Thought Leadership
In den vergangenen Jahren hat sich Zero Trust von einem Schlagwort zu einer strategischen Initiative für Unternehmen entwickelt, die mit den Anforderungen an die Sicherung einer komplexen Umgebung jonglieren müssen. Diese umfasst häufig On-Premises- und Cloud-Anwendungen, eine hybride Belegschaft und eine wachsende Anzahl von Identitäten.
Es ist diese neue Welt, in der IT-Umgebungen und Benutzer zunehmend verteilt sind, die die Einführung von Zero Trust vorantreibt. Anstelle des „Castle-and-Moat“-Ansatzes, bei dem Geräte innerhalb des Netzwerks als vertrauenswürdig gelten, basiert das Zero-Trust-Modell auf der Idee, dass Benutzern und Geräten niemals standardmäßig vertraut werden sollte.
Allerdings gibt es rund um Zero Trust noch so einige Missverständnisse, die Absolute Software in der Folge unter die Lupe nimmt.
Richtiggemacht, kann es die Angriffsfläche reduzieren und dabei helfen, Daten und Anwendungen zu schützen, während Unternehmen ihre Cloud-Pläne verfolgen. Doch auch wenn Zero Trust immer häufiger eingesetzt wird, gibt es immer noch eine Reihe von technischen und geschäftlichen Hindernissen für die Implementierung. Die vielleicht problematischsten sind mangelndes Wissen und Widerstand gegen Veränderungen.
Laut einer im Juni von der Cloud Security Alliance (CSA) veröffentlichten Studie halten etwa 80 Prozent der Führungskräfte Zero Trust für eine „mittlere“ oder „hohe“ Priorität in ihrem Unternehmen. Auf die Frage nach den größten Hindernissen für die Einführung von Zero Trust nannten 37 Prozent der Befragten einen Mangel an Wissen und Erfahrung. 23 Prozent nannten den Widerstand gegen Veränderungen, 29 Prozent den Mangel an interner Abstimmung und 21 Prozent das Fehlen einer formellen Strategie. Weitere Antworten betrafen den zusätzlichen Personalbedarf (31 Prozent) und das Fehlen eines Sponsors auf Führungsebene (26 Prozent).
Ein wichtiger Teil der Einführung von Zero Trust ist die Kommunikation darüber, was Zero Trust ist, was es erfordert und wie es sich auf Ihre Geschäfts- und IT-Prozesse auswirken kann. Um den Marketing-Hype von der Realität zu trennen, müssen Unternehmen nach Meinung von Absolute Software mindestens mit vier gängigen Mythen und Missverständnissen rund um Zero Trust aufräumen.
Mythos 1: Zero Trust ist nur etwas für große Unternehmen
Es ist eine bedauerliche Tatsache, dass Cyberangreifer häufig kleine Unternehmen ins Visier nehmen. Da KMU ebenso Technologien wie die Cloud und das Internet der Dinge nutzen, können sie durch die Durchsetzung von Zero Trust strenge Zugangskontrollen einführen, die ihre Umgebung schützen können. Die Vorstellung, dass Zero Trust nur für große Unternehmen geeignet ist, wird oft von der Vorstellung begleitet, dass die Implementierung von Zero Trust teuer ist.
Bei Zero Trust geht es jedoch nicht notwendigerweise um den Kauf einer neuen Reihe von Produkten. Es ist ein Ansatz, dessen Umsetzung nicht kostspielig sein muss. Unternehmen sollten zunächst die Geschäftsziele bestimmen, die sie erreichen wollen, und herausfinden, wie Zero Trust ihnen dabei helfen kann und was sie aus technologischer und politischer Sicht tun müssen, um ihre Reise zu beginnen.
Mythos 2: Zero Trust ist zu kompliziert in der Umsetzung
Aufbauend auf dem obigen Punkt gibt es den Mythos, dass die Implementierung von Zero Trust zu kompliziert oder überfordernd sein kann. Die Umsetzung von Zero Trust erfordert die Zusammenarbeit mehrerer Beteiligter, z. B. der Sicherheits- und Netzwerkteams, ist jedoch nicht unmöglich. Es gibt keinen einheitlichen Weg zu Zero Trust. Unternehmen können damit beginnen, die Herausforderungen der Implementierung Stück für Stück anzugehen. Indem sie ihre Bedürfnisse und ihre Umgebung verstehen, können sie einen Fahrplan aufstellen, der für das, was sie zu erreichen versuchen, sinnvoll ist.
Mythos 3: Bei Zero Trust geht es nur um den Schutz von Netzwerkverbindungen
Es besteht die Tendenz, bei Zero Trust nur an Netzwerkverbindungen zu denken und die Sicherheit der Endgeräte zu vergessen. Aufgrund der Unternehmensmobilität und des Trends zu Bring-Your-Own-Device ist es nicht unüblich, dass Endgeräte vom Unternehmen verwaltet werden. Das Ergebnis ist eine erweiterte Angriffsfläche, die durch Endgeräte verursacht wird, die möglicherweise nicht mit den Konfigurations- und Patch-Richtlinien des Unternehmens konform sind. Um Zero Trust vollständig zu ermöglichen, müssen Unternehmen die Netzwerk- und Endgerätesicherheit integrieren und einen Überblick über die Sicherheitslage und -aktivitäten der Geräte erhalten. Zero Trust sollte sich auf die gesamte IT-Infrastruktur erstrecken, damit der Ansatz sein volles Potenzial entfalten kann.
Mythos 4: Zero Trust schadet der Benutzerproduktivität
Wenn Zero Trust effektiv eingesetzt wird, sollte es sich nicht negativ auf die Erfahrung der Benutzer auswirken. So können beispielsweise durch den Einsatz von Verhaltensanalysen Authentifizierungsentscheidungen auf der Grundlage von Risiken automatisiert und sicherer gemacht werden, ohne das Leben legitimer Benutzer zu erschweren. Wenn Zero Trust implementiert ist, können Unternehmen den Zugriff schnell widerrufen oder gewähren, was die Reibungsverluste für die Benutzer tatsächlich verringern kann. Auf diese Weise können Unternehmen schnell auf Bedrohungen reagieren und gleichzeitig autorisierten Benutzern einen nahtlosen Zugang ermöglichen.
Zero Trust Realität werden lassen
Es ist ratsam, sich Zero Trust als eine Reise vorzustellen. Es ist ein Ansatz, der sich vom Rechenzentrum bis hin zu Cloud-Workloads erstreckt, und wenn sich die IT-Umgebung ändert, muss sich auch die Implementierung in einem Unternehmen ändern. Bevor in die technischen Komponenten investiert wird, die für die Umsetzung erforderlich sind, müssen Geschäfts- und IT-Führungskräfte die Zustimmung ihres Sicherheitsteams und der Unternehmensleitung einholen. Alle an diesem Prozess Beteiligten müssen sich darüber im Klaren sein, was sie technisch erreichen wollen und welchen Geschäftszweck sie verfolgen. Indem sie falsche Vorstellungen und vorgefasste Meinungen aufgeben, können Unternehmen bei der Implementierung einer Zero-Trust-Architektur, die ihren Bedürfnissen entspricht, Fortschritte machen.
www.absolute.com
