Weshalb ein Zero Trust-Ansatz für ein sicheres IT-Ökosystem unabdingbar ist
Die Digitalisierung gewinnt immer mehr an Bedeutung, unter anderem in Branchen wie dem Finanz- und Gesundheitswesen, der Fertigungsindustrie und dem Transportsektor. Die Integration von Technologien, die für die Geschäftsanforderungen relevant sind, erfordert ein Ökosystem aus qualifizierten IT-Experten, Systemen und Prozessen. Mit der Diversifizierung von Unternehmen werden auch die IT-Anforderungen immer komplexer. Benötigt werden unterschiedliche Technologien, Fachkenntnisse und maßgeschneiderte Lösungen. Neben der Erfüllung dieser Anforderungen muss das IT-Ökosystem auch die größte Herausforderung meistern: die Gewährleistung der Sicherheit.
Angesichts der hybriden Arbeitskultur, die inzwischen in allen Branchen weltweit vorherrscht, spielt IT heute eine wichtigere Rolle denn je. In der aktuellen Geschäftsumgebung benötigen mobile Nutzer, das hybride Arbeitsmodell nutzende Beschäftigte und Mitarbeitende von Drittanbietern Zugang zu Netzwerken, in denen zusammengearbeitet werden kann, und Zugriff auf gemeinsame Daten. Infolgedessen sind Unternehmen nun anfälliger für Cyberangriffe, Datendiebstahl, Ransomware-Angriffe und andere ausgefeilte Bedrohungen, die digitale Systeme und IT-Abläufe gefährden.
Diese Sicherheitsbedrohungen haben nicht nur Auswirkungen auf Systeme, sondern auch auf Mitarbeitende und ihre Produktivität. Ein anfälliges IT-System kann sensible Daten von zusammenarbeitenden Beschäftigten und Teams gefährden. Das untergräbt das Vertrauen der Mitarbeitenden in das Unternehmen und stellt dieses vor größere Herausforderungen. Dieser Faktor beeinflusst außerdem die Erfahrung der Endnutzer und beeinträchtigt das Geschäft, weil Kunden und Beschäftigte das Vertrauen in ihre Partner und Anbieter verlieren.
Einführung eines Zero Trust-Ansatzes
Die Entwicklung herkömmlicher Netzwerkarchitektur stützt sich auf das Perimetermodell, bei dem jedem ein gewisses Vertrauen entgegengebracht wird, sobald er sich im Netzwerk befindet. Doch moderne Trends wie das Hosting in der Cloud und hybrides Arbeiten stellen die klassische perimeterbasierte Netzwerkarchitektur in mancher Hinsicht vor Probleme. Beheben lassen sich diese durch die Implementierung eines Zero Trust-Sicherheitsmodells, mit dem sich der gesamte ein- und ausgehende Traffic eines Unternehmens verifizieren und autorisieren lässt. Eine solche Architektur kann so eingeführt werden, dass die Beschäftigten nicht durch Verbindungsprobleme oder andere Schwierigkeiten bei ihrer Arbeit behindert werden.
Ein Zero Trust-Sicherheitsframework versetzt IT-Teams in die Lage, den heutigen Bedrohungsherausforderungen zu begegnen, indem es wichtige Aspekte des IT-Betriebs wie Anwendungen, Netzwerkprozesse, identitätsbasierte Zugriffsschlüssel und Geräte einbezieht. Es begrenzt den Zugang zu IT-Ökosystemen, indem es den Nutzern je nach Funktion und Zuständigkeit weniger Rechte einräumt und bei der Erkennung ungewöhnlicher Aktivitäten automatische Warnmeldungen erzeugt. Diese strengen Zugangsregeln erlauben nur verifizierte und autorisierte Netzwerke, Anwendungen, Nutzer und Geräte im Netzwerk.
Warum Zero Trust?
Die Identitätsüberprüfung ist das neue Sicherheitsperimeter und legt Kontrollen auf Grundlage von Anmeldedaten, Kontext und Gerätezugriff auf interne Anwendungen, Daten und Infrastruktur fest. Mit der beschleunigten digitalen Transformation und der Einführung der Cloud gehen Unternehmen auch zu hybriden Arbeitsumgebungen über. Daher sind gründliche Sicherheitsüberprüfungen nötig, um sich gegen das wachsende Ausmaß und die zunehmende Bandbreite von Cyberangriffen und Sicherheitsbedrohungen zu schützen.
Zero Trust ermöglicht es Unternehmen, sicher und produktiv zu arbeiten, auch wenn Menschen und Daten auf verschiedene Umgebungen und Standorte verteilt sind. Es gibt zwar keine einheitliche Methode für die Einführung des Frameworks, doch die meisten Unternehmen können damit beginnen, den Einführungsprozess in drei Hauptschritte zu gliedern:
Vorausschauen: Um ein Zero Trust-Framework für ein Unternehmen zu schaffen, müssen zunächst alle Aspekte und Zusammenhänge sichtbar gemacht werden. Dies umfasst eine detaillierte Analyse der Risiken in Bezug auf die Ressourcen des Unternehmens, die Zugriffsmethoden und die Nutzung. Wenn beispielsweise die Rechtsabteilung auf eine Datenbank zugreifen muss, in der vertrauliche Kundendaten gespeichert sind, bergen Schlupflöcher in solchen Verbindungen erhebliche Gefahren. Der Prozess der Evaluierung und Bewertung von Ressourcen und der Notwendigkeit, auf sie zuzugreifen, wird sich also unweigerlich weiterentwickeln, wenn das Unternehmen expandiert. Ebenso weiterentwickeln werden sich die mit diesen Elementen verbundene Bedeutung und das damit einhergehende Risiko. Wenn Unternehmen das Zero Trust-Framework anwenden möchten, sollten sie daher mit den Bereichen beginnen, die ihrer Einschätzung nach am wichtigsten und am anfälligsten sind, und damit bis zur vollständigen Einführung des Rahmenwerks schrittweise fortfahren.
Abwehren: Bei diesem Schritt können Unternehmen alle potenziellen Schwachstellen, Bedrohungen und Angriffswege ermitteln. In dieser Phase werden Prioritäten gesetzt und die Probleme nacheinander angegangen. Das Unternehmen muss dann Prozesse und Tools zur automatischen Erkennung neuer Schwachstellen entwickeln. Darüber hinaus könnte es Methoden geben, die Angriffe automatisch verhindern oder die Auswirkungen minimieren (z. B. durch die Kontrolle der Daten, die preisgegeben werden).
Ausführen: In dieser Phase müssen die Unternehmen ihre Richtlinien und Standards auf alle Facetten der IT ausweiten. Die Bewertung des Frameworks ist von entscheidender Bedeutung, um seine Wirksamkeit und Verwendbarkeit während der Ausweitung auf die Probe zu stellen. Bei der Implementierung von Sicherheits-Frameworks wie Zero Trust sollten Unternehmen den Schwerpunkt auf die Benutzerfreundlichkeit legen, weil ansonsten ein Verstoß gegen rechtliche Vorgaben und eine geringere Produktivität drohen.
Das Zero Trust-Framework ermöglicht die Überprüfung von Berechtigungsnachweisen auf jeder Ebene und schützt so vertrauliche Geschäfts- und Personendaten. Unternehmen aus allen Branchen, die die digitale Transformation vorantreiben und ihren Betrieb in die Cloud verlagern, können Zero Trust implementieren, um eine robuste und sichere Netzwerkinfrastruktur zu schaffen. Die Herausforderung besteht jedoch darin, dass in vielen Unternehmen die Verantwortung für Netzwerke und Sicherheit in verschiedenen Bereichen angesiedelt ist und die betreffenden Gruppen oft auf unterschiedliche Anbieter zurückgreifen. Für die Anwendung von Zero Trust ist es entscheidend, die Mauern zwischen Sicherheits- und Netzwerkteams einzureißen und die richtigen Tools, Produkte und Anbieter auszuwählen, die mit den Geschäftszielen in Einklang stehen. Heute ist es für Unternehmen wichtiger denn je, mit dem IT-Ökosystem zusammenzuarbeiten, um eine erfolgreiche Einführung von Zero Trust zu gewährleisten.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Dieser Artikel wurde ursprünglich für CXO Today verfasst.
Autor
John Engates — @jengates
Technology Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Wie ein Zero Trust-Sicherheitsframework IT-Abteilungen in die Lage versetzt, den Bedrohungsherausforderungen der heutigen Zeit zu begegnen
Drei Schritte für den Beginn der Einführung von Zero Trust