Das führende Null-Trust-Prinzip – „nie vertrauen, immer verifizieren“ – ist zu einer wesentlichen Praxis geworden, um die komplexen und vielfältigen Cloud-Netzwerke von heute zu sichern. Vor nicht allzu langer Zeit konnten Sie die Haustür Ihres Unternehmens schließen und sich sicher sein, dass all Ihre wertvollen Informationen in diesen Wänden sicher waren. Dann kamen Laptops und Festplatten und Memory-Sticks – und jede so oft hörte man eine Geschichte darüber, dass jemand irgendwo Staatsgeheimnisse in einem Zug hinterlässt. Heute sind die Daten Ihres Unternehmens potenziell überall dort verfügbar, wo Konnektivität besteht. Und mit dem beispiellosen Anstieg der entlegenen und verteilten Belegschaft kann „überall“ buchstäblich „überall auf der Welt“ sein.

Heutzutage laufen die besten Softwarelösungen alle in der Cloud – um nichts von den Millionen vernetzter Geräte und Anlagen in den industriellen IoT-Netzwerken der Welt zu sagen. Während Cloud-Anwendungen in der Regel nicht weniger sicher sind als On-Premise-Anwendungen – ganz im Gegenteil –, gibt es in der heutigen vernetzten Welt neue Risiken. Digitale und Cloud-Technologien haben das erweitert, was Sicherheitsexperten die Angriffsfläche jedes Unternehmens nennen.

Traditionelle Cybersicherheitsprotokolle wurden auf die Idee zurückgeführt, dass Benutzer die Sicherheit an der virtuellen Haustür des Unternehmens durchmachen und dann den Ort nutzen konnten, wenn sie eingetroffen sind. Mit anderen Worten, sie wurden in einer Pre-Cloud-Welt entwickelt. Aber jetzt gibt es mehr Zugangspunkte – das persönliche Telefon eines Mitarbeiters oder ein IoT-Drucker könnte ein potenzielles Portal sein – und Unternehmen mussten ihre Sicherheitsstrategien durchbrechen. Mit Cyberangriffen auf Rekordhöhe sollte die Netzwerksicherheit in einer Prioritätsposition ganz oben auf Ihrer To-Do-Liste stehen. Die Implementierung von Zero Trust erfordert Engagement und Zusammenarbeit im gesamten Unternehmen.

Zero Trust: Definition und Strategie

John Kindervag arbeitete 2010 als Analyst bei Forrester Research – zu einer Zeit, in der Cloud-Anwendungen und IoT-Geräte ihren rasanten Aufstieg begannen. Zu Recht erkannte Kindervag die enorme Sensibilität und den enormen Wert der Daten und des geistigen Eigentums in den Systemen von Forrester. Als Reaktion auf dieses wachsende Risiko prägte er den Begriff Zero Trust und leitete die Entwicklung vieler seiner Kernprinzipien.

Zero Trust kann als IT-Sicherheitsmodell definiert werden, bei dem jeder Benutzer und potenziell verbundene Geräte genau überprüfen muss, ob sie sich innerhalb oder außerhalb der Perimeter des Unternehmens befinden. Zero Trust Architecture (ZTA) basiert auf einer Reihe von Prozessen und Protokollen sowie speziellen digitalen Lösungen und Tools, um erfolgreich zu sein.

Zero Trust Network Access (ZTNA) ist die Anwendung einer Zero-Trust-Architektur, die Gartner als die Schaffung einer „identitäts- und kontextbasierten, logischen Zugriffsgrenze um eine Anwendung oder einen Satz von Anwendungen“ definiert. Dadurch werden diese Anwendungen aus der öffentlichen Sicht entfernt und nur die Benutzer zugelassen, die verifiziert sind und die vordefinierten Zugriffsrichtlinien einhalten.

Aber in Wirklichkeit beginnt Null Vertrauen als kulturelle Transformation in Ihrem Unternehmen. Wir neigen dazu, an Cybersicherheit in Bezug auf schlechte Akteure zu denken, die absichtlich versuchen, Schaden zu verursachen, aber leider ist es oft Ignoranz statt Malevolenz, die zu Risiko und Verlust führt. Tatsächlich zeigt ein aktueller Bericht einen Anstieg der E-Mail-Angriffe um 48 % in nur dem ersten Halbjahr 2022, in dem Mitarbeiter aufgrund von Phishing in Betrügereien oder Details gelockt wurden. Dies verdeutlicht, warum Bildung und kulturelle Akzeptanz ein so kritischer Bestandteil der Null-Trust-Implementierung sind.

Warum sind Null-Trust-Prinzipien gerade so notwendig?

Es gibt wenig Zweifel, dass Cyberangriffe auf dem Vormarsch sind. 2022 wurde eine große Umfrage an 1.200 großen Unternehmen in 14 verschiedenen Branchen und 16 Ländern durchgeführt. Trotz der Priorisierung der Cybersicherheit gaben viele der Befragten zu, eine unzureichende Sicherheit zu haben. Tatsächlich zeigten die Ergebnisse in den Monaten 2020 bis 2021 einen alarmierenden Anstieg der Zahl der wesentlichen Verstöße um 20,5 %.

Im Folgenden sind einige der anderen Sicherheitsprobleme aufgeführt, mit denen Unternehmen von heute konfrontiert sind:

• Alte Firewalls. Viele Unternehmen sind zu stark auf Firewalls angewiesen, die vor der zunehmenden Verbreitung der Cloud-Konnektivität lagen. VPNs sind ein praktikables Hilfsmittel, um Firewalls zu erweitern, aber sie sind aufgrund ihres begrenzten Umfangs und ihrer Tendenz, die Performance von Geschäftsanwendungen zu verlangsamen, keine effektive langfristige Lösung, was sich wiederum auf die Mitarbeiterproduktivität auswirkt.
• Komplexität der Verifizierung. Geräteunabhängige Software eignet sich hervorragend für Benutzer, fügt aber eine komplexe Schicht zu Sicherheitsprotokollen hinzu. Selbst wenn Benutzer über Telefone und Laptops des Unternehmens verfügen, sind sie nur so sicher wie die Verifizierungs- und Sicherheitsprotokolle, die vorhanden sind, um sie zu schützen.
• Geräte von Drittanbietern. Mit der Pandemie wurden ganze Arbeitskräfte von zu Hause aus entsandt – fast über Nacht. Viele Unternehmen hatten keine andere Wahl, als den Mitarbeitern die Nutzung eigener Computer und Geräte zu ermöglichen. In vielen Fällen wurden Behelfslösungen für die Sicherheit entwickelt, um den Geschäftsbetrieb und die Beleuchtung aufrechtzuerhalten. Für viele Unternehmen ist es jedoch noch nicht gelungen, diese vorübergehenden Maßnahmen zu entschärfen und für ihre Mitarbeiter im Homeoffice bulletproof Zero Trust Maßnahmen umzusetzen.
• Nicht autorisierte Anwendungen. Die Nutzung von SaaS-Business-Apps verläuft stetig nach oben. Leider sind viele IT-Teams eng gestreckt, was häufig dazu führt, dass Benutzer auf den Kauf ihrer eigenen Apps zurückgreifen und sie im Unternehmensnetzwerk verwenden, ohne ihre IT-Teams zu informieren. Diese Apps unterliegen nicht nur strengen Null-Trust-Praktiken, sondern haben möglicherweise auch Sicherheitsmaßnahmen gänzlich umgangen.

• IoT-Konnektivität. Ein industrielles IoT-Gerät kann so einfach sein wie ein Lüfter oder eine Schweißmaschine. Da diese Geräte nicht als „Computer“ jeglicher Art betrachtet werden, können Nutzer leicht vergessen, dass sie ein potenzieller Zugangspunkt in das Unternehmensnetzwerk sind. Die Zero-Trust-Architektur stellt Automatisierungen und Prozesse bereit, die die Sicherheit für alle Endpunkte, Maschinen und IoT-Anlagen gewährleisten.
• Omnichannel-Portale. Mitarbeiter sind nicht die einzigen in Ihrer Business Cloud. Zunehmend sehen wir vernetzte Geräte wie intelligente Regale in Filialen und mobile Apps, die überall bezahlen. Jedes dieser Omnichannel-Portale stellt ein Risiko dar. Zero Trust trägt dazu bei, diese Risiken ohne unnötige Unannehmlichkeiten oder Verzögerungen für Ihre Kunden abzusichern.
• ERP-Sicherheitsherausforderungen. In den vergangenen Jahren waren ERP-Systeme auf bestimmte Planungs- und Finanzaufgaben beschränkt und verfügten über eine begrenzte Anzahl von Benutzern im Unternehmen. Die besten Cloud-ERP-Systeme von heute werden jedoch von KI, fortschrittlichen Analysen und leistungsstarken, skalierbaren Datenbanken angetrieben. Sie haben die Möglichkeit, in unterschiedliche Anwendungen und Systeme im gesamten Unternehmen zu integrieren, und werden zunehmend genutzt, um jeden operativen Bereich zu optimieren und zu optimieren. Moderne ERP-Systeme verfügen über fortschrittliche Sicherheitssysteme, aber wie jedes System verfügen sie über Schwachstellen, die nur mit größerer Reichweite und Barrierefreiheit verbunden sind. Zero-Trust-Prinzipien, wenn sie auf eine starke Cloud-ERP-Sicherheit angewendet werden, tragen dazu bei, Ihr Unternehmen in jeder Phase zu schützen.

Wie funktioniert Zero Trust?

Zero Trust kombiniert eine Reihe von Technologien und Protokollen wie Multifaktorauthentifizierung, Endpunktsicherheitslösungen und cloudbasierten Tools, um eine Vielzahl von Attributen und Identitäten zu überwachen und zu verifizieren – von Benutzern bis hin zu Endpunkten. Zero Trust erfordert auch die Verschlüsselung von Daten, E-Mails und Workloads, um deren Sicherheit zu gewährleisten. Im Wesentlichen Zero-Trust-Protokolle:

• Steuern und beschränken Sie den Netzwerkzugriff von jedem, überall und über jedes Gerät oder jede Anlage.
• Überprüfen Sie alle Benutzer oder Assets, die Zugriff auf jede Ebene des Netzwerks haben oder erhalten könnten.
• Erfassen und Prüfen des gesamten Netzwerkverkehrs in Echtzeit

Ein Zero-Trust-Sicherheitsmodell verwendet eine Need-to-Know-Richtlinie. Im Wesentlichen bedeutet dies, dass Benutzer nur Zugriff auf die Daten und Anwendungen haben, die sie für ihre Arbeit benötigen. Und wieder einmal ist Technologie das zweischneidige Schwert im Rennen um bessere Cybersicherheit. Mit der Verbesserung digitaler Lösungen und Konnektivität schaffen sie eine größere Angriffsfläche, sodass bessere und schnellere Sicherheitstechnologien erforderlich sind, um Schritt zu halten. Und nicht nur mithalten, sondern auch minimale Unannehmlichkeiten und Störungen für den Benutzer verursachen. Dies erfordert hochflexible und dynamische Sicherheitsrichtlinien, die durch Kontextinformationen und die maximale Anzahl verfügbarer Datenpunkte unterstützt werden – und zwar in Echtzeit. Wer ist diese Person? Wo sind sie? Worauf wollen sie zugreifen? Warum benötigen sie diesen Zugriff? Auf welchem Gerät oder Endpunkt kommen sie ein?

Vorteile von Zero-Trust-Lösungen

Ihre schwerwiegendsten Datenschutzverletzungen können katastrophal sein. Die privaten Daten Ihrer Kunden stehen ebenso auf dem Spiel wie Ihre Finanzen, Ihr geistiges Eigentum und natürlich auch Ihr guter Ruf. Wie Versicherungen können Sicherheitsinvestitionen wie ein großer Aufwand erscheinen, bis Sie sie benötigen. Und dann sehen sie aus wie ein kleiner Preis zu zahlen, um Ihr Unternehmen zu schützen.

Zu den vielen Vorteilen von Zero-Trust-Lösungen gehören:

• Schutz von hybriden und Remote-Mitarbeitern. Wir haben erörtert, wie Mitarbeiter aus der Ferne und persönliche Geräte das Cybersicherheitsspiel unterstützt haben. Doch nicht nur Ihr Unternehmen ist gefährdet. Cyberkriminelle können Ihre Mitarbeiter persönlich ansprechen, daher ist es wichtig sicherzustellen, dass strenge Maßnahmen getroffen werden, um ihr Risiko und Ihr Risiko zu reduzieren.
• Unterstützung von Agilität und neuen Geschäftsmodellen. Um im Wettbewerb zu bestehen und Störungen zu bewältigen, müssen Unternehmen in der Lage sein, neue Geschäftsmodelle zu entwickeln und zu erkunden. Das bedeutet das Onboarding neuer Anwendungen, Software und vernetzter Assets. Die Sicherheit unter diesen Umständen zu gewährleisten, ist eine schwierige Aufgabe, wenn sie manuell gehandhabt wird. Glücklicherweise können die besten Zero-Trust-Software-Tools die Dinge mit intelligenter Automatisierung und anpassbaren Lösungen beschleunigen, die sicherstellen, dass alle wichtigen Schritte unternommen werden.
• Senkung der IT-Ressourcenkosten. Fragen Sie jeden IT-Experten, wie viel Zeit er mit manuellen Sicherheitsaufgaben verbringt – die Antwort ist wahrscheinlich „zu viel“. Da Unternehmen ihre Kernunternehmenssysteme in die Cloud verlagern, können Sicherheitspatches und -aktualisierungen automatisiert und im Hintergrund ausgeführt werden. Dies gilt auch für Zero-Trust-Sicherheitsprotokolle. Von Benutzern bis hin zu Endpunkten können viele der zentralen Verschlüsselungs- und Verifizierungsaufgaben, die mit Zero Trust verbunden sind, automatisiert und eingeplant werden.
• Bereitstellung eines genauen Bestands. Nullvertrauensgrundsätze erfordern, dass das Unternehmen einen genauen Bestand aller Assets, Benutzer, Geräte, Anwendungen und verbundenen Ressourcen führt. Mit den richtigen Lösungen können Bestandsaktualisierungen automatisch aktualisiert werden, um die Genauigkeit in Echtzeit sicherzustellen. Im Falle eines versuchten Verstoßes ist dies ein unschätzbares Ermittlungsinstrument. Darüber hinaus haben Unternehmen oft Millionen von Vermögenswerten gebunden, sodass eine genaue Bestandsaufnahme auch einen finanziellen Vorteil darstellt.
• Bessere Benutzerfreundlichkeit Herkömmliche Verifizierungsprozesse könnten langsam und schwierig zu handhaben sein. Dies führte dazu, dass Benutzer entweder versuchten, Sicherheitsprotokolle zu umgehen oder sogar die Verwendung wichtiger Tools und Anwendungen zu vermeiden, da sie schwer zu verwenden waren. Die besten Null-Trust-Lösungen wurden entwickelt, um unaufdringlich und reaktionsschnell zu sein und Mitarbeiter von der Mühe zu entlasten, Kennwörter zu erfinden (und dann zu vergessen) und Prozesse zur Überprüfung langsam zu reagieren.

Zero Trust Best Practices: Erste Schritte

Es gibt mehrere Aufgaben, die Sie nach Beginn Ihrer Zero-Trust-Transformation ausführen müssen. Dazu gehören die Katalogisierung Ihrer Anlagen, die Definition von Segmenten in Ihrem Unternehmen und die Klassifizierung Ihrer Daten für einen reibungsloseren Übergang.

Zero Trust beginnt mit einer Verpflichtung, und die folgenden Schritte können Ihnen helfen, rollierend zu werden:

• Delegieren. Ihr IT-Team ist bereits zu beschäftigt. Erwägen Sie, einen speziellen Experten für das Änderungsmanagement für Cybersicherheit einzubinden oder zu benennen, der Ihnen dabei helfen kann, Risiken zu mindern, Verbesserungspotenziale zu erkennen und eine praktikable Roadmap zu erstellen.
• Kommunizieren. Seien wir ehrlich, Ihre Mitarbeiter werden nicht sofort von den Neuigkeiten über strengere Sicherheitsmaßnahmen begeistert sein. Wenn Sie in mehr Sicherheit investieren, sollten Sie auch in ansprechendere Botschaften und Kommunikation rund um diese Transformation investieren. Es gibt viele praktische Beispiele für die Gefahren von Cyberkriminalität. Helfen Sie Ihren Teams zu verstehen, dass es nicht nur die Geschäftsführung ist, die von einer Datenschutzverletzung betroffen ist – sie kostet Jobs, wirkt sich auf Einzelpersonen aus und bedroht das Überleben des Unternehmens.
• Audit. Erstellen Sie in Zusammenarbeit mit einem Sicherheitsspezialisten eine Checkliste der Sicherheitsrisiken, und prüfen Sie die einzelnen Geschäftsbereiche. Brechen Sie Silos auf und vernetzen Sie sich mit Fachexperten in Ihrem gesamten Team. Sie wissen besser als jeder andere, wo sich die Schwächen und Schwachstellen in ihren Bereichen befinden – insbesondere in komplexen, globalen Abläufen wie Lieferketten und Logistik.
• Priorisierung Ermitteln Sie die relative Wichtigkeit und Dringlichkeit all Ihrer Geschäftsvorgänge und -aufgaben, und ordnen Sie eine Bewertung zu. Ermitteln Sie eine rollenbasierte Bewertung, wer kritisch Zugriff auf Dinge benötigt und wer weniger. Diese anfängliche Priorisierung hilft Ihnen auch dabei, Sie auf die Mikrosegmentierung vorzubereiten, die ein grundlegender Bestandteil von Zero Trust ist und die laterale Bewegung und die damit verbundenen Datenschutzverletzungen verhindert.

In der heutigen Welt der Euphemismen und der sorgfältigen Sprache mag null Vertrauen für Ihre Mitarbeiter wie ein etwas zynischer Begriff erscheinen. Gehen Sie also davor los, wenn Sie Ihren Teams kein Vertrauen schenken. Sagen Sie ihnen von Anfang an, dass das in keiner Weise bedeutet, dass Sie ihnen nicht trauen. Es sind die Cyberkriminellen, denen niemand vertrauen sollte – weil sie Dinge so erscheinen lassen können, wie sie es nicht sind. Sie können sich durch die kleinsten Lücken einschleichen und sobald sie drinnen sind, ist es ihnen egal, wen sie beschädigen.