Absolute Software räumt auf: Vier Mythen über Zero Trust

In den vergangenen Jahren hat sich Zero Trust von einem Schlagwort zu einer strategischen Initiative für Unternehmen entwickelt, die mit den Anforderungen an die Sicherung einer komplexen Umgebung jonglieren müssen. [...]

Foto: VINJD/Pixabay

Diese umfasst häufig On-Premises- und Cloud-Anwendungen, eine hybride Belegschaft und eine wachsende Anzahl von Identitäten. Es ist diese neue Welt, in der IT-Umgebungen und Benutzer zunehmend verteilt sind, die die Einführung von Zero Trust vorantreibt. Anstelle des „Castle-and-Moat“-Ansatzes, bei dem Geräte innerhalb des Netzwerks als vertrauenswürdig gelten, basiert das Zero-Trust-Modell auf der Idee, dass Benutzern und Geräten niemals standardmäßig vertraut werden sollte.

Allerdings gibt es rund um Zero Trust noch so einige Missverständnisse, die Absolute Software in der Folge unter die Lupe nimmt.

Richtiggemacht, kann es die Angriffsfläche reduzieren und dabei helfen, Daten und Anwendungen zu schützen, während Unternehmen ihre Cloud-Pläne verfolgen. Doch auch wenn Zero Trust immer häufiger eingesetzt wird, gibt es immer noch eine Reihe von technischen und geschäftlichen Hindernissen für die Implementierung. Die vielleicht problematischsten sind mangelndes Wissen und Widerstand gegen Veränderungen.

Laut einer im Juni von der Cloud Security Alliance (CSA) veröffentlichten Studie halten etwa 80 Prozent der Führungskräfte Zero Trust für eine „mittlere“ oder „hohe“ Priorität in ihrem Unternehmen.

Auf die Frage nach den größten Hindernissen für die Einführung von Zero Trust nannten 37 Prozent der Befragten einen Mangel an Wissen und Erfahrung. 23 Prozent nannten den Widerstand gegen Veränderungen, 29 Prozent den Mangel an interner Abstimmung und 21 Prozent das Fehlen einer formellen Strategie. Weitere Antworten betrafen den zusätzlichen Personalbedarf (31 Prozent) und das Fehlen eines Sponsors auf Führungsebene (26 Prozent).

Ein wichtiger Teil der Einführung von Zero Trust ist die Kommunikation darüber, was Zero Trust ist, was es erfordert und wie es sich auf Ihre Geschäfts- und IT-Prozesse auswirken kann. Um den Marketing-Hype von der Realität zu trennen, müssen Unternehmen nach Meinung von Absolute Software mindestens mit vier gängigen Mythen und Missverständnissen rund um Zero Trust aufräumen.

Mythos 1: Zero Trust ist nur etwas für große Unternehmen

Es ist eine bedauerliche Tatsache, dass Cyberangreifer häufig kleine Unternehmen ins Visier nehmen. Da KMU ebenso Technologien wie die Cloud und das Internet der Dinge nutzen, können sie durch die Durchsetzung von Zero Trust strenge Zugangskontrollen einführen, die ihre Umgebung schützen können.

Die Vorstellung, dass Zero Trust nur für große Unternehmen geeignet ist, wird oft von der Vorstellung begleitet, dass die Implementierung von Zero Trust teuer ist.

Bei Zero Trust geht es jedoch nicht notwendigerweise um den Kauf einer neuen Reihe von Produkten. Es ist ein Ansatz, dessen Umsetzung nicht kostspielig sein muss. Unternehmen sollten zunächst die Geschäftsziele bestimmen, die sie erreichen wollen, und herausfinden, wie Zero Trust ihnen dabei helfen kann und was sie aus technologischer und politischer Sicht tun müssen, um ihre Reise zu beginnen.

Mythos 2: Zero Trust ist zu kompliziert in der Umsetzung

Aufbauend auf dem obigen Punkt gibt es den Mythos, dass die Implementierung von Zero Trust zu kompliziert oder überfordernd sein kann. Die Umsetzung von Zero Trust erfordert die Zusammenarbeit mehrerer Beteiligter, z. B. der Sicherheits- und Netzwerkteams, ist jedoch nicht unmöglich.

Es gibt keinen einheitlichen Weg zu Zero Trust. Unternehmen können damit beginnen, die Herausforderungen der Implementierung Stück für Stück anzugehen. Indem sie ihre Bedürfnisse und ihre Umgebung verstehen, können sie einen Fahrplan aufstellen, der für das, was sie zu erreichen versuchen, sinnvoll ist.

Mythos 3: Bei Zero Trust geht es nur um den Schutz von Netzwerkverbindungen

Es besteht die Tendenz, bei Zero Trust nur an Netzwerkverbindungen zu denken und die Sicherheit der Endgeräte zu vergessen. Aufgrund der Unternehmensmobilität und des Trends zu Bring-Your-Own-Device ist es nicht unüblich, dass Endgeräte vom Unternehmen verwaltet werden.

Das Ergebnis ist eine erweiterte Angriffsfläche, die durch Endgeräte verursacht wird, die möglicherweise nicht mit den Konfigurations- und Patch-Richtlinien des Unternehmens konform sind. Um Zero Trust vollständig zu ermöglichen, müssen Unternehmen die Netzwerk- und Endgerätesicherheit integrieren und einen Überblick über die Sicherheitslage und -aktivitäten der Geräte erhalten.

Zero Trust sollte sich auf die gesamte IT-Infrastruktur erstrecken, damit der Ansatz sein volles Potenzial entfalten kann.

Mythos 4: Zero Trust schadet der Benutzerproduktivität

Wenn Zero Trust effektiv eingesetzt wird, sollte es sich nicht negativ auf die Erfahrung der Benutzer auswirken. So können beispielsweise durch den Einsatz von Verhaltensanalysen Authentifizierungsentscheidungen auf der Grundlage von Risiken automatisiert und sicherer gemacht werden, ohne das Leben legitimer Benutzer zu erschweren.

Wenn Zero Trust implementiert ist, können Unternehmen den Zugriff schnell widerrufen oder gewähren, was die Reibungsverluste für die Benutzer tatsächlich verringern kann. Auf diese Weise können Unternehmen schnell auf Bedrohungen reagieren und gleichzeitig autorisierten Benutzern einen nahtlosen Zugang ermöglichen.

Zero Trust Realität werden lassen

Es ist ratsam, sich Zero Trust als eine Reise vorzustellen. Es ist ein Ansatz, der sich vom Rechenzentrum bis hin zu Cloud-Workloads erstreckt, und wenn sich die IT-Umgebung ändert, muss sich auch die Implementierung in einem Unternehmen ändern.

Bevor in die technischen Komponenten investiert wird, die für die Umsetzung erforderlich sind, müssen Geschäfts- und IT-Führungskräfte die Zustimmung ihres Sicherheitsteams und der Unternehmensleitung einholen.

Alle an diesem Prozess Beteiligten müssen sich darüber im Klaren sein, was sie technisch erreichen wollen und welchen Geschäftszweck sie verfolgen. Indem sie falsche Vorstellungen und vorgefasste Meinungen aufgeben, können Unternehmen bei der Implementierung einer Zero-Trust-Architektur, die ihren Bedürfnissen entspricht, Fortschritte machen.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*