Um die neuen Risiken, die mit der aktuellen hybriden Arbeitsweise verbunden sind, zu bekämpfen, haben viele Führungskräfte und Anbieter von Cyber Security jetzt „Zero Trust“ entdeckt: Dieses Rahmenwerk soll die Sicherheit in der IT-Umgebung durchsetzen und gleichzeitig die Produktivität des ganzen Unternehmens steigern.
Die Art und Weise, wie Menschen arbeiten, hat sich in den letzten zehn Jahren dramatisch verändert. Die Mitarbeiter von Unternehmen arbeiten heute von überall aus und benutzen dabei Geräte und Netzwerke, die man nicht mehr direkt kontrollieren kann, um auf Ressourcen der Firma in der Cloud zuzugreifen. Dies hat zwar die Produktivität enorm gesteigert, hat aber auch gleichzeitig den Schutz der Unternehmen erheblich erschwert. Dies in die Praxis umzusetzen, geschieht jedoch nicht ohne Probleme, da es keine einheitliche Definition von „Zero Trust“ gibt.
Aktueller Sicherheitsansatz
Man hört von mancher Seite, dass eine Multi-Faktor Authentication (MFA) ausreichen soll, während andere Lösungen noch einen Schritt weiter gehen und den „least-privileged access“ (Zugang mit den geringsten Privilegien) verlangen.
Allgemein betrachtet, versteht man unter „Zero Trust“ die Idee, dass alle internen oder externen Objekte regelmäßig authentifiziert und bewertet werden müssen, bevor sie einen Zugang erhalten. Wenn sich die Mehrheit der Anwender, Endgeräte, Anwendungen und Daten nicht mehr länger innerhalb eines gegebenen Sicherheitsbereichs befinden, kann man auch nicht mehr von der festen Annahme ausgehen, dass ein Benutzer oder sein Endgerät vertrauenswürdig sein sollen.
Inmitten der Komplexität, die mit der Einführung von Technologien wie der Cloud und der Arbeit von überall aus einhergeht, ist es für die Security-Instanzen kompliziert herauszufinden, wo man anfangen soll – und dazu gehört auch Zero Trust. Aber man sollte zunächst daran denken, was für das eigene Unternehmen wichtig ist. Wenn man eine Lösung für Endpoint Detection and Response einsetzt, schützt man seine Daten vor Endpoint-Risiken. Dasselbe gilt für die Cloud Security: Man schützt seine Daten in der Cloud vor riskanten oder böswilligen Zugriffen und Attacken. Mit anderen Worten: Um Zero Trust effizient einzusetzen, sollte man sich auf alle Vektoren konzentrieren, in die die eigenen Daten eingebettet sind.
Daten als Startpunkt
Die meisten Unternehmen versuchen zunächst bei der Einführung von Zero Trust, sich auf die Art und Weise zu konzentrieren, wie Mitarbeiter ihre Arbeit erledigen: Dazu gehört zum Beispiel die Aufforderung an die Mitarbeiter, Virtual Private Networks (VPNs) mit einem zweiten Authentifizierungsfaktor zu verwenden, wenn sie auf Ressourcen des Unternehmens zugreifen. Im Gegensatz dazu vertrete ich jedoch die Ansicht, dass das Hauptaugenmerk nicht darauf liegen sollte, was man (nicht) tun sollte, sondern auf den Daten.
Mitarbeiter erstellen und bearbeiten ständig Daten. Da das Endziel eines Angreifers auf die Unternehmens-IT darin besteht, Daten zu stehlen, reicht es nicht mehr aus, bloß einen Anwender zum Zeitpunkt des Zugriffs zu authentifizieren. Stattdessen muss man sich darauf konzentrieren, welche Arten von Daten man besitzt, wie auf sie zugegriffen wird und wie sie verändert werden. Außerdem muss man die sich ständig verändernden Risikoniveaus der Benutzer und der von ihnen verwendeten Endgeräte im Auge behalten.
Prioritäten setzen
Daten befinden sich überall. Mitarbeiter erstellen täglich Daten, sei es beim Austausch per E-Mail, beim Kopieren und Einfügen von Inhalten in eine Messaging-Anwendung, beim Erstellen eines neuen Dokuments oder beim Herunterladen auf ihr Smartphone. Alle diese Aktivitäten erzeugen und verändern Daten, und alle besitzen ihren eigenen Lebenszyklus. Es wäre extrem mühsam, den Überblick über die Standorte all dieser Daten und die Art und Weise, wie sie gehandhabt werden, zu behalten.
Der erste Schritt bei der Implementierung von Zero Trust Security besteht darin, die eigenen Daten nach Empfindlichkeitsstufen zu ordnen, damit man Prioritäten setzen kann, welche Daten besonders zu schützen sind. Zero Trust kann ein nie aufhörender Prozess sein, weil man ihn auf alles anwenden kann. Anstatt zu versuchen, eine unternehmensweite Zero-Trust-Strategie für alle Daten zu entwickeln, sollte man sich auf die wichtigsten Anwendungen konzentrieren, die die sensibelsten Daten enthalten.
Datenzugriff
Als Nächstes sollte man sich ansehen, auf welchen Wegen die Daten im Unternehmen geteilt werden und wie der Zugriff auf sie erfolgt. Teilen die Mitarbeiter die Daten hauptsächlich über die Cloud? Oder werden Dokumente und Informationen per E-Mail oder Slack verschickt?
Es ist von entscheidender Bedeutung zu verstehen, wie sich die Informationen im Unternehmen bewegen. Wenn man nicht zuerst versteht, wie sich die Daten bewegen, kann man sie auch nicht effektiv schützen. Wenn zum Beispiel ein allgemeiner Ordner in der Cloud des Unternehmens mehrere Unterordner enthält, von denen einige geschützt sind, scheint dies eine sichere Methode zu sein. Und das ist es auch so lange, bis jemand den Hauptordner mit einer anderen Arbeitsgruppe teilt und nicht merkt, dass dadurch die Zugangseinstellungen für die privaten Unterordner geändert werden. Das hat zur Folge, dass nun die eigenen privaten Daten für eine Menge von Personen zugänglich sind, die eigentlich keinen Zugriff darauf haben sollten.
Keine Lösung von der Stange
Jeder hat wahrscheinlich schon von der Floskel gehört: „Dafür gibt es doch eine App!“. Und im Allgemeinen trifft das auch zu. Es scheint heute für jedes moderne Problem eine App oder eine Software-Lösung zu geben. Man kann dagegen feststellen, dass dies bei Zero Trust nicht der Fall ist. Es gibt allerdings viele Anbieter, die ihre Produkte als so genannte „Lösungen“ für die Implementierung von Zero Trust Data Security verkaufen wollen. Aber diese vorgeschobene Methode funktioniert einfach nicht.
Zero Trust stellt im Prinzip eine Denkweise und Philosophie dar, sollte aber nicht mit einem Problem verwechselt werden, das durch Software gelöst werden kann. Wenn man beabsichtigt, in seinem Unternehmen Zero Trust als Methode für Security einzuführen, muss man verstehen, wie dieser Ansatz funktioniert und wie man ihn zuverlässig in seinem ganzen Unternehmen umsetzen kann.
Die Rolle der Mitarbeiter
Der zweite Teil der Implementierung von Zero-Trust-Daten besteht darin, seine Mitarbeiter mit ins Boot zu holen. Man kann bestehende Software und Lösungen einkaufen und Regeln festlegen, aber wenn die eigenen Angestellten nicht verstehen, um was es geht oder warum man etwas einsetzen soll, wird man den eigenen Fortschritt und Erfolg gefährden und seine Daten wahrscheinlich bestimmten Risiken aussetzen.
Auf der RSA-Konferenz 2022 führte einer meiner Kollegen eine Umfrage durch und stellte fest, dass 80 Prozent der Teilnehmer noch immer ihre Daten mit einer klassischen Tabellenkalkulation festhalten und berechnen. Und laut einer Umfrage aus dem Jahr 2021 verwenden nur 22 Prozent der Anwender von Microsoft Azure eine MFA. Diese Zahlen sprechen dafür, dass man von Anfang an bei seinen Mitarbeitern ansetzen sollte. Und man sollte ihnen die Bedeutung von Data Security erklären und wie man diese auf den eigenen Geräten praktisch umsetzen kann.
Zero Trust ist kein Produkt
Besonders wichtig ist es, wenn man Zero Trust Security in seinem Unternehmen einrichten will, sich vor allem darüber im Klaren sein, dass es sich dabei um eine Philosophie und nicht um eine simple Lösung handelt. Zero Trust ist nicht etwas, das man mal so nebenbei über Nacht installieren kann. Und es ist kein fertiges Stück Software, das man irgendwo kaufen kann, um alle Probleme auf einen Schlag zu lösen. Zero Trust ist mehr eine grundsätzliche Idee, die es langfristig umzusetzen gilt.
Bevor man in eine pauschale Lösung investiert, die dann doch nicht funktioniert, sollte man seine vorhandenen Daten besser kennenlernen und verstehen, welche besonders sensiblen Daten priorisiert und geschützt werden müssen. Außerdem geht es darum, wie sie im Einzelnen gehandhabt werden sollen, um sich dann auf die Schulung und Weiterbildung seiner Mitarbeiter zu konzentrieren. „Zero Trust“ klingt nach einer großartigen Idee, aber ihre Umsetzung funktioniert nur, wenn man versteht, dass es sich um eine Art von Philosophie oder um einen Rahmen handelt, der in mehreren Schritten eingerichtet und kontinuierlich verbessert werden muss – und eben nicht um eine einmalige, feststehende Lösung.
Mehr bei Lookout.com
Über Lookout Die Mitbegründer von Lookout, John Hering, Kevin Mahaffey und James Burgess, schlossen sich 2007 mit dem Ziel zusammen, Menschen vor den Sicherheits- und Datenschutzrisiken zu schützen, die durch die zunehmende Vernetzung der Welt entstehen. Noch bevor Smartphones in jedermanns Tasche waren, erkannten sie, dass Mobilität einen tiefgreifenden Einfluss auf die Art und Weise haben würde, wie wir arbeiten und leben.
Passende Artikel zum Thema