Sicherheitsmaßnahmen sind von entscheidender Bedeutung für den Schutz der kritischen Informationen eines Unternehmens. Dazu gehören Anwendungen, Endgeräte, Netzwerke und ähnliche Ressourcen, die in der heutigen IT-Umgebung sicher und relevant bleiben müssen. Unternehmen, die ihre Cyberresilienz erhöhen wollen, können auf die Sicherheitsmaßnahme „Zero Trust“ nicht verzichten.
Dieser Artikel erläutert die grundlegenden Informationen über Zero Trust, warum die Maßnahme für Ihr Unternehmen notwendig ist und was Sie bei der Einführung beachten sollten.
Was ist Zero Trust?
Zero Trust ist ein Sicherheitsansatz, bei dem die Sicherheit von allen Elementen, die auf Ihre zu schützenden Daten zugreifen, überprüft wird. Zero Trust trägt dazu bei, Bedrohungen für Informationsbestände nach dem Motto „Niemandem bedingungslos vertrauen“ zu verhindern.
Die heutige IT-Umgebung hat sich weiterentwickelt. Die Nutzung von Cloud-Services ist viel weiter verbreitet. Praktisch jeder trägt immer mindestens ein mobiles Gerät bei sich, und das Internet der Dinge (IoT) sorgt dafür, dass jeder mit jedem verbunden ist. Die Art und Weise, wie Benutzer auf Informationsressourcen zugreifen, wird ebenfalls immer vielfältiger. Es ist praktisch unmöglich, unsere Endgeräte, unser Netzwerk, unsere Daten und Anwendungen mit den herkömmlichen Sicherheitsmaßnahmen von gestern zu schützen.
Zero Trust verwirft das Konzept von „Grenzen und Perimetern“ in traditionellen Sicherheitsmaßnahmen. Dieser Ansatz verifiziert dagegen die Sicherheit, was optimale Sicherheitsmaßnahmen in einer sich ständig verändernden IT-Umgebung ermöglicht.1
Was macht Zero Trust-Sicherheitsmaßnahmen in der heutigen Zeit so attraktiv?
Traditionelle Sicherheitsmaßnahmen werden manchmal als „Perimetersicherheit“ bezeichnet. IT-Abteilungen legen oft Grenzen für interne Netzwerke fest.2
So kann beispielsweise das unternehmenseigene Netz sicher sein, aber alle externen Netze außerhalb des virtuellen privaten Netzes (VPN) Ihres Unternehmens können Gefahren darstellen. Dies hilft den IT-Abteilungen bei der Umsetzung von Sicherheitsmaßnahmen innerhalb und außerhalb des Netzwerkperimeters.3
An der Perimetergrenze werden Firewalls und andere Geräte installiert. Zudem werden Sicherheitsmaßnahmen für Kommunikationsinhalte getroffen, die innerhalb und außerhalb der Perimetergrenze ausgetauscht werden. Mit der Verbreitung von Cloud- und Edge-Technologien verschwimmen jedoch die Grenzen zwischen innerhalb und außerhalb des Unternehmens.
Herkömmliche Sicherheitsarchitekturen können keine optimale Sicherheit gegen „unbekannte Bedrohungen“ für diversifizierte IT-Umgebungen bieten. Daher ist sowohl der Ansatz von Zero Trust als auch die Überprüfung der Sicherheit von allem für die heutige IT-Umgebung geeignet. Architekturen, die dazu beitragen, Informationsbestände zu schützen sowie Katastrophen und Störungen, einschließlich Betrug und Angriffe von außen, zu verhindern, sind notwendig.
Unternehmen haben möglicherweise auch Probleme mit der herkömmlichen Sicherheit, wenn sie die Sicherung ihrer Architektur isoliert angehen. Dieser isolierte Ansatz kann zu einer silosierten tiefengestaffelten Architektur führen und die Resilienz gegenüber bekannten Bedrohungen erhöhen. Unternehmen, die diesen Ansatz verwenden, sind unbekannten Bedrohungen gegenüber gefährdet. Die Einführung eines integrierten Zero Trust-Frameworks und die radikale Änderung der Art und Weise, wie ein Unternehmen an Governance herangeht, trägt dazu bei, die Resilienz eines Unternehmens gegenüber unbekannten Bedrohungen zu erhöhen.
Was sind die Vorteile der Zero Trust-Sicherheit?
Zu den wichtigsten Vorteilen einer Zero Trust-Sicherheitsdenkweise gehören:
- Verbesserte Sicherheit ohne Perimeter mit verstärktem Identitäts- und Zugangsmanagement
- Schutz von Unternehmensbeständen, einschließlich Endpunkten, Anwendungen und Daten
- Gesicherte Cloud und Edge Services
- Sicheres Remote-Arbeiten und mobiles Arbeiten
Fernarbeit und moderne Cloud-orientierte Umgebungen können die herkömmliche Perimetersicherheit beeinträchtigen. Sie erschweren die Abgrenzung zwischen dem, was sich innerhalb und außerhalb des Unternehmensnetzwerks befindet. Zero Trust-Sicherheitsmaßnahmen tragen dazu bei, die Ausfallsicherheit aller Assets und der Kommunikation zu überprüfen, unabhängig davon, an welchem Ort die Mitarbeiter eines Unternehmens ihre Arbeiten verrichten.
In der heutigen diversifizierten, hybriden IT-Umgebung trägt die Einführung eines Zero Trust-Sicherheitskonzepts dazu bei, die Sicherheit Ihres Unternehmens zu stärken und Ihre Datenbestände zu schützen.
Was sollten Sie beachten, bevor Sie Zero Trust-Sicherheitsmaßnahmen einführen?
Bei der Einführung von Zero Trust-Sicherheitsmaßnahmen sind folgende Faktoren zu berücksichtigen:
- Kosten
- Zweckmäßigkeit
- Geschäftsziele
- Strategie, Framework und Architektur
- Kompetenzzentrum
Bevor Sie Zero Trust-Sicherheitsmaßnahmen einführen, sollten Sie ein spezifisches Framework, eine Architektur und ein Kompetenzzentrum für Zero Trust einrichten.
Um Zero Trust-Sicherheitsmaßnahmen zu implementieren, muss eine IT-Abteilung oft Folgendes erledigen:
- Ein integriertes Team mit den richtigen Fachkenntnissen zusammenstellen
- Ein Managementsystem und einen Mechanismus zur Identifizierung der wichtigsten zu schützenden Assets schaffen sowie die wichtigsten Anwendungsfälle zur Verwaltung gemeinsamer Governance- und Sichtbarkeitsfunktionen über die fünf Säulen von Zero Trust erstellen:
- Identität
- Daten
- Anwendungen
- Netzwerke
- Endpunkte4
Das Governance- und Managementsystem hilft bei der Einführung spezieller Lösungen für die gemeinsame Nutzung von Informationen und die optimale Verwaltung von Vorgängen. Dieses Verfahren hat zwar offensichtliche Vorteile, aber die Einführung ist mit anfänglichen Kosten und laufenden Kosten für die Verwaltung des Verfahrens verbunden.
Zero Trust-Sicherheitsmaßnahmen können VPNs, erhöhte Passworteingaben, Multi-Faktor-Authentifizierung und Apps zur Identitätsüberprüfung nutzen. Diese Tools können zwar die Cybersicherheit und die Resilienz erhöhen, aber sie können auch zu einer erhöhten Frustration der Mitarbeiter und einer geringeren Produktivität führen. Hier ist ein Beispiel: Ein Mitarbeiter muss einen mehrere Stunden dauernden Code ausführen. Er verwendet jedoch eine Sicherheitssoftware, die ihn vom VPN abmeldet, wenn der Computer eine 10-minütige Inaktivität des Cursors feststellt. Dies erfordert, dass der Mitarbeiter an seinem Schreibtisch sitzen bleiben muss, während der Code ausgeführt wird. Er muss in regelmäßigen Abständen den Cursor bewegen, um zu verhindern, dass er aus dem VPN gebootet wird und gezwungen ist, den Codierungsprozess neu zu starten.
Das heutige vielfältige Umfeld macht es erforderlich, über die konventionellen Sicherheitsmaßnahmen von gestern hinauszugehen. Unternehmen versuchen mittlerweile Cybersicherheit mit Wiederherstellungsfunktionen zu kombinieren, um die Resilienz im Cyberspace zu erhöhen. Zero Trust-Sicherheit ist für den Schutz heutiger Unternehmen von großer Bedeutung. Sie ergänzt andere wichtige Aspekte des Frameworks zur Cyberresilienz, einschließlich der Fähigkeit, Cybervorfälle zu antizipieren, darauf zu reagieren und sich davon zu erholen.
Erfahren Sie mehr darüber, wie Ihr Unternehmen von Zero Trust-Sicherheit profitieren kann.
Resources
- Zero Trust, NRI.
- What is Zero Trust? JB Service, 20 October 2022.
- What is Zero Trust, NTT Communications.
- Zero Trust Security, NRI Secure.