Thought Leadership
Klassische IT-Sicherheitsmodelle greifen nicht mehr, wenn Anwendungen in die Cloud verlagert werden und Mitarbeiter von überall aus arbeiten. Im Zuge von Transformationsprojekten sollte deshalb auch die Modernisierung der Security auf jeder Agenda stehen.
Im Gespräch mit Florian Bäuml, Kathrin Redlich und Timo Trunk von Zscaler wird beleuchtet, wie Cloud-Transformation mit Sicherheits- und Connectivity-Anforderungen in Einklang gebracht wird. Zero Trust tritt an, der traditionellen Hardware-Sicherheit am Perimeter die Vormachtstellung streitig zu machen.
Wird Security heute im Rahmen von Transformationsprojekten berücksichtigt?
Florian Bäuml: Wir sehen zwei Ansätze in unseren Gesprächen. Der eine Teil von Unternehmen agiert nach dem Lift-&Shift-Prinzip und verlagert seine Applikationen in die Cloud, ohne gleichzeitig die Netzwerk- und Sicherheitsinfrastruktur anzupassen. Diese Unternehmen folgen dem tradierten Ansatz und nähern sich ihrer Transformation evolutionär. Das funktioniert zwar, zieht aber weitere Anpassungen nach sich, die zum Beispiel durch unzufriedene Anwender durch Latenz beim Zugriff nötig werden.
Andererseits erleben wir die Unternehmen, die einen ganzheitlichen Transformationsansatz umsetzen. Bei etwa einem Drittel gehen die strategischen Initiativen mit der Nachfrage nach einem Zero Trust-Sicherheitsansatz einher. Hier wird die Cloud-Journey von Netzwerk- und Security Transformation begleitet, so dass ein echter Strategiewechsel stattfindet.
Welche Herausforderungen gehen mit ganzheitlicher Transformation einher?
Kathrin Redlich: Am erfolgreichsten sind Transformationsprojekte, wenn sie von der Unternehmensspitze mit hoher Priorität vorangetrieben werden, die auch von allen Stakeholdern wahrgenommen wird. Business Units, die die Verlagerung von Apps in die Cloud vorhaben, müssen mit den Netzwerk- und Sicherheitsteams sprechen. In einer 360 Grad-Betrachtung gilt es, den Status Quo einzufangen und Herausforderungen aller Abteilungen zu adressieren. Letztlich muss gemeinsam eine Roadmap für die ganzheitliche Transformation erarbeitet werden.
Timo Trunk: Wir haben gelernt, dass Unternehmen für die Umsetzung der ganzheitlichen Initiativen einen Katalysator benötigen, der alle Parteien an einen Tisch bringt und auch alle Sorgen mit einbezieht. Wir treten Firmen, die den Sprung in eine moderne Arbeitsumgebung wagen, auf Augenhöhe gegenüber und hören im ersten Schritt zu. Denn oft muss ein Sinneswandel in Gang gesetzt und Ängste überwunden werden, wenn bestehende Infrastrukturen durch neue Technologien abgelöst werden.
Ein Cloud-basierter Zero Trust-Ansatz für IT-Security ersetzt ein Netzwerk-zentriertes Modell, bei dem die Mitarbeiter mit der Administration von Hardware betraut sind. Wir zeigen auf, wie die Cloud nicht nur mit Vorteilen für die Applikationen einhergeht, sondern auch für fortschrittliche Sicherheit sorgt. Eine anfängliche Abwehrhaltung aus Angst vor Veränderungen oder gar Jobverlust lässt sich entkräften durch die Einsicht, dass sich das volle Potenzial der Cloud nur durch eine Veränderung von Netzwerk und Sicherheit herbeiführen lässt. Aufgaben werden verlagert weg von der Administration von Hardware hin zur Erstellung von Richtlinien im Einklang mit der Risikobewertung des Unternehmens.
Welche Faktoren führen zu einem Umdenken?
Timo Trunk: Im schlimmsten Fall erleben Unternehmen durch einen Sicherheitsvorfall, dass ihr Sicherheitskonzept den modernen Angriffsszenarien nicht standhält. Spätestens dann ist die Einsicht für einen Richtungswechsel vorhanden. Ein Umdenken kann aber auch im Vorfeld durch Überzeugungsarbeit herbeigeführt werden. So hilft beispielsweise ein Architektur-Workshop, der mit allen beteiligten Parteien vom Anwendungsbereich über Netzwerk bis zu Sicherheitsteam durchgeführt wird, Alternativen aufzuzeigen. Seit Jahrzehnten bestehende Netzwerkarchitekturen werden nicht leichtherzig durch einen Zero Trust-Ansatz ausgetauscht. Es muss erst Verständnis geweckt werden für moderne Angriffsszenarien und -flächen, die ein Unternehmen in der Cloud ausgesetzt ist.
Kathrin Redlich: Speziell in großen Unternehmen ist es wichtig zunächst die bestehenden – oftmals komplexen – Strukturen und Verantwortungsbereiche der einzelnen Stakeholder zu verstehen und diese mit Expertise abzuholen. Es gibt etablierte Lösungen, die in der Vergangenheit gut funktioniert haben, aber in der heutigen Zeit mit den neuartigen Herausforderungen neu bewertet werden müssen. Für mich ist dabei wichtig, dass wir einen individuellen Lösungsansatz erarbeiten. Dazu muss man erst einmal zuhören können und erst im zweiten Schritt eine Lösungsmöglichkeit präsentieren, die auf die individuelle Zielsetzung und das Tempo des Unternehmens zugeschnitten ist.
Ist Sicherheit eine Frage der Unternehmensgröße?
Florian Bäuml: Es gibt gravierende Unterschiede bei der Schnelligkeit von Transformationsprojekten je nach Größe. Große Unternehmen tun sich aufgrund ihrer Legacy-Thematik und globaler Komplexität deutlich schwerer, denn mit zunehmender Größe steigen in aller Regel die Komplexität der vorhandenen Infrastruktur und damit auch die Veränderungsprozesse. Dennoch haben auch große Konzerne in den letzten 1,5 Jahren vorgeführt, wie schnell globale Transformation umsetzbar ist, um Mitarbeiter sicher und performant von zu Hause aus arbeiten zu lassen.
Kleinere Unternehmen sind häufig flexibler. Um nicht abgehängt zu werden, setzen gerade die Hidden Champions auf moderne Arbeitswelten und positionieren sich als attraktiver Arbeitgeber. Im gehobenen Mittelstand erleben wir ein großes Momentum, auf die Zeichen der Zeit zu setzen. Nicht nur die Cloud ist angesagt, man tut sich auch leichter, Legacy-Infrastrukturen über Bord zu werfen und neuartige Sicherheits-Konzepte zu implementieren. Entscheidungsprozesse sind beweglicher und die Bereitschaft für Veränderungen ist sehr groß.
Wo sollten Unternehmen mit einem Zero Trust Ansatz anfangen?
Kathrin Redlich: Sie sollten sich über eine konkrete Herausforderung und die Zielsetzung im Klaren sein. Nur dann ist eine konsequente Transformation hin zu Zero Trust möglich. Wir haben auf Basis vieler unterschiedlicher Treiber diesen Weg mit unseren Kunden beschritten. Die jüngsten Ransomware-Attacken lenken das Bewusstsein von Organisationen verstärkt auf das Thema Sicherheit.
Florian Bäuml: Vor Ransomware-Angriffen haben Unternehmen zwar Respekt, aber wir sehen unterschiedlichste Verhaltensmuster: von laxem Umgang bis zu großer Paranoia. Wenn Einsicht für die Anpassung der Infrastruktur vorhanden ist, sollte man bei einem konkreten Problem anfangen, das im Zuge der Transformation entstanden ist. Ist zum Beispiel der Zugang zu Microsoft 365 eine Herausforderung, müssen Hub & Spoke-Netzwerke durch direkte Internet-Übergänge, zum Beispiel mit Hilfe von SD-WAN, abgelöst werden. Damit einhergehend kann ein Zero Trust-Ansatz nicht nur für Sicherheit, sondern auch für die nötige Performanz sorgen. Somit schließt sich der Kreis, dass Cloud-Transformation nicht isoliert betrachtet werden darf.
Timo Trunk: Messbarkeit ist das Zauberwort. Dazu benötigen Unternehmen im ersten Schritt eine Strategie, welche Effekte sie durch die Transformation erzielen wollen. Anhand messbarer Kriterien – das kann die Anzahl der Helpdesk Tickets sein, Einblick in Angriffe auf das Netzwerk oder die Reduktion von Kosten – ergeben sich Ansatzpunkte. Damit die Vorteile der Cloud nicht durch erhöhte Komplexität oder Administration für Hardware abgefedert werden, ergibt sich ein Zero Trust-Modell als logische Folge. Der Mehrwert von erhöhter Sicherheit und reduzierten Kosten schafft schnell Akzeptanz über alle Abteilungen hinweg.
Frau Redlich, Herr Bäuml, Herr Trunk, wir danken Ihnen für dieses Gespräch.
