Zero-Trust-Netzwerke: 6 Mythen, die Ihre Strategie ruinieren

Zero Trust ist im Unternehmensumfeld schwer angesagt. Wenn Sie aber bei der Umsetzung einer dieser sechs Mythen erlegen sind, sollten Sie Ihre Strategie grundlegend überdenken. [...]

Laut Forrester-Analyst Steve Turner missverstehen 50 bis 70 Prozent der Unternehmen die grundlegenden Konzepte und Prinzipien von Zero Trust, weil der Marketing-Hype überhand genommen hat. (c) Olivier Le Moal / stock.adobe.com

Laut der IDG-Studie „Security Priorities 2020“ steigt das Interesse an Zero-Trust-Technologien: 40 Prozent der Befragten gaben an, sich aktiv mit Zero Trust zu befassen. Im Jahr 2019 lag dieser Wert bei lediglich 11 Prozent. Bereits über Zero-Trust-Lösungen zu verfügen, gaben 18 Prozent der befragten Unternehmen an – mehr als doppelt so viele wie noch im Jahr 2018 (8 Prozent). Weitere 23 Prozent planen, Zero Trust in den nächsten zwölf Monaten einzusetzen.

Forrester-Analyst Steve Turner stellte im Rahmen seiner jüngsten Gespräche mit Unternehmenskunden allerdings fest, dass 50 bis 70 Prozent die grundlegenden Konzepte und Prinzipien von Zero Trust völlig missverstehen, weil der Marketing-Hype überhand genommen habe: „Wenn wir diese Kunden auf den Boden der Tatsachen zurückholen, steht am Ende meist die Erkenntnis, dass sie falsche Vorstellungen von Zero Trust hatten.“ Damit es Ihnen nicht so ergeht, haben wir sechs gängige Mythen und Missverständnisse rund um Zero-Trust-Netzwerke zusammengestellt.

„Zero Trust löst ein Technologieproblem“

Zero Trust ist keine Lösung für ein technisches Problem, sondern für ein Business-Problem, weiß Turner: „Der erste Schritt ist, zu verstehen, welches Geschäftsproblem man zu lösen versucht.“ John Kindervag, der das Zero-Trust-Modell entwickelt hat, betont ebenfalls die Notwendigkeit, sich auf die Geschäftsergebnisse zu konzentrieren und rät CISOs, dazu das Unternehmen einzubeziehen: „Wenn Sie Ihre geschäftlichen Anforderungen nicht kennen, werden Sie scheitern.“

„Zero Trust ist ein Produkt“

Ein weit verbreiteter Zero-Trust-Irrglaube: Zero Trust ist erfolgreich implementiert, wenn Identitätsmanagement, Zugangskontrolle und Netzwerksegmentierung zum Einsatz kommen. Kindervag, derzeit Senior Vice President für Cybersecurity-Strategie beim Security-MSP ON2IT, räumt mit diesem Mythos auf: „Zero Trust ist eine strategische Initiative, die darauf abzielt, Data Breaches zu verhindern. Kris Burkhardt, CISO von Accenture, beschreibt Zero Trust als „eine Reihe von Prinzipien“, die dem Aufbau einer sicheren Technologieumgebung dienen: „Niemand kann Ihnen eine Zero-Trust-Lösung verkaufen. Wenn Sie ein Produkt kaufen wollen, um Zero Trust umzusetzen, dann stellen Sie die falsche Frage“.

Forrester-Analyst Turner hatte bereits mit Kunden zu tun, die ein Produkt mit „Zero-Trust-Versprechen“ gekauft haben, ihre Herangehensweise aber in keiner Weise verändert haben: „Daten wurden nicht klassifiziert, es gab immer noch Mitarbeiter, Lieferanten und Auftragnehmer mit viel zu weitreichenden Zugriffsrechten und auch in Sachen Asset Management oder Netzwerk-Gepflogenheiten passierte nichts.“

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

„Zero Trust – gilt auch für die Mitarbeiter“

Wie Zero-Trust-„Vater“ Kindervag erklärt, ziele der Zero-Trust-Ansatz nicht darauf ab, Systeme vertrauenswürdig zu machen. Vielmehr gehe es darum, das Konzept des Vertrauens aus IT-Systemen zu verbannen: „Vertrauen ist eine Schwachstelle, die bei Datenschutzverletzungen ausgenutzt wird.“

Das werde manchmal auf eine Art und Weise fehlinterpretiert, dass das Unternehmen seinen Mitarbeitern plötzlich nicht mehr vertraue: „Es ist Aufgabe des CISOs, zu erklären, dass es hierbei nicht um persönliche Belange geht, sondern darum, Datenschutzverletzungen im Unternehmen zu verhindern, die potenziell alle Mitarbeiter betreffen.“

„Zero Trust ist schwer zu implementieren“

Kindervag sträubt sich darüber hinaus gegen die Vorstellung, Zero Trust sei schwer zu realisieren: „Das ist ein Mythos, der von denjenigen geschaffen wurde, die ihr Defense-in-Depth-Modell in Gefahr sehen. Zero Trust ist nicht kompliziert und sicherlich nicht teurer als das, was Unternehmen bereits jetzt tun. Dabei sind allerdings die Kosten einer Datenpanne noch nicht berücksichtigt.“

Turner stimmt zu, dass es heute viel einfacher sei, einen Zero-Trust-Ansatz in der Praxis umzusetzen: „Die Tools selbst haben sich verbessert und die Anbieter arbeiten jetzt produktlinienübergreifend zusammen.“

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

„Zero Trust geht nur so“

Im Laufe der Zeit haben sich laut Turner zwei Ansätze für den Zero-Trust-Einstieg herauskristallisiert. Eine Herangehensweise fokussiert auf das Identitätsmanagement, die andere auf die IT Security: „Einige Unternehmen beginnen mit dem Identitätsmanagement und gehen schnell dazu über, eine Multi-Faktor-Authentifizierung zu implementieren, die die einfachsten und schnellsten Erfolge bringt. Andere Unternehmen verfolgen einen netzwerkzentrierten Ansatz, bei dem sie zuerst die Mikrosegmentierung in Angriff nehmen, was etwas schwieriger sein kann.“

„SASE ist gleich Zero Trust“

Secure Access Service Edge (SASE) ist zu einem beliebten Mittel geworden, um in Sachen Zero Trust Fuß zu fassen. Das liegt daran, dass SASE das Security Management in die Cloud verlagert. Laut Turner hätten jedoch viele Unternehmen in den chaotischen Anfangstagen der Pandemie auf SASE zurückgegriffen, um das unmittelbare Problem der plötzlich remote tätigen Mitarbeiter zu lösen: „SASE-Lösungen sind nicht für hybride Modelle ausgelegt. Diese Unternehmen müssen jetzt zurück ans Reißbrett und Zero Trust als unternehmensweite Strategie konzipieren.“

* Neal Weinberg schreibt als freiberuflicher Autor unter anderem für unsere US-Schwesterpublikation Network World.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*