Die fünf häufigsten Fehler bei der Umsetzung von Zero-Trust-Konzepten

Zero Trust, Cybersecurity

Zero-Trust-Prinzipien versprechen einen zuverlässigen Schutz von Daten und Systemen, doch ihre Implementierung ist alles andere als trivial. Der Security-Spezialist Forcepoint nennt typische Stolperfallen.

Die Angriffsfläche von Unternehmen ist durch Remote Work, Cloud-Services und die stärkere Vernetzung mit Lieferanten, Dienstleistern und anderen Partnern deutlich größer geworden. Mit dem klassischen Perimeterschutz lassen sich die verteilten IT-Landschaften nicht mehr absichern; Unternehmen benötigen neue Konzepte, um Risiken zu reduzieren und den Handlungsspielraum von Cyberkriminellen einzuschränken. In der Praxis bewährt haben sich insbesondere Zero-Trust-Konzepte, die eine minimale Rechtevergabe (Least Privilege) und eine konsequente Verifizierung sämtlicher Zugriffe auf Unternehmensressourcen vorsehen. Bei der Umsetzung gibt es aber einige typische Fehler, die Unternehmen unbedingt vermeiden sollten: 

Anzeige

1. Reiner Technologie-Fokus:

Schauen Unternehmen nur auf Technologien, greifen sie womöglich zu Lösungen, die nicht optimal zusammenarbeiten oder nicht optimal zu den vorhandenen Systemen passen. Das führt zu einem hohen administrativen Aufwand und Lücken im Schutz. Besser ist es, zunächst die internen Abläufe, Datenflüsse und Systeme zu analysieren und dann zu entscheiden, wie sich Zero-Trust-Prinzipien auf sie anwenden lassen. Dafür müssen IT-Teams auch das Gespräch mit den Fachbereichen suchen, um schützenswerte Daten zu identifizieren und zu verhindern, dass allzu restriktive Richtlinien die Mitarbeiter im Arbeitsalltag behindern.

2. Fehlende Prioritäten:

Oft wissen Unternehmen nicht, wie sie die Umsetzung von Zero Trust am besten angehen sollen. Sie wollen entweder zu viel auf einmal erreichen, was zu extrem aufwendigen Projekten führt, die hohe Kosten verursachen und nie enden. Oder sie sind zu ambitionslos und verschwenden Zeit mit kleinen Maßnahmen, die kaum Wirkung entfalten. In beiden Fällen steht am Ende jedenfalls kein höheres Schutzniveau, und wahrscheinlich ist die Bereitschaft, einen neuen Versuch zu starten, erst einmal gering. Deshalb sollten Unternehmen unbedingt Prioritäten setzen und dabei nicht nur auf Machbarkeit und schnelle Erfolge achten, sondern auch auf den operativen oder geschäftlichen Nutzen. Auf diese Weise sichern sie sich die Unterstützung der Fachbereiche für Folgeprojekte. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Festhalten am Alten:

Selbst wenn Unternehmen im Vorfeld alles richtig machen, kommt es in der Umsetzungsphase immer wieder vor, dass Security-Teams oder Fachbereiche nicht von etablierten Systemen und Prozessen lassen können. Sie konstruieren Ausnahmen, die den Zero-Trust-Ansatz unterminieren, oder verzichten zugunsten starrer Richtlinien auf adaptive Kontrollen, die sich positiv auf die Produktivität auswirken würden. Verhindern lässt sich das nur, wenn alle Beteiligten die Prinzipien von Zero Trust verinnerlichen und konsequent im gesamten Unternehmen umsetzen.

Anzeige

4. Fehlendes Verständnis:

Zero Trust ist – wie IT-Security überhaupt – ein fortwährender Prozess, der nicht irgendwann abgeschlossen ist. Deshalb müssen Unternehmen neue Anwendungen und Abläufe kontinuierlich in das Zero-Trust-Konzept integrieren und ihre Richtlinien immer weiter verfeinern. Dabei hilft unter anderem ein Monitoring, das aufzeigt, wie Mitarbeiter mit Daten umgehen und welche Tools oder Cloud-Services sie dabei nutzen. Da sich auch Technologien schnell weiterentwickeln, sollten Unternehmen zudem die eingesetzten Lösungen im Auge behalten und stetig modernisieren. Schließlich kann beispielsweise KI nicht nur das Sicherheitsniveau erhöhen, etwa durch genauere Vorhersagen von Verhaltensweisen und Risiken, sondern auch eine Automatisierung unterstützen und dadurch die Verwaltung der Lösungen und Richtlinien vereinfachen.

5. Verzicht auf Cloud-Vorteile:

Zwar sind Cloud-Lösungen nicht zwingend notwendig für Zero Trust, doch sie erleichtern die Umsetzung erheblich. Zum einen helfen sie, Richtlinien zentral zu verwalten und konsistent durchzusetzen – unabhängig davon, wo Mitarbeiter sich befinden, welches Endgerät sie nutzen und ob sie auf Daten on-premises oder in der Cloud zugreifen. Zum anderen skalieren sie nahezu unbegrenzt und haben gut planbare Kosten, was angesichts dynamischer IT-Infrastrukturen und schwankender Security-Budgets nicht zu unterschätzende Vorteile sind. 

„Dass Zero Trust ein wirksames Konzept zur Abwehr von Bedrohungen und zum Schutz von Daten ist, haben die meisten Unternehmen inzwischen verstanden“, betont Fabian Glöser, Team Leader Sales Engineering bei Forcepoint in München. „Aber es ist eben ein Konzept und kein einzelnes Produkt, das sich einfach einführen lässt – deshalb kann einiges schief gehen. Unternehmen sollten die Umsetzung daher nicht überstürzen und typische Fehler, die andere Unternehmen in der Vergangenheit gemacht haben, nicht wiederholen.“

www.forcepoint.com/de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.