Expert-Talk: „Erfolgreiche Zero Trust-Konzepte setzen auf Pragmatismus!“

Lieber Jan, aus deiner Erfahrung als Consultant: Wie ist es derzeit um die Datensicherheit in deutschen Unternehmen bestellt?

Werfen wir einen Blick in die jüngste Vergangenheit, sieht es erst mal nicht besonders rosig aus. Selbst Großkonzerne können praktisch kaum verhindern, dass Hacker ins Unternehmensnetzwerk eindringen. Die Corona-Krise hat die Situation noch weiter verschärft: Dadurch, dass Mitarbeiter:innen im Homeoffice arbeiten, hat sich die Angriffsfläche auf Unternehmen um ein Vielfaches vergrößert. Hacker nehmen die Daten auf betroffenen Computern und Servern mit Ransomware in Geiselhaft und fordern für die Freigabe Lösegelder von Millionen Euro. Und das betrifft nicht nur die Großen. Auch der Mittelstand ist zunehmend betroffen. Laut Bitkom haben bereits 86 Prozent der Unternehmen in Deutschland Schäden durch Cyber-Angriffe erlitten. Es besteht dringender Handlungsbedarf!

Was können Unternehmen tun, um ihre Daten zu schützen?

Das größte Risiko für die IT-Sicherheit ist der Faktor Mensch: schwache Passwörter, das Öffnen von E-Mail-Anhängen oder die Nutzung öffentlicher Internetzugänge – gerade in Zeiten von Homeoffice – verursachen Sicherheitsvorfälle. Es braucht daher zum einen mitarbeiterzentrierte Maßnahmen, um das Sicherheitsbewusstsein zu verbessern. Zum anderen kann ein Unternehmen seinen Mitarbeiter:innen das Einhalten von IT-Security erleichtern, wenn es ein ganzheitliches Sicherheitskonzept umsetzt, das zugleich nutzerorientiert ist.

Wie sieht so ein ganzheitliches, nutzerorientiertes Sicherheitskonzept aus?

Die Angriffe auf Unternehmen sind vielfältiger Natur und können praktisch an jeder Stelle der IT-Infrastruktur stattfinden, egal ob im eigenen Rechenzentrum, in der Cloud oder im Homeoffice. Daher ist es wichtig, die Angriffsfläche insgesamt zu minimieren – ohne dass die Arbeitsfähigkeit des Unternehmens darunter leidet. Gerade hier hilft eine IT-Sicherheitsstrategie, die auf der Maxime Zero Trust basiert.

Was versteht man unter Zero Trust im Unternehmenskontext?

Zero Trust bedeutet, dass Vertrauen, z. B. in das Unternehmensnetzwerk, nicht grundlos erteilt, sondern jeder Zugriff und Datenfluss immer wieder einzeln legitimiert wird. Egal, bei welchem Unternehmensnetz: „assume compromised“ muss die Grundannahme sein. Von der Idee eines sicheren Netzes muss man sich lösen. In der Covid-Pandemie haben wir gesehen, dass das Arbeiten im Homeoffice für viele Unternehmen nicht nur organisatorisch Neuland war, sondern auch neue Strategien zur Absicherung der Zugriffe durch Mitarbeiter:innen auf die Unternehmens-Assets notwendig macht. Aber auch die fortschreitende Digitalisierung und die Nutzung von Cloudservices erfordern weitere Absicherungsmaßnahmen gegen Angreifer. Zero Trust als Sicherheitsstrategie hilft, die Resilienz der IT-Infrastruktur zu stärken und senkt damit die Gefahr und die Auswirkungen von Security Breaches sowie den Verlust von unternehmenskritischen Daten.

Eine der großen Stärken von Zero Trust ist zudem die Anpassbarkeit an veränderte Unternehmensstrukturen und Arbeitsweisen. Das reicht von der Umstellung auf Remote Work bis hin zu z. B. Carve-Out-Projekten. So etwas konnte früher nur mit hohem Ressourceneinsatz realisiert werden. Mit Zero Trust setzen Unternehmen die damit einhergehenden strukturellen Veränderungen schneller und günstiger um, vor allem mit einer cloudbasierten Plattform. Aber auch insgesamt profitiert die Organisation eines Unternehmens: z. B. durch Komplexitätsreduktion, eine bessere Nutzererfahrung und verbesserte Möglichkeiten der Zusammenarbeit.

Wenn Zero Trust so viel mehr Sicherheit und weitere Vorteile schafft, warum haben nicht schon längst alle Unternehmen dieses Konzept umgesetzt?

Die Einführung von Zero Trust erfordert die Unterstützung der gesamten IT-Organisation eines Unternehmens und bedeutet immer eine Gratwanderung, z. B. zwischen Nutzbarkeit und Security. Diese Komplexität und der erforderliche Ressourcen-Einsatz erscheinen vielen Unternehmen zunächst als kaum überwindbare Hürde. Außerdem ist ein Security Breach oft eine abstrakte Bedrohung, die vielfach erst ins Bewusstsein tritt, wenn sie Realität wird. Es verhält sich hier aber wie mit jeder Investition: Der anfängliche Einsatz zahlt sich dauerhaft aus – und mit der richtigen Strategie sogar schon kurzfristig. Wichtig ist es, dass Unternehmen ein solches Projekt strategisch angehen. Dabei hilft der neutrale Blick von außen auf die über Jahre entstandene – und vielen Mitarbeiter:innen ans Herz gewachsene – IT-Landschaft. Bei Comma Soft nehmen wir diese neutrale Position als Trusted Advisor ein und helfen den Unternehmen, einen Überblick über alle nötigen Maßnahmen zu erhalten, die nächsten Schritte zu priorisieren und in der Praxis umzusetzen.

Wie gehst du konkret vor, wenn du einem Unternehmen beim Thema Zero Trust hilfst? Was sind die ersten Schritte?

Gerade bei einem Programm in diesem Umfang setzen wir uns zusammen mit dem Unternehmen zuerst mit den strategischen Überlegungen auseinander und definieren sie so, dass sie an den übergeordneten Unternehmenszielen ausgerichtet sind. Denn die Lösungen, die Wertschöpfung und Sicherheit ermöglichen, passen sich an die Anforderungen des Unternehmens an, nicht umgekehrt. Daneben legen wir gemeinsam die grundsätzliche Herangehensweise fest. Diese hängt individuell vom Charakter des Unternehmens ab. Einem Dienstleistungsunternehmen mit vielen Office-Arbeitsplätzen fällt es leichter, Zero Trust-Konzepte umzusetzen, als produzierenden Unternehmen mit viel Operational Technology – das muss man ganz anders angehen.

Bei der Einführung gehen wir dann schrittweise vor: Wir identifizieren alle beteiligten Personen und betroffenen IT-Assets sowie Schlüsselprozesse und eventuelle Risiken. Es folgt das Festlegen von Zwischenzielen und ersten Lösungen, die sich pragmatisch umsetzen lassen. Zum Beispiel kann das Herauslösen der Office-Worker aus dem Unternehmensnetz und die Einführung von (risk-based) Conditional Access ein erster Schritt sein. Das Umsetzen weiterer Maßnahmen und ihre Optimierung erfolgen dann, bis die angestrebte Zero Trust-Architektur umgesetzt ist – natürlich immer mit Blick auf die angemessene Balance zwischen Security, Kosten und Nutzen. Durch dieses Vorgehen sind schnell erste Erfolge sichtbar und der Aufwand bleibt beherrschbar.

Was ändert sich durch Zero Trust für Mitarbeiter:innen eines Unternehmens und wie macht man ihnen diese Veränderungen „schmackhaft“?

Der Aufbau einer Zero Trust-Architektur erfordert die Mitarbeit vieler Fachbereiche und der dort arbeitenden Menschen. Allein dadurch, dass wir sie von Anfang an einbeziehen, entsteht Transparenz und Verständnis für die Wichtigkeit der Maßnahmen. Mitarbeiter:innen, die direkt am Zero Trust-Projekt mitwirken, haben oft eine Multiplikator-Wirkung und können das Thema gut in die Organisation hineintragen. Insgesamt ändert sich neben der Technologie dann auch das Mindset der Mitarbeiter:innen hin zu einer Security-minded Company. Ein einfaches Beispiel: Wenn sie einen verdächtigen http-Link sehen, sind sie skeptisch, klicken nicht drauf und informieren die IT-Abteilung, die diesen prüft. Bei Comma Soft haben wir daher immer auch Spezialist:innen für Adoption und Change Management, die den Wandel begleiten und Unternehmen helfen, Akzeptanz für ein Projekt zu schaffen.

Sollten Sie weiteres Interesse am Thema Zero Trust haben, wenden Sie sich gerne direkt an Dr. Jan Ciupka.