Warum Entscheider auf Zero Trust vertrauen sollten

Zscaler - Sichere IT mit Zero Trust — (Bild: Getty Images via Zscaler)

Sie sind Entscheider in einem Unternehmen, treiben die Digitalisierung voran, lassen vom Thema IT-Sicherheit aber lieber die Finger? Warum das keine gute Idee ist und wie ein kluges Konzept sogar Geld einsparen kann, lesen Sie hier.

Die Digitalisierung im eigenen Unternehmen zu beschleunigen, ist ein Ziel, das sich in jeder Organisation und Branche findet. Insbesondere die oberen Managementebenen tragen dabei eine große Verantwortung, nicht nur in ihre eigenen Bereiche hineinzuschauen, sondern rechtzeitig den Blick zu weiten und die Unternehmensstrukturen als Ganzes zu betrachten. Vor allem bei der IT-Sicherheit ist es ein Trugschluss, das Thema allein auf die wenigen Fachkräfte im Unternehmen abzuwälzen.

Kostenfreier Download
Warum Zero Trust der Digitalisierung-Start sein sollte Warum Zero Trust die Basis für die Digitalisierung Ihres Unternehmens sein sollte und wie Sie mit der Kombination von Direct to Cloud-, Zero Trust- und Work from Anywhere-Strategie eine rasche und sichere Cloud-Migration schaffen, lesen Sie hier.

Hier geht es zum Gratis-E-Book

Stellen Sie sich vor, Sie besuchen ein anderes Unternehmen. Sie gehen hinein, sagen am Empfang, Sie hätten ein Meeting und fragen nach dem Weg zu den Konferenzräumen. Da Sie vertrauensvoll wirken, erhalten Sie die Wegbeschreibung und gehen los. Ob Sie ein echter Geschäftspartner sind oder direkt zum Konferenzraum gehen, überprüft niemand. Sie könnten stattdessen auch ein Krimineller auf der Suche nach Unternehmensdaten sein. Offenstehende Büros oder ungesperrte Computer wären demnach Ihre Chance, großen Schaden anzurichten. Sie werden entgegnen: „So einfach ist es nicht, sich Zutritt zu einem fremden Unternehmen zu verschaffen. Bei uns wird jeder Besucher am Empfang angekündigt und abgeholt.“ Wenn es so simpel ist, warum sichern Sie Ihre IT dann nicht nach demselben Prinzip?

Das Beispiel klingt zwar trivial, ist in gewissem Maße aber mit dafür verantwortlich, dass Cyberkriminelle allein in Deutschland im vergangenen Jahr Schäden in Höhe von 223 Milliarden Euro anrichten konnten. Stillstehende Fertigungsbänder, erbeutete Kennzahlen oder verschlüsselte Daten sind gängige Folgen von erfolgreichen Cyberangriffen. Imageeinbußen sowie verlorenes Vertrauen von Kunden oder Partnern kommen dazu. Damit es nicht so weit kommt, sollten Entscheider aus allen Geschäftsbereichen rechtzeitig daran denken, sich im Zuge ihrer Transformationsstrategie gleich für ein firmenweites Rahmenwerk für IT-Sicherheit nach dem Zero-Trust-Prinzip einzusetzen. Was es damit auf sich hat und wie es für mehr Produktivität, einfachere Compliance und weniger Sicherheitsvorfälle sorgt, zeigt zunächst ein Blick auf den Status quo.

IT-Sicherheit als Digitalisierungstreiber

Denn die Realität in den meisten Unternehmen liefert folgendes Bild: Durch den zunehmenden Umzug von Anwendungen in die Cloud vergrößert sich die digitale Angriffsfläche für Unternehmen erheblich. Statt nur aus dem Unternehmensnetzwerk heraus auf eine Anwendung zugreifen zu können, ist sie nun überall verfügbar. Doch auch der Zugriff über das Unternehmensnetzwerk hat seine Tücken: Spätestens seit der Pandemie sind ortsungebundene Arbeitsmodelle in fast jeder Branche gefragt. Wenn Unternehmen ihre Mitarbeiter mit einer verschlüsselten Verbindung ans Firmennetzwerk anschließen, zum Beispiel für die Arbeit im Homeoffice oder unterwegs, reiben sich Hacker die Hände. Die sogenannten VPN-Verbindungen (Virtual Private Network) räumen aktiven Verbindungen eine Art Vertrauensvorschuss ein – so wie ihn der vermeintliche Geschäftspartner erhält, der das Firmengebäude ungeprüft betreten darf. Wird nun ein per VPN verbundenes Firmennotebook gehackt, etwa mit einer als E-Mail-Anhang getarnten Schadsoftware, erhält der Cyberkriminelle im Nu direkten Zugriff auf das Unternehmensnetzwerk und die angeschlossenen Cloud-Dienste. Der VPN-Vertrauensvorschuss wird damit für alle Unternehmensbereiche zum Sicherheitsrisiko – eines, das sich vermeiden ließe.

Häufig entstehen IT-Angriffspunkte, wenn Security-Erwägungen bei Transformationsprojekten nicht genügend Raum erhalten, berichtet Florian Bäuml vom IT-Sicherheitsanbieter Zscaler. „Ein größerer Teil von Unternehmen verlagert zwar seine Anwendungen in die Cloud, passt aber gleichzeitig die Netzwerk- und Sicherheitsinfrastruktur nicht an.“ Dieser Schritt folge meist später. Solch ein „evolutionäres Vorgehen“ funktioniere zwar, schaffe jedoch weitere Baustellen, sagt Bäuml und nennt Verzögerungen bei der Bedienung als ärgerlichen Umstand für die User als Beispiel: Denn wenn ein Klick zunächst per VPN ins Firmennetzwerk, von dort in eine angeschlossene Cloud-Anwendung – zum Beispiel Microsoft 365 – und wieder zurück geleitet werden muss, vergeht mehr Zeit als auf dem direkten Weg.

Datenströme im Fokus

Moderne Sicherheitskonzepte kombinieren unter anderem aus diesem Grund die Vorzüge der direkten Cloud-Anbindung mit dem Zero-Trust-Gedanken, der längst nicht nur für IT-Entscheider interessant ist. Denn der Ansatz „Never Trust, Always Verify!“ bietet eine verbesserte Sicherheit, das Potenzial zu ansehnlichen Kosteneinsparungen, mehr Agilität und ein höheres Digitalisierungstempo.

Diese Geschäftsvorteile bietet IT-Sicherheit nach dem Zero-Trust-Ansatz

31 Prozent...: beträgt die Ersparnis bei IT-Sicherheitsaufwendungen in Unternehmen, die sich nach dem Zero-Trust-Konzept aufstellen.
34 Prozent,...: und damit mehr als jedes dritte Unternehmen, stellen eine verbessere Anwenderzufriedenheit seiner Mitarbeiter nach der Einführung einer Zero-Trust-Architektur fest.
36 Prozent...: produktivere Mitarbeiter in allen Bereichen ermöglicht die Umsetzung einer Struktur, die mit exakten User-Berechtigungen arbeitet, anstatt einen Vertrauensvorschuss für alle zu gewähren.
37 Prozent...: agiler sind Unternehmen in ihren IT- und Business-Belangen dank einer Zero-Trust-Strategie.
38 Prozent...: der Unternehmen stellen eine verbesserte Anpassungsfähigkeit fest.
41 Prozent...: Prozent der Firmen, die Zero-Trust-Projekte umgesetzt haben, stellen deutlich weniger Datenverletzungen und eine erheblich verbesserte Compliance fest.
43 Prozent...: weniger Cyber-Vorfälle und eine ebenso deutlich verbesserte Leistung ihres IT-Sicherheitszentrums sind die Folgen der Einführung von IT-Sicherheit nach dem Zero-Trust-Konzept.
51 Prozent...: der Unternehmen sehen in Zero-Trust-Ansätzen die beste Möglichkeit zur Optimierung ihrer Cybersicherheitsprogramme, um die Herausforderungen dezentraler Umgebungen und mobiler Mitarbeiter zu bewältigen.
Quelle: Zscaler „Strategien zur Einführung von Zero Trust 2021“; ESG befragte 421 IT-Fachkräfte und Cybersicherheitsexperten in Unternehmen in Nordamerika (USA und Kanada) mit Zuständigkeit für die Entwicklung von Zero-Trust-Sicherheitsstrategien sowie die Bewertung, Beschaffung und Verwaltung von Produkten und Dienstleistungen im Bereich Sicherheitstechnologie.

Der Zero-Trust-Ansatz ist kein Produkt, sondern ein Konzept, das auf der Annahme beruht, dass jede Netzwerkaktivität aus Prinzip verdächtig ist. Ehe sie zugelassen wird, muss sie zunächst überprüft werden. Um Unstimmigkeiten direkt vorzubeugen, erhalten User nur die für ihre Arbeit nötigen Berechtigungen. Sie können nie alle Komponenten innerhalb eines Firmennetzwerks sehen, geschweige denn auf sie zugreifen. Im Fachvokabular wird dies als „Least Privilege“-Ansatz bezeichnet. Hinzu kommt, dass das Netzwerk selbst auch nicht im Internet sichtbar ist, was die Angriffsfläche zusätzlich schmälert.

Auf das Eingangsbeispiel übertragen bedeutet dies: Anstatt allein vom Empfang zum Meeting gehen zu dürfen, wird der Gast wie durch eine Art Tunnel direkt zu seinem Sitzplatz geleitet. Der Blick in fremde Büros wird damit unmöglich, der Weg zum Konferenzraum bleibt verborgen, ja selbst das Firmengebäude ist nicht für jedermann zu sehen.

Große Management-Vorteile durch Zero Trust aus der Cloud

Sowohl für das Management als auch für die IT-Abteilung ist eine Zero-Trust-Architektur ein Gewinn. Umfragedaten des Analysehauses ESG zufolge sinken durch Zero-Trust-Konzepte auf Cloud-Basis die Sicherheitskosten um bis zu 31 Prozent bei 41 Prozent weniger Datenverletzungen und 43 Prozent weniger Cyber-Vorfällen.

Wechsel des Sicherheitsparadigmas - Zero Trust — (Bild: Getty Images via Zscaler)

Gastbeitrag
Wie es zum Wechsel des Sicherheitsparadigmas kam Unternehmen haben realisiert, dass im Zeitalter der Cloud die herkömmliche Netzwerksicherheit zu kurz greift. Daher gilt Zero Trust als das neue Sicherheitsparadigma. Aber wie ist der Ansatz zustande gekommen?

Spannender Nebeneffekt: Für IT-Kräfte wird es dadurch leichter, Datenströme im Unternehmen zu überwachen, Systemverbesserungen, die allen Abteilungen zugutekommen, gezielter zu implementieren und sich in der Organisation insgesamt flexibler aufzustellen. Ein IT-Agilitätsplus von 37 Prozent soll möglich sein, wenn man einen Hardware-Ansatz durch ein Cloud-basiertes Zero-Trust-Modell ersetzt. Denn das Konzept aus der Cloud ist schnell zu skalieren, einfacher zu administrieren und nicht an Hardware-Investitionen gebunden.

Und auch die User im Unternehmen profitieren: Anstatt lange VPN-Datenwege in Kauf nehmen zu müssen, greifen sie direkt über die Zero-Trust-Kontrollinstanz auf die gewünschte Anwendung in der Cloud oder im Rechenzentrum zu.

Damit die digitale Transformation auf Basis einer Zero-Trust-Strategie besonders effizient verläuft, empfiehlt Zscaler-Experte Florian Bäuml, dass Unternehmen zunächst eindeutige Kenngrößen definieren, die durch die neue Strategie verbessert werden sollen. „Das kann die Anzahl der Helpdesk-Tickets sein, Einblick in Angriffe auf das Netzwerk oder die Reduktion von Kosten.“ Gleichzeitig sei es wichtig, dass die Vorteile der neuen Systeme und Lösungen nicht aufgrund erhöhter Komplexität oder Betreuungsaufwände auf der Hardware-Seite verpuffen. Ein Zero-Trust-Modell empfehle sich somit von ganz allein.

Glaubwürdigkeit und Zuverlässigkeit sind für Kunden, Mitarbeiter und das Management die Werte, die das Image einer Marke prägen. Zero-Trust-Konzepte zeigen, dass es für mehr Sicherheit manchmal nötig ist, Vertrauen ganz gezielt zu hinterfragen, um auf Dauer vertrauenswürdig zu sein – nach innen und außen.