Absolute Software räumt auf: Vier Mythen über Zero Trust

In den vergangenen Jahren hat sich Zero Trust von einem Schlagwort zu einer strategischen Initiative für Unternehmen entwickelt, die mit den Anforderungen an die Sicherung einer komplexen Umgebung jonglieren müssen. [...]

Foto: VINJD/Pixabay

Diese umfasst häufig On-Premises- und Cloud-Anwendungen, eine hybride Belegschaft und eine wachsende Anzahl von Identitäten. Es ist diese neue Welt, in der IT-Umgebungen und Benutzer zunehmend verteilt sind, die die Einführung von Zero Trust vorantreibt. Anstelle des „Castle-and-Moat“-Ansatzes, bei dem Geräte innerhalb des Netzwerks als vertrauenswürdig gelten, basiert das Zero-Trust-Modell auf der Idee, dass Benutzern und Geräten niemals standardmäßig vertraut werden sollte.

Allerdings gibt es rund um Zero Trust noch so einige Missverständnisse, die Absolute Software in der Folge unter die Lupe nimmt.

Richtiggemacht, kann es die Angriffsfläche reduzieren und dabei helfen, Daten und Anwendungen zu schützen, während Unternehmen ihre Cloud-Pläne verfolgen. Doch auch wenn Zero Trust immer häufiger eingesetzt wird, gibt es immer noch eine Reihe von technischen und geschäftlichen Hindernissen für die Implementierung. Die vielleicht problematischsten sind mangelndes Wissen und Widerstand gegen Veränderungen.

Laut einer im Juni von der Cloud Security Alliance (CSA) veröffentlichten Studie halten etwa 80 Prozent der Führungskräfte Zero Trust für eine „mittlere“ oder „hohe“ Priorität in ihrem Unternehmen.

Auf die Frage nach den größten Hindernissen für die Einführung von Zero Trust nannten 37 Prozent der Befragten einen Mangel an Wissen und Erfahrung. 23 Prozent nannten den Widerstand gegen Veränderungen, 29 Prozent den Mangel an interner Abstimmung und 21 Prozent das Fehlen einer formellen Strategie. Weitere Antworten betrafen den zusätzlichen Personalbedarf (31 Prozent) und das Fehlen eines Sponsors auf Führungsebene (26 Prozent).

Ein wichtiger Teil der Einführung von Zero Trust ist die Kommunikation darüber, was Zero Trust ist, was es erfordert und wie es sich auf Ihre Geschäfts- und IT-Prozesse auswirken kann. Um den Marketing-Hype von der Realität zu trennen, müssen Unternehmen nach Meinung von Absolute Software mindestens mit vier gängigen Mythen und Missverständnissen rund um Zero Trust aufräumen.

Mythos 1: Zero Trust ist nur etwas für große Unternehmen

Es ist eine bedauerliche Tatsache, dass Cyberangreifer häufig kleine Unternehmen ins Visier nehmen. Da KMU ebenso Technologien wie die Cloud und das Internet der Dinge nutzen, können sie durch die Durchsetzung von Zero Trust strenge Zugangskontrollen einführen, die ihre Umgebung schützen können.

Die Vorstellung, dass Zero Trust nur für große Unternehmen geeignet ist, wird oft von der Vorstellung begleitet, dass die Implementierung von Zero Trust teuer ist.

Bei Zero Trust geht es jedoch nicht notwendigerweise um den Kauf einer neuen Reihe von Produkten. Es ist ein Ansatz, dessen Umsetzung nicht kostspielig sein muss. Unternehmen sollten zunächst die Geschäftsziele bestimmen, die sie erreichen wollen, und herausfinden, wie Zero Trust ihnen dabei helfen kann und was sie aus technologischer und politischer Sicht tun müssen, um ihre Reise zu beginnen.

Mythos 2: Zero Trust ist zu kompliziert in der Umsetzung

Aufbauend auf dem obigen Punkt gibt es den Mythos, dass die Implementierung von Zero Trust zu kompliziert oder überfordernd sein kann. Die Umsetzung von Zero Trust erfordert die Zusammenarbeit mehrerer Beteiligter, z. B. der Sicherheits- und Netzwerkteams, ist jedoch nicht unmöglich.

Es gibt keinen einheitlichen Weg zu Zero Trust. Unternehmen können damit beginnen, die Herausforderungen der Implementierung Stück für Stück anzugehen. Indem sie ihre Bedürfnisse und ihre Umgebung verstehen, können sie einen Fahrplan aufstellen, der für das, was sie zu erreichen versuchen, sinnvoll ist.

Mythos 3: Bei Zero Trust geht es nur um den Schutz von Netzwerkverbindungen

Es besteht die Tendenz, bei Zero Trust nur an Netzwerkverbindungen zu denken und die Sicherheit der Endgeräte zu vergessen. Aufgrund der Unternehmensmobilität und des Trends zu Bring-Your-Own-Device ist es nicht unüblich, dass Endgeräte vom Unternehmen verwaltet werden.

Das Ergebnis ist eine erweiterte Angriffsfläche, die durch Endgeräte verursacht wird, die möglicherweise nicht mit den Konfigurations- und Patch-Richtlinien des Unternehmens konform sind. Um Zero Trust vollständig zu ermöglichen, müssen Unternehmen die Netzwerk- und Endgerätesicherheit integrieren und einen Überblick über die Sicherheitslage und -aktivitäten der Geräte erhalten.

Zero Trust sollte sich auf die gesamte IT-Infrastruktur erstrecken, damit der Ansatz sein volles Potenzial entfalten kann.

Mythos 4: Zero Trust schadet der Benutzerproduktivität

Wenn Zero Trust effektiv eingesetzt wird, sollte es sich nicht negativ auf die Erfahrung der Benutzer auswirken. So können beispielsweise durch den Einsatz von Verhaltensanalysen Authentifizierungsentscheidungen auf der Grundlage von Risiken automatisiert und sicherer gemacht werden, ohne das Leben legitimer Benutzer zu erschweren.

Wenn Zero Trust implementiert ist, können Unternehmen den Zugriff schnell widerrufen oder gewähren, was die Reibungsverluste für die Benutzer tatsächlich verringern kann. Auf diese Weise können Unternehmen schnell auf Bedrohungen reagieren und gleichzeitig autorisierten Benutzern einen nahtlosen Zugang ermöglichen.

Zero Trust Realität werden lassen

Es ist ratsam, sich Zero Trust als eine Reise vorzustellen. Es ist ein Ansatz, der sich vom Rechenzentrum bis hin zu Cloud-Workloads erstreckt, und wenn sich die IT-Umgebung ändert, muss sich auch die Implementierung in einem Unternehmen ändern.

Bevor in die technischen Komponenten investiert wird, die für die Umsetzung erforderlich sind, müssen Geschäfts- und IT-Führungskräfte die Zustimmung ihres Sicherheitsteams und der Unternehmensleitung einholen.

Alle an diesem Prozess Beteiligten müssen sich darüber im Klaren sein, was sie technisch erreichen wollen und welchen Geschäftszweck sie verfolgen. Indem sie falsche Vorstellungen und vorgefasste Meinungen aufgeben, können Unternehmen bei der Implementierung einer Zero-Trust-Architektur, die ihren Bedürfnissen entspricht, Fortschritte machen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*