Viele Firmen sind mit Zero Trust überfordert

Auf dem Gartner Security & Risk Management Summit 2022 in London haben die Analysten Katell Thielemann und Nader Henein in ihren Keynotes zum Auftakt der Veranstaltung folgende Prognosen gewagt:

• 75 Prozent aller Unternehmen werden in diesem Jahr die Anzahl Ihrer IT-Security-Lieferanten zusammenstreichen (mehr dazu lesen Sie hier).

• Bis zum Jahr 2023 werden weltweit fünf Milliarden Menschen und 70 Prozent der globalen Wirtschaftskraft regulatorischen Vorschriften unterliegen, die den Menschen Datenschutzrechte gewähren. Die Analysten empfehlen: "Verantwortliche für IT-Sicherheit und Risikomanagement sollten einen umfassenden Datenschutzstandard einführen und sich dabei an der EU-Datenschutzgrundverordnung (EU-DSGVO) orientieren. Das ist in Zukunft die Grundlage, um sich in einem wettbewerbsintensiven Weltmarkt zu differenzieren und zu wachsen."

• Bis 2025 werden vier von fünf Unternehmen eine Strategie verfolgen, um den Zugang zum Web, zu Cloud-Diensten und zu privaten Anwendungen über eine Security-Service-Edge-Plattform (SSE) eines einzigen Anbieters zu vereinheitlichen. Lieferanten entsprechender Lösungen sind beispielsweise Zscaler, Palo Alto Networks, Cisco, Netskope oder Skyhigh Security. Die Analysten raten: "Stellen Sie ein engagiertes Team von Sicherheits- und Netzwerkexperten mit gemeinsamer Verantwortung für sicheres Access Engineering auf, das sich über Firmenstandorte, Remote-Mitarbeiter, Zweigstellen und Edge-Lokationen erstreckt."

• 60 Prozent der Betriebe werden bis 2025 Zero Trust als Ausgangspunkt für die Sicherheit einführen. Mehr als die Hälfte wird allerdings nicht in den Genuss der erhofften Vorteile gelangen, da Zero Trust einen kulturellen Wandel im Denken und in der Kommunikation voraussetzt. Zero-Trust-Netzwerkzugänge bieten laut Gartner, wenn sie denn richtig eingeführt werden, erhebliche Vorteile in Bezug auf Benutzerfreundlichkeit, Agilität, Skalierbarkeit und einfache Richtlinienverwaltung.
  
  Unternehmen müssten dazu allerdings erst einmal eine übergeordnete Zero-Trust-Strategie festlegen und sicherstellen, dass Ihre Identitäts- und Access-Management-Technologien (IAM) sowie die entsprechenden Prozesse gut funktionieren und ausgereift sind, bevor Sie eine Zero-Trust-Network-Access-Lösung implementieren können. Wichtig sei auch, die aktuelle VPN-Landschaft genau zu kennen, wenn deren Ablösung das Ziel sei.
  
  Gartner empfiehlt auch, die Zero-Trust-Lösungsauswahl mit der des SSE-Anbieters als Teil einer umfassenderen SASE-Architekturentscheidung zu vereinen. So ließen sich komplexe und potenziell nicht unterstützte Konfigurationen mehrerer Agenten auf verwalteten Geräten vermeiden. Die Analysten raten ganz generell: "Kommunizieren Sie die geschäftliche Relevanz von Zero Trust, indem Sie Resilienz und Agilität in Einklang bringen."

• Bis 2025 werden 60 Prozent der Unternehmen beim Eingehen von Geschäftsbeziehungen oder beim Durchführen von Transaktionen mit anderen Betrieben potenzielle Cybersecurity-Risiken als wichtigstes Entscheidungskriterium heranziehen. Gartners Rat: "Setzen Sie auf risikobasierende Bewertungen, die die Transparenz in den Vordergrund stellen und Teilnehmer belohnen, deren Risikoprofil für Sie erkennbar ist und zu Ihrem eigenen passt."

• Bis 2025 werden 30 Prozent aller Staaten Gesetze verabschiedet haben, die Ransomware-Zahlungen, Geldstrafen und Verhandlungen regulieren. Zum Vergleich: 2021 waren nicht mal ein Prozent so weit. Die Gartner-Empfehlung: "Bedenken Sie, welche Auswirkungen es hat, wenn Sie den Erpressern nachgeben. Die Ransomware-Banden sind dazu übergegangen, Daten nicht nur zu verschlüsseln, sondern auch zu stehlen. Wer zahlt, hat vielleicht die Gewissheit, dass die gestohlenen Daten nicht unmittelbar veröffentlicht werden, aber sie können sehr wohl verkauft und dann zu einem späteren Zeitpunkt anderweitig offengelegt werden, wenn es sich denn für die Angreifer finanziell lohnt."

So kommunizieren CISOs mit ihrem Vorstand

In einem anderen Beitrag gab Analyst Sam Olyaei den anwesenden Chief Information Security Officers (CISOs) Empfehlungen für die Kommunikation mit Vorständen und Führungskräften in den Unternehmen. Oft werde der Fehler gemacht, allzu detaillierte Diagramme in 50-seitige Präsentationen zu packen und diese den Führungskräften zu zeigen, in der Hoffnung, dass sie sich dafür interessieren könnten. Olyaei gab einige Tipps, wie Sicherheitsinformationen und -metriken schmackhaft gemacht werden können.

Beispielsweise sei es für den Aufbau eines guten Kennzahlensystems entscheidend, die Sicherheitsstrategie optimal mit den Unternehmenszielen in Einklang zu bringen. Das sei die Voraussetzung dafür, dass das Reporting überhaupt vom C-Level gelesen werde – denn es sei in einer Terminologie verfasst, mit der das Business etwa anfangen könne. Die Wahrscheinlichkeit steige, dass Business-Manager die Mitverantwortung dafür übernehmen, Informationsrisiken optimal zu managen.

Zudem sollten die Kennzahlen in einen Kontext gestellt werden, der vom Business verstanden wird, so Olyaei. Müssen Key Performance Indicators (KPIs) jedes Mal von Neuem erklärt werden, sind sie nicht gut strukturiert oder sie stehen in einem falschen Kontext. "Führungskräfte verstehen die Verbindung zwischen technischen Sicherheitsdaten und den geschäftlichen Aufgaben, für die sie verantwortlich sind, nicht so schnell", warnte Olyaei. Wer Entscheidungen vom Business wolle, werde sie kaum mit dem Bereitstellen vieler technischer Datenpunkte erreichen.

Deshalb sei auch die Auswahl der Kennzahlen, die den Vorständen und sonstigen Verantwortlichen im Business vorgelegt werden sollen, so wichtig. Der Analyst empfahl: "Identifizieren und kommunizieren Sie vor allem solche Metriken, die den Wert der Security-Aktivitäten demonstrieren und Verbesserungen im Laufe der Zeit versprechen."

Kennzahlen müssten einfach und schnell gesammelt werden können, so der Gartner-Mann weiter. Ist der Aufwand für das Ermitteln, Verfolgen und Melden zu hoch, dürften sie kaum in das Governance-Framework oder den Entscheidungsfindungs-Prozess aufgenommen werden. Außerdem sollten klare Handlungsempfehlungen enthalten sein. "Ihr Publikum muss wissen, was zu tun ist – sonst ist Ihr Reporting nicht nützlich", mahnt der Analyst. (hv)