Cybersecurity Zero-Trust-Architektur: Die fünf häufigsten Fehler bei der Umsetzung

Anbieter zum Thema

Dell GmbH - Technologies

Kendox AG

xSuite Group GmbH

Eine Zero-Trust-Architektur verspricht zuverlässigen Schutz von Daten und Systemen, doch die Implementierung ist alles andere als trivial. Wie Unternehmen die am häufigsten auftretenden Stolperfallen vermeiden können.

Die Angriffsfläche von Unternehmen ist durch Remote Work, Cloud-Services und die stärkere Vernetzung mit Lieferanten, Dienstleistern und anderen Partnern deutlich größer geworden. Mit dem klassischen Perimeterschutz lassen sich die verteilten IT-Landschaften nicht mehr absichern. Unternehmen benötigen neue Konzepte, um Risiken zu reduzieren und den Handlungsspielraum von Cyberkriminellen einzuschränken. In der Praxis bewährt hat sich insbesondere die Zero-Trust-Architektur, die eine minimale Rechtevergabe (Least Privilege) und eine konsequente Verifizierung sämtlicher Zugriffe auf Unternehmensressourcen vorsehen. Bei der Umsetzung gibt es aber Fehler, die Unternehmen unbedingt vermeiden sollten:

1. Einseitiger Fokus auf Technologie

Schauen Unternehmen nur auf Technologien, greifen sie womöglich zu Lösungen, die nicht optimal zusammenarbeiten oder nicht optimal zu den vorhandenen Systemen passen. Das führt zu einem hohen administrativen Aufwand und Lücken im Schutz. Besser ist es, zunächst die internen Abläufe, Datenflüsse und Systeme zu analysieren und dann zu entscheiden, wie sich Zero-Trust-Prinzipien auf sie anwenden lassen. Dafür müssen IT-Teams auch das Gespräch mit den Fachbereichen suchen, um schützenswerte Daten zu identifizieren. Und zu verhindern, dass allzu restriktive Richtlinien die Mitarbeiter im Arbeitsalltag behindern.

2. Zero-Trust-Architektur: Fehlende Prioritäten

Oft wissen Unternehmen nicht, wie sie die Umsetzung einer Zero-Trust-Architektur am besten angehen sollen. Sie wollen entweder zu viel auf einmal erreichen, was zu extrem aufwendigen Projekten führt, die hohe Kosten verursachen und nie enden. Oder sie sind zu ambitionslos und verschwenden Zeit mit kleinen Maßnahmen, die kaum Wirkung entfalten. In beiden Fällen steht am Ende jedenfalls kein höheres Schutzniveau. Und wahrscheinlich ist die Bereitschaft, einen neuen Versuch zu starten, erst einmal gering. Deshalb sollten Unternehmen unbedingt Prioritäten setzen und dabei nicht nur auf Machbarkeit und schnelle Erfolge achten. Sie sollten auch auf den operativen oder geschäftlichen Nutzen. Auf diese Weise sichern sie sich die Unterstützung der Fachbereiche für Folgeprojekte.

3. Festhalten an vorhandenen Systemen

Selbst wenn Unternehmen im Vorfeld alles richtig machen, kommt es in der Umsetzungsphase immer wieder vor, dass Security-Teams oder Fachbereiche nicht von etablierten Systemen und Prozessen lassen können. Sie konstruieren Ausnahmen, die den Zero-Trust-Ansatz unterminieren. Oder verzichten zugunsten starrer Richtlinien auf adaptive Kontrollen, die sich positiv auf die Produktivität auswirken würden. Verhindern lässt sich das nur, wenn alle Beteiligten die Prinzipien von Zero Trust verinnerlichen und konsequent im gesamten Unternehmen umsetzen.

4. Fehlendes Verständnis für die Zero-Trust-Architektur

Das Zero-Trust-Konzept ist – wie IT-Security überhaupt – ein fortwährender Prozess, der nicht irgendwann abgeschlossen ist. Deshalb müssen Unternehmen neue Anwendungen und Abläufe kontinuierlich in die Zero-Trust-Architektur integrieren und ihre Richtlinien immer weiter verfeinern. Dabei hilft unter anderem ein Monitoring, das aufzeigt, wie Mitarbeiter mit Daten umgehen und welche Tools oder Cloud-Services sie dabei nutzen. Da sich auch Technologien schnell weiterentwickeln, sollten Unternehmen zudem die eingesetzten Lösungen im Auge behalten und stetig modernisieren. Schließlich kann beispielsweise KI nicht nur das Sicherheitsniveau erhöhen, etwa durch genauere Vorhersagen von Verhaltensweisen und Risiken. Die Technologie kann auch eine Automatisierung unterstützen und dadurch die Verwaltung der Lösungen und Richtlinien vereinfachen.

5. Verzicht auf die Vorteile einer Cloud-Umgebung

Zwar sind Cloud-Lösungen nicht zwingend notwendig für eine Zero-Trust-Architektur, doch sie erleichtern die Umsetzung erheblich. Zum einen helfen sie, Richtlinien zentral zu verwalten und konsistent durchzusetzen. Unabhängig davon, wo Mitarbeiter sich befinden, welches Endgerät sie nutzen und ob sie auf Daten on-premises oder in der Cloud zugreifen. Zum anderen skalieren sie nahezu unbegrenzt und haben gut planbare Kosten, was angesichts dynamischer IT-Infrastrukturen und schwankender Security-Budgets nicht zu unterschätzende Vorteile sind.

Fabian Glöser, Team Leader Sales Engineering bei Forcepoint, erklärt: „Dass Zero Trust ein wirksames Konzept zur Abwehr von Bedrohungen und zum Schutz von Daten ist, haben die meisten Unternehmen inzwischen verstanden. Aber es ist eben ein Konzept und kein einzelnes Produkt, das sich einfach einführen lässt – deshalb kann einiges schief gehen. Unternehmen sollten die Umsetzung daher nicht überstürzen und typische Fehler, die andere Unternehmen in der Vergangenheit gemacht haben, nicht wiederholen.“

Forcepoint bietet eine Cloud-native All-in-One-Plattform an, die die Hürden bei der Einführung einer Zero-Trust-Architektur senk und den Diebstahl oder Verlust von sensiblen Daten sowie geistigem Eigentum verhindert. Egal von wo aus Mitarbeiter darauf zugreifen.(sg)

Lesen Sie auch: IT-Security-Trends: Auf was sich die Unternehmen 2024 einstellen sollten