In Zeiten von New Work und Home-Office heißt das Motto: Traue nichts und niemandem und gebe nur denen Zugriff, die vertrauensvoll sind. Wo Zero Trust heute steht und wie das zukunftsweisende Konzept Innovationen im Unternehmen vorantreiben kann. [...]
ortinet hat vor kurzem den »2023 State of Zero Trust Report« veröffentlicht. Das wichtigste Ergebnis: Seit der letzten Umfrage im Jahr 2021 haben Unternehmen immer mehr Lösungen im Rahmen ihrer Zero-Trust-Strategien implementiert. Der Anteil der Befragten, die sich im Implementierungsprozess befinden, liegt bei 66 Prozent gegenüber 54 Prozent im letzten Jahr. Unternehmen arbeiten daran, Zero Trust überall zu ermöglichen, um die Auswirkungen eines Cybersecurity-Vorfalls zu minimieren.
Gleichzeitig sind Unternehmen mit zahlreichen Herausforderungen konfrontiert. Nahezu die Hälfte der Befragten gab an, dass die unzureichende Integration zwischen On-Premises und in der Cloud implementierten Zero-Trust-Lösungen das größte Problem sei. Als weitere Herausforderungen wurden die lückenlose Durchsetzung von Richtlinien, die Latenzzeiten von Anwendungen und der Mangel an verlässlichen Informationen für die Auswahl und Gestaltung einer Zero-Trust-Lösung genannt. Die Lösungen müssen zudem sowohl lokale als auch Remote-Benutzer mit einer einheitlichen Richtlinie für den Anwendungszugriff abdecken. Dies gelingt nur mit gemischtem Erfolg, so die Fortinet-Studie.
Stichwort VPN
Aus dem ebenfalls vor kurzem publizierten »VPN Risk Report« von Zscaler geht hervor, dass eine überwältigende Anzahl von Unternehmen aufgrund der von VPNs ausgehenden Risiken große Bedenken hinsichtlich ihrer Netzwerksicherheit äußert. Dabei bieten insbesondere Phishing-Attacken (49 Prozent) und Ransomware-Angriffe (40 Prozent) als Folge der regelmäßigen VPN-Nutzung Anlass zur Sorge.
Fast die Hälfte der Unternehmen verzeichnete Cyberangriffe über eine VPN-Schwachstelle wie veraltete Protokolle oder Datenlecks. Jedes fünfte Unternehmen gab an, im letzten Jahr von einem solchen Angriff betroffen gewesen zu sein. Insbesondere Ransomware hat sich zu einer großen Gefahr entwickelt: 33 Prozent der Befragten wurden im vergangenen Jahr Opfer von entsprechenden Angriffen, die auf VPNs abzielen.
»92 Prozent der Befragten ist sich der Bedeutung einer Zero-Trust-Architektur im Kampf gegen Cyberkriminalität bewusst«, sagt Deepen Desai, Global CISO und Head of Security Research bei Zscaler. »Besorgniserregend ist, dass dennoch viele Unternehmen nach wie vor VPNs für den Remote-Zugriff von Mitarbeitenden und Drittanbietern verwenden und damit unbeabsichtigt eine Angriffsfläche für Bedrohungsakteure bieten. Um sich vor den wandelnden Ransomware-Angriffen zu schützen, ist es für Unternehmen von entscheidender Bedeutung, die Verwendung von VPNs zu eliminieren, die Segmentierung von Usern zu Anwendungen zu priorisieren und eine kontextbezogene Data Loss Prevention Engine mit vollständiger TLS-Inspektion zu implementieren.«
Unternehmen, die sich der Sicherheits- und Anwendererfahrungsprobleme von VPNs bewusst sind, wechseln zu Zero-Trust-Architekturen, so Deepen Desai. Immerhin erkennen 92 Prozent der Befragten die Bedeutung eines Zero-Trust-Ansatzes für den Schutz ihrer Assets und Daten – ein Anstieg von zwölf Prozent im Vergleich zum Vorjahr. 69 Prozent planen bereits, ihre aktuellen VPN-Lösungen durch Zero Trust Network Access zu ersetzen. Der Zscaler-Bericht empfiehlt Unternehmen, eine Zero Trust-Architektur zu implementieren, um die mit VPN-Schwachstellen verbundenen Risiken wirksam zu bekämpfen und ihre sensiblen Daten und Anwendungen vor Cyberangriffen zu schützen.
Zero Trust in der Praxis
Ein Beispiel dafür, wie Sicherheitsanbieter den Zero-Trust-Ansatz in Lösungen gießen, ist die Produktpalette von ESET. Der europäische IT-Security-Spezialist hat das Konzept aufgegriffen, weiterentwickelt und auf die Bedürfnisse unterschiedlicher Organisationsgrößen zugeschnitten. »Eine mögliche Lösung zur effektiven Risikominimierung sind Zero-Trust-Security-Ansätze, die auf einem mehrschichtigen, aufeinander aufbauenden Reifegradmodell basieren«, sagt Michael Schröder, Manager of Security Business Strategy bei ESET Deutschland. »Sie bringen die Bedürfnisse einer Vielzahl von Organisationen in eine klare Reihenfolge. Eine umfassende Sicherheitsstrategie beinhaltet in jedem Fall eine zusätzliche individuelle Bewertung sowie Absicherung möglicher Angriffsvektoren – und hebt die Security auf den aktuellen Stand der Technik.«
Das erwähnte Reifegradmodell ist laut Schröder ein »elementarer Bestandteil von Zero-Trust-Security-Konzepten. Es bietet IT-Verantwortlichen ein modular aufgebautes Sicherheitskonzept zur Orientierung. Je nach Ausgangslage – beispielsweise die Anzahl und Art der eingesetzten Geräte, die genutzten Technologien oder das vorhandene Budget – werden verschiedene Schutzlevel beschrieben, in die Organisationen ihren IST-Zustand einordnen können. Hieraus ergibt sich der Bedarf an Sicherheitslösungen, die zur Erreichung des jeweiligen Schutzlevels notwendig sind. Dieses Reifegradmodell kann stufenweise umgesetzt werden und ist für jede Organisationsgröße sinnvoll.«
Die Strategie dahinter
Nathan Howe, Vice President of Emerging Technology bei Zscaler, weist auf die Schwierigkeiten hin, wenn IT-Entscheider zum ersten Mal mit dem Konzept der Zero-Trust-Sicherheit konfrontiert werden (Quelle: it-daily.net). Es gehe bei diesem Wechsel des Sicherheitsparadigmas im Grunde darum, Hardware durch einen Cloud-basierten Service abzulösen. »Derartige Systeme sind für Unternehmen mit einem großen Aufwand verbunden. Denn die komplexe Verwaltung ist oft mit manuellem Aufwand verbunden und sehr detailreich. Sie wissen vor lauter Aufgabenlast nicht, wo der Innovationszyklus für Zero Trust seinen Anfang nehmen kann.«
Um sich auf ein Service-Modell einzustellen und die damit verbundene Angst vor dem Umstellungsaufwand zu nehmen, empfiehlt Nathan Howe eine einfache Table-Top-Übung: Welchen Zugriff würden Unternehmen nach einem Ransomware-Angriff als erstes wiederherstellen? »Wenn Entscheider diese Frage beantworten, haben sie den Ausgangspunkt ihrer Sicherheitstransformation gefunden. Dabei handelt es sich um das geschäftskritische Asset. Darauf aufbauend sollten Unternehmen ihren Business-Continuity-Plan überprüfen und überlegen, wie sie ihre IT-Sicherheit von Grund auf neu aufbauen könnten. Im nächsten Schritt müssen die Entscheidungsträger festlegen, wer Zugang zu diesen Applikationen und Daten benötigt. Auf diese Weise wird ein logischer Ablauf festgelegt, der zur Umsetzung von Zero Trust verwendet werden kann.«
Gelebte Innovation
Der IT-Spezialist von Zscaler ist überzeugt, dass Organisationen ihren Innovationszyklus von Grund auf neu gestalten können – und zwar analog zur beschriebenen Sicherheitsübung. »Dabei müssen sie sich gedanklich von ihrer vorhandenen Infrastruktur trennen und die Vision als Ausgangspunkt für den Neuanfang in den Mittelpunkt stellen.« Nathan Howe weiter: »Jedes Unternehmen kann innovativ handeln, aber oft wird der einfache Weg gewählt, um das Risiko gering zu halten. Das IT-Team hat in der Regel die Aufgabe, den Technologie-Stack zu pflegen und den Innovationsprozess anzustoßen – ein großer Spagat, sich von dem zu lösen, was die Daseinsberechtigung darstellt. Um innovativ zu handeln ist es wichtig, die Anforderungen aller Geschäftsbereiche zu berücksichtigen und einem vielschichtigen Prozess zu folgen. Innovation erfordert koordinierte Bemühungen, um alle Beteiligten einzubinden und für ein gemeinsames Ziel zu begeistern. Nur durch die Bündelung aller Kräfte kann eine neue strategische Richtung für die Geschäftslogik gemeinsam beschlossen werden.«
Wenn die Zukunft die Bereitstellung vieler Services beinhaltet, müsse von vornherein sichergestellt werden, dass diese Dienste miteinander verbunden sind. »So kann eine logische Einheit geschaffen werden. Dieses Verständnis dient als Ausgangspunkt für die Innovationsinitiativen von Unternehmen: die Fähigkeit, einen logischen Geschäftsablauf zu erstellen, der jederzeit konsistent verfügbar ist. Zero Trust-basierte Sicherheit auf Basis eines Cloud-basierten Plattform-Ansatzes macht vor, wie der Wandel gelingen kann.«
Be the first to comment