Die Cyberkriminellen kommen…und niemand kann sie aufhalten – oder? Tatsächlich, so bestätigt eine aktuelle Studie im Auftrag der Bitkom, entsteht Unternehmen in Deutschland ein jährlicher Schaden von rund 203 Milliarden Euro durch den Diebstahl von IT-Ausrüstung und Daten sowie Spionage und Sabotage. Damit hat sich der Gesamtschaden innerhalb von drei Jahren fast verdoppelt.
Ganze 84 Prozent der Unternehmen berichten von Angriffen, weitere neun Prozent vermuten, dass sie attackiert wurden. Akamai verzeichnet im Jahr 2020 fast 6,3 Milliarden Webanwendungsangriff2, eine erschreckend hohe Zahl, die laut Prognosen von Akamai durch das Homeoffice sowie durch das lukrative Geschäft der Kriminellen noch weiter steigt.
Das bedeutet aber nicht, dass sich gegen diese Welle nichts ausrichten ließe. Mit dem Sicherheitskonzept ‘Zero Trust‘ können sich Unternehmen wirksam vor den perfiden Attacken schützen – zumal diese neben finanziellen Motiven auch einen geopolitischen Hintergrund haben können. Abseits dessen wird das Intranet von Unternehmen und Behörden durch Homeoffice oder Cloudlösungen immer komplexer und bietet Hackern immer wieder neue Chancen.
Das Allianz Risk Barometer 2022 hat festgestellt, dass Cybervorfälle und -angriffe zurzeit weltweit das größte Risiko für Organisationen aller Art darstellen. Das schürt das allgemeine Misstrauen und macht potenzielle Opfer besonders vorsichtig.
Doch kann das Prinzip ‚Zero Trust‘ wirklich die Lösung sein? Können Unternehmen in einer Atmosphäre der allseitigen Skepsis überhaupt produktiv mit ihren Stakeholdern interagieren – von den Kunden bis zur eigenen Belegschaft?
Hier gilt es, ein Missverständnis aufzuklären, was Zero Trust kann, soll und will. Es geht keineswegs darum, dass sich alle mit Argwohn gegenseitig beobachten und sich jede Geste, jede Aktion quittieren lassen. So würde in der Tat jede positive Dynamik abgewürgt. Genau das ist jedoch nicht gemeint. Ganz sicher soll dieser Ansatz nicht signalisieren, dass die Unternehmensverantwortlichen ihren Mitarbeitern nicht (mehr) vertrauen.
Was dann? Tatsächlich handelt es sich um ein wirksames Konzept für Cybersecurity. Wohlgemerkt: ein Konzept, kein Prinzip. Und auch kein Produkt oder eine bestimmte Technologie. Es ist eine Sicherheitsarchitektur, die auf mehreren Technologien und Ansätzen basiert.
Die Implementierung umfasst einen mehrstufigen Prozess. Zunächst müssen Unternehmen klären, was genau geschützt werden soll. Dazu wird mithilfe einer Business-Impact-Analyse ermittelt, welche Kosten mit dem Ausfall bestimmter Systeme oder Tools verbunden sind. Erst dann kann das passende ZeroTrust-Konzept ausgewählt werden.
Dabei gilt: Je nach Reifegrad bereits bestehender Sicherheitslösungen reichen manchmal schon kleinere Anpassungen, etwa bei den Prozessen, um mit bestehenden Tools ein Zero-Trust-Konzept umzusetzen. Es braucht nicht zwangsläufig eine komplette Neuinstallation der IT-Sicherheitsarchitektur. Generell ist eine iterative und schnell wirksame Umsetzung von Zero Trust besser als eine lange und aufwändige Vorarbeit an einem umfassenden Generalplan.
Wichtig ist eine Priorisierung nach den Maßgaben der Business-Impact-Analyse. Sie zeigt, welche Schritte zuerst in Angriff genommen werden sollten. Und sie gibt Antwort auf die Frage, was die entsprechenden Mitarberiter:innen als erstes machen sollten.
Je nach den Ressourcen des betroffenen Unternehmens können bestimmte Schutzaspekte auch an externe Partner vergeben werden.
Sowohl bei der Zusammenarbeit mit externen Partnern als auch bei der Anbieterauswahl für Zero-Trust-Lösungen kommt es darauf an, dass deren Tools perfekt zusammenpassen – sonst drohen im schlimmsten Fall Lücken im Sicherheitsnetz.
Insgesamt ist die Implementierung eines Zero-Trust-Konzepts nicht nur ein IT-, sondern auch ein Change-Thema. Dabei steht Zero Trust für nichts Geringeres als ein Modell, das vollkommen den Cybersicherheitsanforderungen der heutigen Zeit entspricht. Das Konzept repräsentiert ein positives statt ein negatives Sicherheitsmodell – eines, bei dem grundsätzlich alles hinterfragt wird. Hier wird die Beweislage umgekehrt: Alles, was nicht ausdrücklich erlaubt ist, ist verboten.
Insofern ist es wichtig, die menschliche Komponente im Blick zu behalten und die Beschäftigten bei der Umstellung auf Zero Trust zu begleiten. Wie bei jedem Change-Prozess gehört hierzu, die Belegschaft frühzeitig mit einzubinden. In jedem Fall sollte dabei potenziellen Sorgen vor Überforderung durch die neuen Zero Trust-Prozesse systematisch vorgebeugt werden.
Vielmehr gilt es, Potenziale aufzuzeigen – und natürlich die neuen Prinzipien „von oben“ vorzuleben. Dann wird auch die Belegschaft mitziehen. Entscheidend ist nicht zuletzt auch ein besonders transparenter Umgang mit der Tatsache, dass es Startprobleme geben kann. Denn am Ende überwiegen die Vorteile, das muss klar kommuniziert werden.
Was nicht zuletzt auch sehr wichtig ist und entsprechend kommuniziert werden sollte: Der Prozess endet nie. Haben Unternehmen ihr Zero-Trust-Konzept einmal implementiert, muss es regelmäßig überprüft werden. Etwa im Hinblick darauf, ob die aktuelle Konzeptumsetzung noch zu den Sicherheitsanforderungen (z.B. ein zunehmender Cloudeinsatz) und der Gefahrenlage innerhalb oder außerhalb des Unternehmens noch passt. Ausgangspunkt hierfür ist auch hier immer eine Business-Impact-Analyse.
Das bedeutet: Das Prinzip Zero Trust bleibt als Leitbild bestehen. Aber die implementierte Lösung muss immer wieder angepasst werden.
Autor: Philipp Merth, Regional Vice President CER, Akamai
ww.akamai.com/de