Zero Trust in Unternehmen: So schützt man sich wirklich
15. Dezember 2022
Ein interessanter Ansatz in der Cyber-Sicherheitsbranche ist das „Zero Trust“-Sicherheitsmodell. Kurz gesagt bedeutet ein Zero Trust-Modell, dass man seinen Mitarbeitern überhaupt keinen Raum für Fehler lässt und dazu niemandem und nichts vertraut.
Aufgrund eines hybriden Arbeitsplatzes, der durch die Nachwirkungen der Pandemie und verschiedene aufkommende Technologien wie das Metaverse, Web 3.0, Augmented Reality und Virtual Reality geprägt ist, arbeitet die Cyber-Sicherheitsbranche wie üblich hart daran, so zukunftsfähig wie möglich zu sein. Da jedoch die Entwicklung dieser Technologien und ihre Auswirkungen noch nicht absehbar sind, muss beim Einsatz dieser Technologien vorsichtig vorgegangen werden.
Einige Organisationen verwechseln Zero Trust mit einem tatsächlichen Produkt oder einer Zertifizierung. Ein Zero Trust-Modell ist weder ein echtes Produkt noch eine neue Zertifizierung in der Cyber-Sicherheitsbranche. Ein Zero Trust-Sicherheitsmodell wird eingesetzt, um eine durchgängige Cyber- und Cloud-Sicherheit zu gewährleisten. Es wird für die Sicherheit von internen und externen Stakeholder eingesetzt.
Eines der wichtigsten Konzepte dabei ist „never trust, always verify“. Dazu gehört auch die Aktivierung der Multi-Faktor-Authentifizierung, um den Zugang zu jeder Anwendung oder Plattform zu ermöglichen. Darüber hinaus geht es auch um die Mikrosegmentierung von Sicherheitsperimetern, um Sicherheitsverletzungen zu vermeiden.
Keine neue Sicherheitsfunktion oder Sicherheitsmodell ist völlig risikofrei, wenn die Mitarbeiter nicht zur Einhaltung der Vorschriften und zu guten Gewohnheiten angehalten werden. In ähnlicher Weise geht es bei Zero Trust um den Aufbau guter Routinen bei Ihren Mitarbeitern. Es geht auch darum sicherzustellen, dass Ihre Mitarbeiter beim Zugriff auf Anwendungen oder Plattformen eine Multifaktor-Authentifizierung aktivieren.
Es handelt sich um eine zusätzliche Form der Compliance-Ebene, die nicht einmal vom IT-Administrator, jemandem auf der obersten Geschäftsebene oder sogar dem Bereitsteller umgangen werden sollte. Es sollte ein Ansatz von oben nach unten verfolgt werden, bei dem alle Mitarbeiter kontinuierlich authentifiziert und validiert werden müssen, um die Sicherheitslage im Unternehmen zu verbessern.
Bei einem Zero Trust-Modell geht es nicht nur um die Multi-Faktor-Authentifizierung. Es erfordert auch, dass alle Benutzer authentifiziert und autorisiert werden und dass ihre Sicherheitskonfigurationen kontinuierlich validiert werden, um auf jede Art von Anwendung oder Daten zugreifen zu können.
Dies geschieht als zusätzliche Sicherheitsebene. Dieses Modell hat verschiedene Vorteile, wie die Remoteauthentifizierung und -überprüfung durch Ihre Mitarbeiter. So können sie problemlos von zuhause oder in einer hybriden Situation arbeiten.
Einführen eines Zero Trust-Modells
Bevor man ein neues Sicherheitsmodell einführen kann, muss die Rentabilität der Investition verstanden werden. Man sollte sich bewusst sein, ob man es wirklich braucht. Außerdem gilt es zu verstehen, dass Zero Trust zwar ein Ansatz ist, um die wichtigsten Vermögenswerte des Unternehmens zu sichern. Aber es muss ebenso wichtig sein, zu wissen, ob sich der Aufwand lohnt.
Um ein Zero Trust-Modell anwenden zu können, müssen eine Organisation bereits ein digitales Unternehmen sein, das über digitale Assets verfügt, die Cloud- und Cyber-Schutz benötigen. Die Mitarbeiter sollten über digitale Ressourcen verfügen, über die sie sich verifizieren können.
Man muss nicht auf jeden Zug aufspringen und jede neue Technologie einsetzen, die gerade auf den Markt kommt. Man sollte zuerst die eigenen Sicherheitsbedürfnisse verstehen und dann entsprechend handeln. Ihre Investitionen in die Cyber-Sicherheit werden sich nur dann lohnen, wenn das Unternehmen und die Mitarbeiter bereit sind, sich langfristig zu engagieren und sich gute Gewohnheiten anzueignen, um eine umfassende Cyber-Sicherheit zu gewährleisten.
Dave Russell ist Vice President Enterprise Strategy bei Veeam Software.
