Die digitale Transformation legt ein sportliches Tempo an den Tag. Laufend ist von neuen Entwicklungen und Trends die Rede. Gleichzeitig steigt die Sorge um die eigene IT-Sicherheit. Was in Zukunft auf Unternehmen zukommt und wie diese sich wappnen können, erklärt Stefan Keller vom IT-Sicherheitsanbieter Open Systems im Gespräch mit der COMPUTERWELT. [...]
Open Systems steuert die Sicherheitslösungen vieler großer und mittelständischer Unternehmen auf der ganzen Welt. Welche aktuellen Entwicklungen beobachten Sie?
Aktuell beobachten wir vor allem zwei Entwicklungen: Da wäre zum einen die Verlagerung von zunehmend mehr Arbeitsbereichen in die Cloud und zum anderen der Trend hin zum mobilen Arbeiten. Beides war auch bereits vor der Corona-Pandemie schon Thema, doch wurden diese Entwicklungen durch die Gesundheitskrise und die dadurch bedingte Work-from-home-Politik stark beschleunigt.
Inwiefern beeinflussen diese Entwicklungen die Unternehmenssicherheit?
Es liegt in der Natur der Sache, dass jede Form der digitalen Transformation auch gleichzeitig neue Sicherheitsrisiken provozieren kann. Unternehmen, die neue Technologien implementieren, sollten entsprechend auch mit ihrem Security-Konzept nachziehen. Wer das versäumt, geht unnötige Risiken ein. Viele Unternehmen spielen Angreifern gar unwissend in die Karten. So gaben laut einer Studie des Beratungsunternehmens KPMG 60 Prozent der in Österreich jüngst befragten Unternehmen an, dass sie in den vergangenen zwölf Monaten Opfer eines Cyberangriffs wurden. Wir sind überzeugt davon, dass die meisten dieser Angriffe hätten vermieden werden können. Netzwerkarchitekturen sind extrem verwundbare Komponenten eines Unternehmens und entsprechend viel Sorgfalt sollte ihnen entgegengebracht werden.
Was können Unternehmen tun, um die Resilienz ihrer Prozesse zu stärken?
Zunächst die schlechte Nachricht: Einen hundertprozentigen Schutz gibt es nicht – weder im virtuellen noch im analogen Raum. Die gute Nachricht lautet hingegen, dass das Angriffsrisiko mit den richtigen Vorkehrungen um ein Vielfaches minimiert werden kann. Zunächst einmal sollten sich Unternehmen jedoch von dem Gedanken lösen, dass traditionelle Schutzmaßnahmen wie Firewalls und Maleware-Erkennung allein ihr Netzwerk vor Angriffen bewahren können. Cyberkriminelle agieren heutzutage auf einem derart professionellen Level, dass selbst die fähigsten IT-Spezialisten meist hinterherhinken. Unternehmen sollten ihre Security-Strategie entsprechend überprüfen und den Einsatz neuer Technologien in Erwägung ziehen. Dabei lohnt der Blick auf Sicherheitsmodelle wie Zero Trust Network Access – kurz ZTNA.
Was hat es damit auf sich?
Unternehmen werden verstärkt vor die Herausforderung gestellt, Produktivität und Sicherheit gleichermaßen zu bedienen – und zwar unabhängig davon, wo oder wann Mitarbeiter sich verbinden. Zero-Trust-Konzepte sind im Grunde keine Neuheit auf dem Gebiet der IT-Sicherheit. Einfach gesagt basiert das Modell auf der Idee, keinem Benutzer zu keinem Zeitpunkt zu trauen, solange die Vertrauenswürdigkeit nicht explizit nachgewiesen wurde.
Wie kann man sich die Umsetzung eines solchen „never trust, always verify“-Prinzips in der Praxis vorstellen?
Das ist im Grunde ganz simpel. Im ersten Schritt wird ein umfangreicher Authentifizierungsprozess angestoßen, der neben der Verifizierung von Benutzer- und Geräteidentität auch die Prüfung sämtlicher Anwendungen und Dienste beinhaltet, auf die der Benutzer zugreift. Um etwaige Sicherheitslücken zu umgehen, wird das Vertrauen zudem regelmäßig neu bewertet. Eine weitere Besonderheit liegt sicherlich auch darin, dass jedem Benutzer individuelle Zugriffsrechte erteilt werden können. ZTNA fokussiert sich im Vergleich zu herkömmlichen Sicherheitsmodellen weniger auf die Sicherung der Netzwerk-Endpunkte, sondern vielmehr auf den Benutzer selbst.
Wir groß schätzen Sie das Poten-zial von ZTNA ein?
ZTNA bietet viele Vorteile, die von herkömmlichen Sicherheitskonzepten nicht abgedeckt werden. Das Modell rückt die Faktoren Individualität und Präzision in den Vordergrund. Genau diese Flexibilität ist in einer komplexen Arbeitsumgebung erforderlich. Statische Sicherheitsmodelle sind vergleichsweise überholt. Gartner geht davon aus, dass bis 2022 80 Prozent der digitalen Unternehmensanwendungen über ZTNA-Vorkehrungen verfügen werden.
Wann halten Sie den Einsatz von ZTNA für empfehlenswert?
Jedes Unternehmen kann von ZTNA profitieren. Es hilft, den Anforderungen von mobilen Benutzern gerecht zu werden und sorgt für den Schutz von Applikationen. Die wichtigere Frage ist, ob man ZTNA eigenständig einführen kann oder auf Managed Services setzt. Der Einsatz einer ZTNA-Lösung setzt viel Knowhow voraus. Bei einem Managed Service sind die Spezialisten bereits an Bord. Zudem kann ZTNA sowohl eigenständig als auch als SASE- oder XDR-Integration genutzt werden. Mit diesem integrierten Ansatz können die Komplexität reduziert und die Kosten gesenkt werden.
