Warum IT-Security und New Work zusammengehören

Work from Anywhere und Cyber-Security gehören zusammen — (Bild: Christin Hume/Unsplash)

Hybride Arbeitsmodelle sollen Produktivität garantieren, einfach umzusetzen sein und am besten die IT-Sicherheit aufrechterhalten. Kann das gelingen? Ja, mit einem Zero Trust-Konzept.

Die Theorie ist simpel: Wenn Unternehmen flexible und ortsunabhängige Arbeitsmodelle für sich erschließen, gewinnen Beschäftigte mehr Freiheit, sind motivierter, produktiver und das Unternehmen wird ganz nebenbei attraktiver für Fachkräfte. Die Praxis ist bekanntermaßen komplexer: Nur Firmenlaptops sind erlaubt und viele Anwendungen sind mit herkömmlichen Methoden, zum Beispiel VPN, nicht performant verfügbar. Und wegen veralteter Infrastruktur finden Cyber-Kriminelle immer wieder Einfallstore. Dabei gibt es ein Konzept, das allen Usern die Freiheit und Zugänge gibt, die sie brauchen. Und zwar nur die.

Work from anywhere – Vertrauen ist gut, Sicherheit ist besser

In seiner Masterclass erläutert Kevin Schwarz von Zscaler, für welche Herausforderungen hybride Arbeitsmodelle in der IT-Sicherheit sorgen und wo Unternehmen jetzt ansetzen müssen, um kein leichtes Ziel für Hacker zu sein.

Hier Masterclass ansehen

Es geht um Zero Trust aus der Cloud. Eine Architektur basierend auf Zero Trust Prinzipien ist für alle Organisationen mit hybriden Arbeitsmodellen sowie auch mit komplexen Standortstrukturen interessant, da sie unabhängig vom Arbeitsort und Endgerätetyp funktioniert und zum Beispiel keine VPN-Verbindung ins Firmennetzwerk benötigt. Kevin Schwarz, Director Transformation EMEA beim IT-Security-Spezialisten Zscaler erklärt: „Der Zugriff auf Daten ist ein bisschen wie die Security an Flughäfen geregelt: Nach dem Prinzip ‚Never Trust, Always Verify‘ muss sich bei Zero Trust jeder erst einer Kontrolle unterziehen. Das ist nichts Persönliches, da muss jeder durch.” Aber wie funktioniert das genau und warum ist das nötig?

Cyber-Attacken kosten im Schnitt 21.818 Euro

Unternehmen verlagern ihre Software-Anwendungen zunehmend in die Cloud, damit ihre Beschäftigten auch bei der Remote-Arbeit so produktiv sein können wie im Büro. Wenn mehr solcher Anwendungen über das Internet erreichbar sind, vergrößert sich auch die Angriffsfläche einer Organisation. Kommen unzureichend gesicherte Endgeräte und Netzwerke in Homeoffice und Co. hinzu, wächst die Zahl der Einfallstore für Malware-Akteure abermals.

Cyber-Kriminelle nutzen diese Gelegenheiten immer öfter für sich: Attacken mit Programmen, die Daten verschlüsseln, stehen bei Unternehmen in der Liste der besorgniserregendsten Cyber-Risiken inzwischen ganz oben. Das ermittelte der Versicherungskonzern Allianz zuletzt im Januar für sein jährliches „Risk Barometer“. Hacker könnten demnach schon für etwa 40 Dollar pro Monat solche Ransomware-Angriffe auf Unternehmen durchführen und sich damit in die Lage versetzen, Lösegelder für die Entschlüsselung der Daten zu erpressen. Ein minimales Investment im Vergleich zum Schaden, den eine erfolgreiche Attacke im Schnitt anrichtet: Der Spezialversicherer Hiscox beziffert die durchschnittlichen Kosten pro Cyber-Vorfall in deutschen Unternehmen auf 21.818 Euro – Spitzenreiter in Europa.

User-Profile entscheiden über Datenzugriff

So lassen sich zukunftsfähige Arbeitsformen fördern

Die digitale Transformation soll für bestmögliche Arbeitsbedingungen sorgen und das Vorankommen des Unternehmens beschleunigen. Die zentrale Voraussetzung dafür ist eine moderne Arbeitsumgebung. Doch was macht sie aus und wie lässt sie sich am besten absichern? Erfahren Sie es kostenlos in diesem PDF.

Zum PDF

„Wir haben längst eine Situation erreicht, in der die Frage, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, der Frage gewichen ist, wann es so weit sein wird“, sagt Kevin Schwarz. Für Zscaler begleitet er Unternehmen verschiedenster Größe auf ihrem Weg zu einer leistungsstarken Zero Trust-Architektur. Eines der Kernelemente des Zero Trust-Konzepts ist ein klar definiertes User-Profil: Jeder Beschäftigte erhält nur den Zugriff, den er aufgrund seiner Rolle unbedingt benötigt. „Das dämmt die potenziellen Schäden infolge eines gehackten Accounts ein“, sagt Schwarz.

Anders als bei VPN-Verbindungen existiert als Bindeglied zwischen Unternehmensanwendungen und Endgeräten eine Kontrollinstanz, hinter der sich die Anwendungen der Organisation verbergen. Ein getunnelter Zugriff auf Ebene der einzelnen Applikation verkleinert die im Internet sichtbare Angriffsfläche eines Unternehmens deutlich. Gleichzeitig wird jeder Zugriff auf Daten oder Programme zunächst mit dem jeweiligen User-Profil abgeglichen, ehe er gewährt wird.

IT wird zum Business-Partner

Ganz nebenbei erweitert das Zero Trust-Prinzip auch die Auswahl der zulässigen Endgeräte in Unternehmen oder sichert die schon bestehende Vielfalt besser ab: „Wenn wir Profile erstellen, welcher User welchen Zugang er wann mit welchem Endgerät erhält, dann gibt es zumindest aus Security-Sicht keinen Grund mehr für eine strenge Device-Policy“, sagt Schwarz. Ohnehin habe die lange Remote Work-Phase während der Pandemie dafür gesorgt, dass die Gerätevielfalt in Unternehmen deutlich zugenommen habe. „Es wird nicht gelingen, die durch Corona erlangten IT-Freiheiten für Mitarbeitende wieder zu streichen.“

Diese Geschäftsvorteile bietet IT-Sicherheit nach dem Zero-Trust-Ansatz

31 Prozent...: beträgt die Ersparnis bei IT-Sicherheitsaufwendungen in Unternehmen, die sich nach dem Zero-Trust-Konzept aufstellen.
34 Prozent,...: und damit mehr als jedes dritte Unternehmen, stellen eine verbessere Anwenderzufriedenheit seiner Mitarbeiter nach der Einführung einer Zero-Trust-Architektur fest.
36 Prozent...: produktivere Mitarbeiter in allen Bereichen ermöglicht die Umsetzung einer Struktur, die mit exakten User-Berechtigungen arbeitet, anstatt einen Vertrauensvorschuss für alle zu gewähren.
37 Prozent...: agiler sind Unternehmen in ihren IT- und Business-Belangen dank einer Zero-Trust-Strategie.
38 Prozent...: der Unternehmen stellen eine verbesserte Anpassungsfähigkeit fest.
41 Prozent...: Prozent der Firmen, die Zero-Trust-Projekte umgesetzt haben, stellen deutlich weniger Datenverletzungen und eine erheblich verbesserte Compliance fest.
43 Prozent...: weniger Cyber-Vorfälle und eine ebenso deutlich verbesserte Leistung ihres IT-Sicherheitszentrums sind die Folgen der Einführung von IT-Sicherheit nach dem Zero-Trust-Konzept.
51 Prozent...: der Unternehmen sehen in Zero-Trust-Ansätzen die beste Möglichkeit zur Optimierung ihrer Cybersicherheitsprogramme, um die Herausforderungen dezentraler Umgebungen und mobiler Mitarbeiter zu bewältigen.
Quelle: Zscaler „Strategien zur Einführung von Zero Trust 2021“; ESG befragte 421 IT-Fachkräfte und Cybersicherheitsexperten in Unternehmen in Nordamerika (USA und Kanada) mit Zuständigkeit für die Entwicklung von Zero-Trust-Sicherheitsstrategien sowie die Bewertung, Beschaffung und Verwaltung von Produkten und Dienstleistungen im Bereich Sicherheitstechnologie.

Schwarz plädiert zudem für ein Umdenken beim Security-Management: „Sicherheitsvorkehrungen dürfen Unternehmen nicht lähmen. Die IT-Abteilung wird zum internen Business-Partner, denn ihre Modernisierung gibt den Rahmen vor, in dem New Work-Modelle möglich sind.“ Zero Trust ermögliche es, dass Unternehmen ihre IT ohne Kompromisse bei der Sicherheit modernisieren können, wodurch am Ende beide Seiten – Mitarbeitende und das Unternehmen – profitieren.

Für IT-Security-Anbieter wie Zscaler bedeutet das, dass ihre Flexibilität zunehmen muss. Kevin Schwarz: „Die Mitarbeitenden gestalten die Entwicklung eines Unternehmens mit. Unsere Aufgabe ist es, diesen Weg abzusichern, egal wie er aussehen soll. Ein Zero Trust-Konzept sorgt dafür, dass Organisationen dabei keine unnötigen Risiken eingehen.“

Wie groß ist die Angriffsfläche Ihrer Organisation im Internet? Finden Sie es heraus mit einer kostenlosen Analyse unter https://info.zscaler.com/internet-attack-surface-analysis

Wie bauen Unternehmen eine widerstandfähige IT-Infrastruktur gegen Hacker auf, welche Prinzipien sind dafür unerlässlich und wie gut ist eine Zero Trust-Strategie mit den Freiheiten von ‘Work from anywhere‘ in der Praxis vereinbar? Erfahren Sie es im „So klingt Wirtschaft“-Podcast:

Sicher von überall arbeiten

00:00/15:44