Zero-Trust-Konzepte: Was Unternehmen oft falsch machen
Das Zero-Trust-Prinzip verspricht einen zuverlässigen Schutz von Daten und Systemen, jedoch ist die Umsetzung keineswegs einfach. Es gibt dabei einige häufige Fehler, die Unternehmen unbedingt vermeiden sollten.
Unternehmen haben heute durch Remote Work, Cloud-Services und verstärkter Vernetzung mit Partnern eine deutlich erweiterte Angriffsfläche zu verteidigen. Der herkömmliche Perimeterschutz reicht nicht mehr aus, und es bedarf neuer Konzepte, um Risiken zu minimieren und die Handlungsmöglichkeiten von Cyberkriminellen einzuschränken. Das Zero-Trust-Prinzip hat sich in der Praxis als besonders effektiv erwiesen. Es setzt auf minimale Rechtevergabe (Least Privilege) und strenge Überprüfung aller Zugriffe auf Unternehmensressourcen. Allerdings gibt es bei der Implementierung einige häufige Fehler, die vermieden werden sollten. Der Security-Spezialist Forcepoint nennt fünf typische Stolperfallen.
Reiner Technologie-Fokus: Wenn Unternehmen ausschließlich auf Technologien setzen, besteht die Gefahr, Lösungen zu wählen, die nicht optimal zusammenarbeiten oder nicht gut zu den bestehenden Systemen passen. Es ist ratsam, zunächst interne Abläufe, Datenflüsse und Systeme zu analysieren, bevor über die Anwendung von Zero-Trust-Prinzipien entschieden wird. Die Kommunikation zwischen IT-Teams und Fachabteilungen ist entscheidend, um schützenswerte Daten zu identifizieren und zu restriktive Richtlinien zu vermeiden.
Fehlende Prioritäten: Oftmals fehlt Unternehmen eine klare Strategie zur Umsetzung von Zero Trust. Entweder setzen sie zu viele Maßnahmen auf einmal um, was zu kostspieligen und langwierigen Projekten führt, oder sie gehen zu zögerlich vor und erzielen nur geringe Effekte. Die Festlegung klarer Prioritäten unter Berücksichtigung der Machbarkeit und des geschäftlichen Nutzens ist entscheidend, um die Unterstützung der Fachabteilungen zu gewinnen.
Festhalten am Alten: Selbst bei korrekter Vorbereitung gibt es in der Umsetzungsphase häufig Widerstand gegen das Loslassen etablierter Systeme und Prozesse. Das Schaffen von Ausnahmen oder das Festhalten an starren Richtlinien kann die Prinzipien von Zero Trust untergraben. Eine erfolgreiche Umsetzung erfordert die interne Verinnerlichung der Zero-Trust-Prinzipien und ihre konsequente Anwendung im gesamten Unternehmen.
Fehlendes Verständnis: Zero Trust ist ein kontinuierlicher Prozess, der fortlaufend neue Anwendungen und Abläufe integriert. Ein Monitoring, das den Umgang der Mitarbeiter mit Daten zeigt, sowie die regelmäßige Überprüfung und Modernisierung eingesetzter Technologien sind extrem wichtig. KI beispielsweise kann nicht nur das Sicherheitsniveau erhöhen, etwa durch genauere Vorhersagen von Verhaltensweisen und Risiken, sondern auch eine Automatisierung unterstützen und dadurch die Verwaltung der Lösungen und Richtlinien vereinfachen.
Verzicht auf Cloud-Vorteile: Obwohl Cloud-Lösungen nicht zwingend erforderlich sind, erleichtern sie die Umsetzung von Zero Trust erheblich. Sie ermöglichen die zentrale Verwaltung und Durchsetzung von Richtlinien, unabhängig von Standort und Endgerät der Mitarbeiter. Zudem bieten sie skalierbare Ressourcen und gut planbare Kosten, was besonders in dynamischen IT-Infrastrukturen von Vorteil ist.
Fabian Glöser, Team Leader Sales Engineering bei Forcepoint in München, betont die Wirksamkeit von Zero Trust als Konzept zur Abwehr von Bedrohungen und zum Schutz von Daten. Gleichzeitig warnt er davor, die Umsetzung zu überstürzen und typische Fehler zu wiederholen, die andere Unternehmen bereits gemacht haben.