Zero-Trust-Netzwerke: 6 Mythen, die Ihre Strategie ruinieren

Zero Trust ist im Unternehmensumfeld schwer angesagt. Wenn Sie aber bei der Umsetzung einer dieser sechs Mythen erlegen sind, sollten Sie Ihre Strategie grundlegend überdenken. [...]

Laut Forrester-Analyst Steve Turner missverstehen 50 bis 70 Prozent der Unternehmen die grundlegenden Konzepte und Prinzipien von Zero Trust, weil der Marketing-Hype überhand genommen hat. (c) Olivier Le Moal / stock.adobe.com

Laut der IDG-Studie „Security Priorities 2020“ steigt das Interesse an Zero-Trust-Technologien: 40 Prozent der Befragten gaben an, sich aktiv mit Zero Trust zu befassen. Im Jahr 2019 lag dieser Wert bei lediglich 11 Prozent. Bereits über Zero-Trust-Lösungen zu verfügen, gaben 18 Prozent der befragten Unternehmen an – mehr als doppelt so viele wie noch im Jahr 2018 (8 Prozent). Weitere 23 Prozent planen, Zero Trust in den nächsten zwölf Monaten einzusetzen.

Forrester-Analyst Steve Turner stellte im Rahmen seiner jüngsten Gespräche mit Unternehmenskunden allerdings fest, dass 50 bis 70 Prozent die grundlegenden Konzepte und Prinzipien von Zero Trust völlig missverstehen, weil der Marketing-Hype überhand genommen habe: „Wenn wir diese Kunden auf den Boden der Tatsachen zurückholen, steht am Ende meist die Erkenntnis, dass sie falsche Vorstellungen von Zero Trust hatten.“ Damit es Ihnen nicht so ergeht, haben wir sechs gängige Mythen und Missverständnisse rund um Zero-Trust-Netzwerke zusammengestellt.

„Zero Trust löst ein Technologieproblem“

Zero Trust ist keine Lösung für ein technisches Problem, sondern für ein Business-Problem, weiß Turner: „Der erste Schritt ist, zu verstehen, welches Geschäftsproblem man zu lösen versucht.“ John Kindervag, der das Zero-Trust-Modell entwickelt hat, betont ebenfalls die Notwendigkeit, sich auf die Geschäftsergebnisse zu konzentrieren und rät CISOs, dazu das Unternehmen einzubeziehen: „Wenn Sie Ihre geschäftlichen Anforderungen nicht kennen, werden Sie scheitern.“

„Zero Trust ist ein Produkt“

Ein weit verbreiteter Zero-Trust-Irrglaube: Zero Trust ist erfolgreich implementiert, wenn Identitätsmanagement, Zugangskontrolle und Netzwerksegmentierung zum Einsatz kommen. Kindervag, derzeit Senior Vice President für Cybersecurity-Strategie beim Security-MSP ON2IT, räumt mit diesem Mythos auf: „Zero Trust ist eine strategische Initiative, die darauf abzielt, Data Breaches zu verhindern. Kris Burkhardt, CISO von Accenture, beschreibt Zero Trust als „eine Reihe von Prinzipien“, die dem Aufbau einer sicheren Technologieumgebung dienen: „Niemand kann Ihnen eine Zero-Trust-Lösung verkaufen. Wenn Sie ein Produkt kaufen wollen, um Zero Trust umzusetzen, dann stellen Sie die falsche Frage“.

Forrester-Analyst Turner hatte bereits mit Kunden zu tun, die ein Produkt mit „Zero-Trust-Versprechen“ gekauft haben, ihre Herangehensweise aber in keiner Weise verändert haben: „Daten wurden nicht klassifiziert, es gab immer noch Mitarbeiter, Lieferanten und Auftragnehmer mit viel zu weitreichenden Zugriffsrechten und auch in Sachen Asset Management oder Netzwerk-Gepflogenheiten passierte nichts.“

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

„Zero Trust – gilt auch für die Mitarbeiter“

Wie Zero-Trust-„Vater“ Kindervag erklärt, ziele der Zero-Trust-Ansatz nicht darauf ab, Systeme vertrauenswürdig zu machen. Vielmehr gehe es darum, das Konzept des Vertrauens aus IT-Systemen zu verbannen: „Vertrauen ist eine Schwachstelle, die bei Datenschutzverletzungen ausgenutzt wird.“

Das werde manchmal auf eine Art und Weise fehlinterpretiert, dass das Unternehmen seinen Mitarbeitern plötzlich nicht mehr vertraue: „Es ist Aufgabe des CISOs, zu erklären, dass es hierbei nicht um persönliche Belange geht, sondern darum, Datenschutzverletzungen im Unternehmen zu verhindern, die potenziell alle Mitarbeiter betreffen.“

„Zero Trust ist schwer zu implementieren“

Kindervag sträubt sich darüber hinaus gegen die Vorstellung, Zero Trust sei schwer zu realisieren: „Das ist ein Mythos, der von denjenigen geschaffen wurde, die ihr Defense-in-Depth-Modell in Gefahr sehen. Zero Trust ist nicht kompliziert und sicherlich nicht teurer als das, was Unternehmen bereits jetzt tun. Dabei sind allerdings die Kosten einer Datenpanne noch nicht berücksichtigt.“

Turner stimmt zu, dass es heute viel einfacher sei, einen Zero-Trust-Ansatz in der Praxis umzusetzen: „Die Tools selbst haben sich verbessert und die Anbieter arbeiten jetzt produktlinienübergreifend zusammen.“

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

„Zero Trust geht nur so“

Im Laufe der Zeit haben sich laut Turner zwei Ansätze für den Zero-Trust-Einstieg herauskristallisiert. Eine Herangehensweise fokussiert auf das Identitätsmanagement, die andere auf die IT Security: „Einige Unternehmen beginnen mit dem Identitätsmanagement und gehen schnell dazu über, eine Multi-Faktor-Authentifizierung zu implementieren, die die einfachsten und schnellsten Erfolge bringt. Andere Unternehmen verfolgen einen netzwerkzentrierten Ansatz, bei dem sie zuerst die Mikrosegmentierung in Angriff nehmen, was etwas schwieriger sein kann.“

„SASE ist gleich Zero Trust“

Secure Access Service Edge (SASE) ist zu einem beliebten Mittel geworden, um in Sachen Zero Trust Fuß zu fassen. Das liegt daran, dass SASE das Security Management in die Cloud verlagert. Laut Turner hätten jedoch viele Unternehmen in den chaotischen Anfangstagen der Pandemie auf SASE zurückgegriffen, um das unmittelbare Problem der plötzlich remote tätigen Mitarbeiter zu lösen: „SASE-Lösungen sind nicht für hybride Modelle ausgelegt. Diese Unternehmen müssen jetzt zurück ans Reißbrett und Zero Trust als unternehmensweite Strategie konzipieren.“

* Neal Weinberg schreibt als freiberuflicher Autor unter anderem für unsere US-Schwesterpublikation Network World.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*