Zero Trust: Sechs Tipps für die Umsetzung einer wirksamen Cybersicherheitsstrategie in Unternehmen

Führungskräfte sind angesichts der wachsenden Bedeutung zuverlässiger Systeme verstärkt für die IT-Sicherheit verantwortlich. Sie müssen dafür sorgen, dass Datenschutzverletzungen beispielsweise als Konsequenz eines Ransomware-Angriffs und die damit verbundenen hohen Kosten eingedämmt werden. Eine neue Studie von Kaspersky zeigt aber, dass 40 Prozent der Entscheider ihren IT-Sicherheitsteams nicht zutrauen, das Angriffsrisiko einschätzen zu können. Und nicht einmal 20 Prozent setzen auf Zero Trust, um bösartigen Attacken vorzubeugen.

„Zero Trust ist kein neues Konzept. Wir bemerken aber, dass der Begriff inzwischen auf viele verschiedene Arten und in unterschiedlichen Zusammenhängen verwendet wird, von Produkt- und Firmennamen bis hin zu breiteren Technologiekategorien und Funktionen – er ist allgegenwärtig. Infolge der übermäßigen Verwendung ist die ursprüngliche Bedeutung vielfach unklar geworden. Ein besonders problematischer Irrglaube besteht darin, anzunehmen, dass Zero Trust als eigenständiges Produkt erworben oder heruntergeladen werden kann. Diese Art des Marketings ist irreführend und nicht korrekt“, erklärt Ralf Baumann, Country Manager Germany bei Veritas Technologies. „Das Sicherheitsprinzip zielt darauf ab, IT-Systeme vor internen und externen Bedrohungen abzusichern."

Das führt zu dem Trugschluss, dass Unternehmen oft annehmen, ihre Daten seien sicher, nur weil sie ein Zero Trust-Produkt implementiert haben. In Wirklichkeit sind sie jedoch immer noch erheblich gefährdet, da der Einsatz eines einzelnen Produkts oder einer Lösung allein noch keine wahre Zero-Trust-Mentalität bedeutet. Die folgenden sechs Schritte fassen zusammen, was erforderlich ist, um eine umfassende Zero-Trust-Strategie zu implementieren:

1. Unternehmensweites Engagement – alle Abteilungen des Unternehmens müssen sich auf Prioritäten und Parameter einigen und Zugriffs- sowie Sicherheitsrichtlinien aufeinander abstimmen. Jede einzelne Verbindung – von Daten über Benutzer und Geräte bis hin zu Anwendungen, Workloads und Netzwerken – muss mit einer Zero-Trust-Strategie konzipiert werden und die Möglichkeit bieten, sich nach Bedarf weiterzuentwickeln.
2. Funktionsübergreifende Führung – empfehlenswert ist die Bildung eines dedizierten funktionsübergreifenden Zero-Trust-Teams, das mit der Planung und Implementierung der Zero-Trust-Migration beauftragt wird. Dieses Team muss Mitglieder aus den Bereichen Anwendungs- und Datensicherheit, Identity Governance sowie Netzwerk- und Infrastruktursicherheit umfassen, sollte aber auch andere IT-Bereiche einbeziehen. Es sollte regelmäßige Bestandsaufnahmen durchführen, um die Governance und Durchsetzung zu steuern, und ist angewiesen auf die volle Unterstützung der Unternehmensleitung.
3. Prozesse und Richtlinien – es muss gewährleistet sein, dass die richtigen Prozesse und Verfahren für die Identitätssteuerung vorhanden sind. Ein weiteres wichtiges Element in diesem Zusammenhang ist die Beschränkung des Zugriffs auf Backups, insbesondere auf Backups geschäftskritischer Daten, und die strategische Zuweisung des Zugriffs nur an Gruppen, die ihn benötigen.
4. Schulung und Aufbau einer Unternehmenskultur – alle Mitarbeiter sollten einfach und transparent geschult sowie informiert werden. Zero-Trust-Schulungen für alle Mitarbeiter, Partner und Lieferanten sind ein unverzichtbares Erfordernis, damit die Einstellung im gesamten Unternehmen und in der gesamten Wertschöpfungskette verankert ist.
5. Produkt- und Tool-Anpassung – klar im Vorteil sind Technologien, bei denen das Zero-Trust-Konzept übergreifend in die Plattform integriert ist, anstatt es als Funktion anzuhängen. Eine Lösung, die das leistet, hilft bei der Überwachung des Zugriffs, der Kontrolle von Berechtigungen und der Systemhärtung und bietet durch Mechanismen wie Mikrosegmentierung und Gerätezugriffskontrolle vollständige Transparenz.
6. Überwachen und pflegen – jede Zero-Trust-Strategie sollte regelmäßig überprüft und verfeinert werden. Dabei ist zu beachten, dass es sich um einen iterativen Prozess handeln muss.

„Es ist wichtig zu betonen: Eine echte Zero-Trust-Haltung kann nicht mit einem einzigen Produkt oder einer einzigen Lösung erreicht werden, auch wenn sie so vermarktet wird. In Wirklichkeit ist Zero Trust ein fortlaufender, iterativer Prozess, der auf den hier dargelegten Grundsätzen basiert und sich ständig weiterentwickeln muss“, so Baumann abschließend.