausforderung könnte darin bestehen, grünes Licht von der Unternehmensleitung zu bekommen. Wie jedes andere große Projekt wird auch dieses auf Basis von Geschäftszahlen und Vertrauen genehmigt werden. Vor der vollständigen Genehmigung kann es stückweise in Angriff genommen werden. Ein Hindernis beim Beantragen von Ressourcen für dieses Projekt sind die hohen Gesamtkosten. Diese verteilen sich auf mehrere Geschäftsbereiche; das Projekt erfordert Zeit, Technologien, Infrastrukturen und qualifiziertes Personal zur Verwaltung sämtlicher Aspekte. Dass es dafür keine Gesamtlösung, kein Paket aus einer Hand gibt, macht den Prozess kompliziert, wenn auch nicht unmöglich. Während für einige Kosten, zum Beispiel für Multifaktor-Authentifizierung (MFA) oder Endpoint Detection and Response (EDR), ein geschäftlicher Return on Investment (ROI) wahrscheinlich gut nachgewiesen werden kann, lassen sich andere Aspekte möglicherweise schwerer quantifizieren. Gehen Sie Schritt für Schritt vor: Sehen Sie sich Ihre Zero-Trust-Roadmap an und picken Sie zuerst die Teile heraus, bei denen der ROI leicht nachweisbar ist, sowie diejenigen mit der größten Hebelwirkung.
Christopher Budd, Consultant, Autor
Zero Trust war schon immer relevant, doch jetzt kommen wir an den Punkt, an dem seine Notwendigkeit mit seiner Relevanz gleichzieht oder sie noch übertrifft. Das liegt daran, dass die Veränderungen in der Zusammensetzung von Netzwerken die Illusion zerstört haben, man könne „Netzwerken“ vertrauen.
Von BYOD-Initiativen, durch die unüberwachte Geräte in die Perimeternetzwerke gelangten, bis hin zum plötzlichen, großflächigen Umstieg aufs Homeoffice wegen COVID-19 haben uns viele Entwicklungen gezeigt, dass Netzwerken eben nicht vertraut werden kann. Deswegen ist Zero Trust unerlässlich. Eigentlich hätten wir unsere Netzwerke schon immer durch ein Zero-Trust-Prisma betrachten sollen, weil das die einzige Möglichkeit ist, Sicherheit zu gewährleisten.
Christine Izuakor, CEO, Cyber Pop-up
Das Beunruhigende in dieser Remote-Ära ist natürlich, dass die geografischen Grenzen durchlässig geworden sind und sich die Nutzer und Daten überall befinden können. Die Daten sind im Wohnzimmer Ihres Mitarbeiters. In seinem Keller. Sie sind im Café. Sie sind auf dem privaten iPad, das jemand seinem Kind für die Hausaufgaben leiht. All das weitet die Risikolandschaft dramatisch aus.
Das war schon früher ein Problem, doch mit dem derzeitigen Aufschwung der Telearbeit verschärft es sich zusätzlich. Telearbeit ist gut für die Zukunft des Geschäfts und die Art und Weise, wie wir arbeiten, doch sie erfordert eine sorgfältige Verwaltung der Zugriffe auf die Unternehmensressourcen, um das damit einhergehende Sicherheitsrisiko im Griff zu behalten. Die Frage lautet also: Wem kann man angesichts all dieser Daten und Bewegungen und der veränderten Umgebung noch vertrauen? Hier gewinnt der Grundsatz „never trust, always verify“ oder „Zero Trust“ entscheidende Bedeutung.
Haroon Malik, Cyber Security Director (EMEA), 6Clicks
Theoretisch könnte die Maxime, „nie zu vertrauen und alles zu überprüfen“, eine einfache Lösung sein, um Cybersicherheit zu gewährleisten. In der Praxis bringt das Zero-Trust-Modell jedoch eine Vielzahl von Komplikationen und neuen Herausforderungen mit sich. Vor allem deshalb, weil wir mittlerweile eine zunehmend verteilte und dezentrale Belegschaft haben, die auch Geräte aus den Bereichen IoT, Mobile und Robotik nutzt. Zu den größten Herausforderungen gehören Legacy-Systeme und -Anwendungen, die sich in der Regel nur schwer so rekonfigurieren oder umgestalten lassen, dass sie die Mikro-Segmentierungsanforderungen von Zero Trust erfüllen.
Zero Trust ist nicht out-of-the-box zu haben – es ist kein Produkt. Vielmehr handelt es sich meist um ein zeitaufwändiges und teures Programm, das von Grund auf aufgebaut werden muss, damit es den spezifischen Erfordernissen des jeweiligen Unternehmens entspricht. Die zentrale Herausforderung besteht darin, die Flüsse sensibler und kritischer Daten abzubilden; zu ermitteln, wer Zugriff auf diese Daten haben muss; und festzustellen, mit welchem Ansatz die Daten abgesichert werden können. Das kann ein äußerst kompliziertes Unterfangen sein, in das zahlreiche Interessensvertreter eingebunden werden müssen.
Randy Skopecek, Solutions Architect, PLM Insurance Co.
Wenn es darum geht, Zero-Trust-Sicherheit zu erreichen, kommen mir drei Dinge in den Sinn: Rückhalt im Unternehmen, Risikobewusstsein und Umsetzungsfähigkeit. Fehlen diese Voraussetzungen, werden Sie am Ende gegen Ihre eigenen Mitarbeiter kämpfen, ganz zu schweigen von den Kunden, und den Großteil Ihrer Zeit damit verschwenden. Ein Bewusstsein für die zu bewältigenden Risiken zu schaffen, kann eine sehr umfangreiche Aufgabe sein. Das Ausmaß hängt dabei insbesondere auch davon ab, in welchem Bereich Ihr Unternehmen tätig ist. Im Zuge der Risikobewertung ist es wichtig, ein Inventar anzulegen und dann kontinuierlich zu erweitern. Und schließlich müssen Sie die Fähigkeit zur Umsetzung haben. Prüfen Sie, ob Sie eines der Risikoziele selbst angehen können oder ob Sie Hilfe brauchen. Eine solche Hilfe kann auch einfach eine Beratung ohne Implementierung sein, damit die Kosten überschaubar bleiben. Andererseits sollten Sie sich nicht überfordern und dabei Ihre Infrastruktur gefährden.
Chris Hudson, Security Architect, Tripwire
Meiner Erfahrung nach gibt es zwei zentrale Herausforderungen, mit denen die IT beim Einstieg in Zero Trust zu kämpfen hat – sie muss die nötigen Anwendungstools zur Unterstützung von Zero-Trust-Initiativen finden und dem Rest des Unternehmens die neuen Kontrollen schmackhaft machen. Was die erste Herausforderung betrifft, sollten Sie sich fragen, welche Aspekte Ihrer bestehenden Implementierungen für Zero-Trust-Prozesse genutzt werden können. Dabei kann es nötig sein, nicht nur an die klassischen Sicherheitstools (wie Antivirus, Firewall-Protokolle und ähnliche Tools) zu denken. Die andere Überlegung ist, wie die Anwendungen für die verschiedenen Geschäftsbereiche die Authentifizierung und die Zugriffskontrollen handhaben sollten, um wirklich „Vertrauen bei jeder Transaktion“ zu gewährleisten statt nur „Sicherheit an der Schwelle“.
Für manche IT-Abteilungen mag es sich als schwierig erweisen, den Zero-Trust-Ansatz als praktische Option zu vermitteln, weil in vielen Unternehmen die Meinung herrscht, dass er auf der Skala „Sicherheit versus Benutzerfreundlichkeit“ auf der falschen Seite liegt. Zum Glück lassen sich diese Bedenken leicht ausräumen, wenn der CISO bereit ist, die Mechanismen hinter einem Zero-Trust-Ansatz auf verständliche Weise zu erklären.
Gabriel Whalen, Manager Information Security Solutions, CDW
Als jemand, der seine IT-Laufbahn in der Intelligence Community begonnen hat, weiß ich Zero Trust als einen programmatischen Weg zu schätzen, um alles abzusichern, was uns besonders wichtig ist. Gleichzeitig möchte ich aber darauf hinweisen, dass das Zero-Trust-Prinzip auch über die technischen Mittel hinaus angewandt werden muss. Die Mitarbeiter, Schulungen und die Entwicklung einer Kultur des Sicherheitsbewusstseins ist die letzte Verteidigungslinie und vielleicht die wichtigste.
Wenn Sie mehr darüber erfahren möchten, wie die Experten über Zero Trust denken und welche Ratschläge sie geben, um die Herausforderungen zu überwinden und Zero-Trust-Sicherheit zu schaffen, lesen Sie das E-Book von Thales, das hier zur Verfügung steht.
