Anzeige

Zscaler Leadershipteam

Bild: Kathrin Redlich, Florian Bäuml, Timo Trunk, Zscaler Germany GmbH (Quelle: Zscaler Germany GmbH)

Klassische IT-Sicherheitsmodelle greifen nicht mehr, wenn Anwendungen in die Cloud verlagert werden und Mitarbeiter von überall aus arbeiten. Im Zuge von Transformationsprojekten sollte deshalb auch die Modernisierung der Security auf jeder Agenda stehen.

Im Gespräch mit Florian Bäuml, Kathrin Redlich und Timo Trunk von Zscaler wird beleuchtet, wie Cloud-Transformation mit Sicherheits- und Connectivity-Anforderungen in Einklang gebracht wird. Zero Trust tritt an, der traditionellen Hardware-Sicherheit am Perimeter die Vormachtstellung streitig zu machen.

 

Wird Security heute im Rahmen von Transformationsprojekten berücksichtigt?

Florian Bäuml: Wir sehen zwei Ansätze in unseren Gesprächen. Der eine Teil von Unternehmen agiert nach dem Lift-&Shift-Prinzip und verlagert seine Applikationen in die Cloud, ohne gleichzeitig die Netzwerk- und Sicherheitsinfrastruktur anzupassen. Diese Unternehmen folgen dem tradierten Ansatz und nähern sich ihrer Transformation evolutionär. Das funktioniert zwar, zieht aber weitere Anpassungen nach sich, die zum Beispiel durch unzufriedene Anwender durch Latenz beim Zugriff nötig werden.

Andererseits erleben wir die Unternehmen, die einen ganzheitlichen Transformationsansatz umsetzen. Bei etwa einem Drittel gehen die strategischen Initiativen mit der Nachfrage nach einem Zero Trust-Sicherheitsansatz einher. Hier wird die Cloud-Journey von Netzwerk- und Security Transformation begleitet, so dass ein echter Strategiewechsel stattfindet.

 

Welche Herausforderungen gehen mit ganzheitlicher Transformation einher?

Kathrin Redlich: Am erfolgreichsten sind Transformationsprojekte, wenn sie von der Unternehmensspitze mit hoher Priorität vorangetrieben werden, die auch von allen Stakeholdern wahrgenommen wird. Business Units, die die Verlagerung von Apps in die Cloud vorhaben, müssen mit den Netzwerk- und Sicherheitsteams sprechen. In einer 360 Grad-Betrachtung gilt es, den Status Quo einzufangen und Herausforderungen aller Abteilungen zu adressieren. Letztlich muss gemeinsam eine Roadmap für die ganzheitliche Transformation erarbeitet werden.

Timo Trunk: Wir haben gelernt, dass Unternehmen für die Umsetzung der ganzheitlichen Initiativen einen Katalysator benötigen, der alle Parteien an einen Tisch bringt und auch alle Sorgen mit einbezieht. Wir treten Firmen, die den Sprung in eine moderne Arbeitsumgebung wagen, auf Augenhöhe gegenüber und hören im ersten Schritt zu. Denn oft muss ein Sinneswandel in Gang gesetzt und Ängste überwunden werden, wenn bestehende Infrastrukturen durch neue Technologien abgelöst werden.

Ein Cloud-basierter Zero Trust-Ansatz für IT-Security ersetzt ein Netzwerk-zentriertes Modell, bei dem die Mitarbeiter mit der Administration von Hardware betraut sind. Wir zeigen auf, wie die Cloud nicht nur mit Vorteilen für die Applikationen einhergeht, sondern auch für fortschrittliche Sicherheit sorgt. Eine anfängliche Abwehrhaltung aus Angst vor Veränderungen oder gar Jobverlust lässt sich entkräften durch die Einsicht, dass sich das volle Potenzial der Cloud nur durch eine Veränderung von Netzwerk und Sicherheit herbeiführen lässt. Aufgaben werden verlagert weg von der Administration von Hardware hin zur Erstellung von Richtlinien im Einklang mit der Risikobewertung des Unternehmens.

 

Welche Faktoren führen zu einem Umdenken?

Timo Trunk: Im schlimmsten Fall erleben Unternehmen durch einen Sicherheitsvorfall, dass ihr Sicherheitskonzept den modernen Angriffsszenarien nicht standhält. Spätestens dann ist die Einsicht für einen Richtungswechsel vorhanden. Ein Umdenken kann aber auch im Vorfeld durch Überzeugungsarbeit herbeigeführt werden. So hilft beispielsweise ein Architektur-Workshop, der mit allen beteiligten Parteien vom Anwendungsbereich über Netzwerk bis zu Sicherheitsteam durchgeführt wird, Alternativen aufzuzeigen. Seit Jahrzehnten bestehende Netzwerkarchitekturen werden nicht leichtherzig durch einen Zero Trust-Ansatz ausgetauscht. Es muss erst Verständnis geweckt werden für moderne Angriffsszenarien und -flächen, die ein Unternehmen in der Cloud ausgesetzt ist.

Kathrin Redlich: Speziell in großen Unternehmen ist es wichtig zunächst die bestehenden – oftmals komplexen – Strukturen und Verantwortungsbereiche der einzelnen Stakeholder zu verstehen und diese mit Expertise abzuholen. Es gibt etablierte Lösungen, die in der Vergangenheit gut funktioniert haben, aber in der heutigen Zeit mit den neuartigen Herausforderungen neu bewertet werden müssen. Für mich ist dabei wichtig, dass wir einen individuellen Lösungsansatz erarbeiten. Dazu muss man erst einmal zuhören können und erst im zweiten Schritt eine Lösungsmöglichkeit präsentieren, die auf die individuelle Zielsetzung und das Tempo des Unternehmens zugeschnitten ist.

 

Ist Sicherheit eine Frage der Unternehmensgröße?

Florian Bäuml: Es gibt gravierende Unterschiede bei der Schnelligkeit von Transformationsprojekten je nach Größe. Große Unternehmen tun sich aufgrund ihrer Legacy-Thematik und globaler Komplexität deutlich schwerer, denn mit zunehmender Größe steigen in aller Regel die Komplexität der vorhandenen Infrastruktur und damit auch die Veränderungsprozesse. Dennoch haben auch große Konzerne in den letzten 1,5 Jahren vorgeführt, wie schnell globale Transformation umsetzbar ist, um Mitarbeiter sicher und performant von zu Hause aus arbeiten zu lassen.

Kleinere Unternehmen sind häufig flexibler. Um nicht abgehängt zu werden, setzen gerade die Hidden Champions auf moderne Arbeitswelten und positionieren sich als attraktiver Arbeitgeber. Im gehobenen Mittelstand erleben wir ein großes Momentum, auf die Zeichen der Zeit zu setzen. Nicht nur die Cloud ist angesagt, man tut sich auch leichter, Legacy-Infrastrukturen über Bord zu werfen und neuartige Sicherheits-Konzepte zu implementieren. Entscheidungsprozesse sind beweglicher und die Bereitschaft für Veränderungen ist sehr groß.

 

Wo sollten Unternehmen mit einem Zero Trust Ansatz anfangen?

Kathrin Redlich: Sie sollten sich über eine konkrete Herausforderung und die Zielsetzung im Klaren sein. Nur dann ist eine konsequente Transformation hin zu Zero Trust möglich. Wir haben auf Basis vieler unterschiedlicher Treiber diesen Weg mit unseren Kunden beschritten. Die jüngsten Ransomware-Attacken lenken das Bewusstsein von Organisationen verstärkt auf das Thema Sicherheit.

Florian Bäuml: Vor Ransomware-Angriffen haben Unternehmen zwar Respekt, aber wir sehen unterschiedlichste Verhaltensmuster: von laxem Umgang bis zu großer Paranoia. Wenn Einsicht für die Anpassung der Infrastruktur vorhanden ist, sollte man bei einem konkreten Problem anfangen, das im Zuge der Transformation entstanden ist. Ist zum Beispiel der Zugang zu Microsoft 365 eine Herausforderung, müssen Hub & Spoke-Netzwerke durch direkte Internet-Übergänge, zum Beispiel mit Hilfe von SD-WAN, abgelöst werden. Damit einhergehend kann ein Zero Trust-Ansatz nicht nur für Sicherheit, sondern auch für die nötige Performanz sorgen. Somit schließt sich der Kreis, dass Cloud-Transformation nicht isoliert betrachtet werden darf.

Timo Trunk: Messbarkeit ist das Zauberwort. Dazu benötigen Unternehmen im ersten Schritt eine Strategie, welche Effekte sie durch die Transformation erzielen wollen. Anhand messbarer Kriterien - das kann die Anzahl der Helpdesk Tickets sein, Einblick in Angriffe auf das Netzwerk oder die Reduktion von Kosten - ergeben sich Ansatzpunkte. Damit die Vorteile der Cloud nicht durch erhöhte Komplexität oder Administration für Hardware abgefedert werden, ergibt sich ein Zero Trust-Modell als logische Folge. Der Mehrwert von erhöhter Sicherheit und reduzierten Kosten schafft schnell Akzeptanz über alle Abteilungen hinweg.

 

Frau Redlich, Herr Bäuml, Herr Trunk, wir danken Ihnen für dieses Gespräch.

 


Artikel zu diesem Thema

Zero Trust
Okt 04, 2021

Zero Trust-Sicherheit – so gelingt die Umsetzung

Dezentrales Arbeiten außerhalb von Büros und der Einsatz von Public Clouds sind in den…

Weitere Artikel

Cyber Security

Wenige Branchen fühlen sich Herausforderungen der IT-Sicherheit gewachsen

Mit der zunehmenden Vernetzung und Digitalisierung wächst das Bedrohungspotenzial von Cyberattacken erheblich und das Risiko von Datenverlust und Datenmanipulation ist hoch. Wenige Branchen fühlen sich im Bereich IT-Sicherheit gut vorbereitet.
Cyber Security

So schützt sich die deutsche Wirtschaft gegen Diebstahl und Spionage

Diebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Gefahr werden. Doch nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall.
Cyber Security

3 aktuelle Faktoren, die die IT-Security beeinflussen

Der Oktober steht ganz im Zeichen der Cybersecurity, um Nutzer daran zu erinnern, im Internet vorsichtig mit ihren Daten umzugehen. Nie war diese Warnung so nötig wie heute – immer mehr Menschen nutzen immer mehr digitale Dienste.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.