Zero Trust in der Praxis
Gartner drängt zu Zero Trust
Foto: Luis Molinero - shutterstock.com
Das Architekturmodell Zero Trust kann für Unternehmen einen wichtigen Teil zur Risikominderung beitragen. Allerdings haben bisher nur wenige das Modell tatsächlich implementiert. Das Marktforschungsunternehmen Gartner prognostiziert, dass zehn Prozent der großen Unternehmen bis 2026 ein ausgereiftes und messbares Zero-Trust-Programm eingeführt haben werden. Heute seien es nur weniger als ein Prozent.
"Viele Unternehmen haben ihre Infrastruktur mit impliziten statt expliziten Vertrauensmodellen eingerichtet, um Mitarbeitern und Workloads den Zugang und Betrieb zu erleichtern. Angreifer missbrauchen dieses implizite Vertrauen in die Infrastruktur, um Malware einzuschleusen und sich dann seitlich zu bewegen, um ihre Ziele zu erreichen", sagt John Watts, VP Analyst bei Gartner. "Zero Trust bedeutet ein Umdenken, um diesen Bedrohungen zu begegnen, indem ein kontinuierlich bewertetes, explizit kalkuliertes und adaptives Vertrauen zwischen Benutzern, Geräten und Ressourcen erfordert wird."
Lesetipp: Die 8 wichtigsten Fragen an Zero-Trust-Anbieter
Nach Meinung des Gartner-Analysten müssen CISOs die Anforderungen an die Informationssicherheit mit dem Geschäftsbetrieb in Einklang bringen, um Zero Trust zu implementieren. "Das bedeutet, dass man mit der Strategie eines Unternehmens beginnt und daran angelehnt einen Umfang für Zero-Trust-Programme definiert", erklärt Watts. Sobald die Strategie definiert sei, müssten CISOs die digitalen Identitäten schützen, die die Grundlage für Zero Trust sei.
"CISOs müssen nicht nur die Technologie, sondern auch die Mitarbeiter und die Prozesse zum Aufbau und zur Verwaltung dieser Identitäten miteinbeziehen", ergänzt Watts. Allerdings sollten die Sicherheitsverantwortlichen nicht davon ausgehen, dass eine Zero-Trust-Strategie alle Cyberbedrohungen beseitigt. Vielmehr reduziere das Modell das Risiko und begrenze die Auswirkungen eines Angriffs. Bis 2026 werden den Analysten zufolge mehr als die Hälfte der Cyberattacken auf Bereiche abzielen, die nicht durch Zero-Trust-Kontrollen abgedeckt sind.
"Die Angriffsfläche für Unternehmen vergrößert sich immer schneller und Angreifer werden schnell in Erwägung ziehen, auf Schwachstellen außerhalb des Geltungsbereichs von Zero-Trust-Architekturen auszuweichen", sagt Jeremy D'Hoinne, VP Analyst bei Gartner. "Dies kann in Form des Scannens und Ausnutzens von öffentlich zugänglichen APIs geschehen, durch Social Engineering oder das Ausnutzen von Schwachstellen durch Mitarbeiter, die eine eigene Umgehung schaffen, um strenge Zero-Trust-Richtlinien zu umgehen."
Gartner empfiehlt Unternehmen, Zero Trust zu implementieren, um das Risiko für die kritischsten Assets zu mindern. Zero Trust ist jedoch nicht die Lösung für alle Sicherheitsanforderungen. CISOs und Verantwortliche für das Risikomanagement müssen auch ein Programm für das kontinuierliche Management der Bedrohungslage etablieren, um eine bessere Bestandsaufnahme zu haben und die Risiken von Bedrohungen zu mindern, die über den Umfang von ZTA hinausgehen.
Lesetipp: Was ist eine Zero Trust Network Architecture?
Wie stehen deutsche CISOs zu Zero Trust?
Einige der von uns befragten CISOs konnten uns zu Zero Trust keine Auskunft geben. Gedanken konnten sich viele über das Architekturmodell noch nicht machen, da oftmals andere Security-Grundlagen in der IT-Infrastruktur fehlen würden. In anderen Unternehmen löse das Thema regelmäßig wilde Diskussionen über den Nutzen aus.
Bei TeamViewer in Deutschland jedoch, war die Implementierung von Zero Trust, laut CISO Robert Haist, unumgänglich: "Aufgrund unserer global verteilten, hybriden Infrastruktur und Arbeitsweise, ist es für uns unumgänglich Zero-Trust-Prinzipien für die Absicherungen unserer internen und externen Applikationen einzusetzen. Wir bauen hier unter anderem auf eine Kombination aus striktem Single-Sign-On in Verbindung mit starker Multi-Faktor-Authentifizierung. Dabei setzen wir für Wartung, Forschung und Entwicklung natürlich auch auf die Zero-Trust-Funktionen unserer eigenen Software-Lösungen." Dadurch profitiere das Unternehmen von sicherer Skalierung der bestehenden Infrastruktur und dem reibungslosen Wechsel von Cloud-Infrastruktur- und Softwareanbietern. "Ein gut gepflegtes Identity and Access Management ist hier aus meiner Sicht die wichtigste Voraussetzung."
Auch Iskro Mollov, CISO der GEA Group, setzt auf Zero Turst, wobei für ihn das Architekturmodell mehr eine Philosophie und oft eine Modeerscheinung darstellt. "Maßnahmen, die zur Zero-Trust-Philosophie gehören, sind unter anderem die Multi-Faktor-Authentifizierung, Identity and Access Management, Privileged Access Management, Single Sign On, Conditional Access, Virtual Private Network, Network Access Control, Network Segmentation, Informationsklassifizierung, Data Loss Prevention und Digital Rights Management. Wir profitieren mit Zero Trust konkret von verbesserten Sicherheitsmaßnahmen für die Verifizierung von Accounts, Geräten, Applikationen und kontinuierlichem Monitoring sowie dedizierter Sicherheit für die 'Kronjuwelen' des Unternehmens", sagt Mollov.
Lesetipp: So sieht Information Security bei der GEA Group aus