Die Angriffsfläche von Unternehmen ist durch Remote Work, Cloud-Services und die stärkere Vernetzung mit Lieferanten, Dienstleistern und anderen Partnern deutlich größer geworden. Mit dem klassischen Perimeterschutz lassen sich die verteilten IT-Landschaften nicht mehr absichern; Unternehmen benötigen neue Konzepte, um Risiken zu reduzieren und den Handlungsspielraum von Cyberkriminellen einzuschränken.
In der Praxis bewährt haben sich insbesondere Zero-Trust-Konzepte, die eine minimale Rechtevergabe (Least Privilege) und eine konsequente Verifizierung sämtlicher Zugriffe auf Unternehmensressourcen vorsehen. Bei der Umsetzung gibt es aber einige typische Fehler, die Unternehmen unbedingt vermeiden sollten. Forcepoint nennt typische Stolperfallen.
1. Reiner Technologie-Fokus
Schauen Unternehmen nur auf Technologien, greifen sie womöglich zu Lösungen, die nicht optimal zusammenarbeiten oder nicht optimal zu den vorhandenen Systemen passen. Das führt zu einem hohen administrativen Aufwand und Lücken im Schutz. Besser ist es, zunächst die internen Abläufe, Datenflüsse und Systeme zu analysieren und dann zu entscheiden, wie sich Zero-Trust-Prinzipien auf sie anwenden lassen.
Dafür müssen IT-Teams auch das Gespräch mit den Fachbereichen suchen, um schützenswerte Daten zu identifizieren und zu verhindern, dass allzu restriktive Richtlinien die Mitarbeiter im Arbeitsalltag behindern.
2. Fehlende Prioritäten
Oft wissen Unternehmen nicht, wie sie die Umsetzung von Zero Trust am besten angehen sollen. Sie wollen entweder zu viel auf einmal erreichen, was zu extrem aufwendigen Projekten führt, die hohe Kosten verursachen und nie enden. Oder sie sind zu ambitionslos und verschwenden Zeit mit kleinen Maßnahmen, die kaum Wirkung entfalten.
In beiden Fällen steht am Ende jedenfalls kein höheres Schutzniveau, und wahrscheinlich ist die Bereitschaft, einen neuen Versuch zu starten, erst einmal gering. Deshalb sollten Unternehmen unbedingt Prioritäten setzen und dabei nicht nur auf Machbarkeit und schnelle Erfolge achten, sondern auch auf den operativen oder geschäftlichen Nutzen. Auf diese Weise sichern sie sich die Unterstützung der Fachbereiche für Folgeprojekte.
3. Festhalten am Alten
Selbst wenn Unternehmen im Vorfeld alles richtig machen, kommt es in der Umsetzungsphase immer wieder vor, dass Security-Teams oder Fachbereiche nicht von etablierten Systemen und Prozessen lassen können.
Sie konstruieren Ausnahmen, die den Zero-Trust-Ansatz unterminieren, oder verzichten zugunsten starrer Richtlinien auf adaptive Kontrollen, die sich positiv auf die Produktivität auswirken würden. Verhindern lässt sich das nur, wenn alle Beteiligten die Prinzipien von Zero Trust verinnerlichen und konsequent im gesamten Unternehmen umsetzen.
4. Fehlendes Verständnis
Zero Trust ist – wie IT-Security überhaupt – ein fortwährender Prozess, der nicht irgendwann abgeschlossen ist. Deshalb müssen Unternehmen neue Anwendungen und Abläufe kontinuierlich in das Zero-Trust-Konzept integrieren und ihre Richtlinien immer weiter verfeinern. Dabei hilft unter anderem ein Monitoring, das aufzeigt, wie Mitarbeiter mit Daten umgehen und welche Tools oder Cloud-Services sie dabei nutzen.
Da sich auch Technologien schnell weiterentwickeln, sollten Unternehmen zudem die eingesetzten Lösungen im Auge behalten und stetig modernisieren. Schließlich kann beispielsweise KI nicht nur das Sicherheitsniveau erhöhen, etwa durch genauere Vorhersagen von Verhaltensweisen und Risiken, sondern auch eine Automatisierung unterstützen und dadurch die Verwaltung der Lösungen und Richtlinien vereinfachen.
5. Verzicht auf Cloud-Vorteile
Zwar sind Cloud-Lösungen nicht zwingend notwendig für Zero Trust, doch sie erleichtern die Umsetzung erheblich. Zum einen helfen sie, Richtlinien zentral zu verwalten und konsistent durchzusetzen – unabhängig davon, wo Mitarbeiter sich befinden, welches Endgerät sie nutzen und ob sie auf Daten on-premises oder in der Cloud zugreifen.
Zum anderen skalieren sie nahezu unbegrenzt und haben gut planbare Kosten, was angesichts dynamischer IT-Infrastrukturen und schwankender Security-Budgets nicht zu unterschätzende Vorteile sind.
„Dass Zero Trust ein wirksames Konzept zur Abwehr von Bedrohungen und zum Schutz von Daten ist, haben die meisten Unternehmen inzwischen verstanden“, betont Fabian Glöser, Team Leader Sales Engineering bei Forcepoint in München. „Aber es ist eben ein Konzept und kein einzelnes Produkt, das sich einfach einführen lässt – deshalb kann einiges schief gehen. Unternehmen sollten die Umsetzung daher nicht überstürzen und typische Fehler, die andere Unternehmen in der Vergangenheit gemacht haben, nicht wiederholen.“