In der heutigen dezentralisierten Welt wenden sich Unternehmen dem Zero Trust Ansatz zu, um Mitarbeiter und Anwendungen unabhängig von deren Standort zu schützen. Unser neuestes Whitepaper beschreibt, was Zero Trust ist und welche Schritte Unternehmen unternehmen sollten, um diesen Ansatz zu übernehmen.
Es besteht die dringende Notwendigkeit, die traditionelle, auf dem Perimeter basierende Sicherheit zu überarbeiten. Immer mehr Menschen, Daten, Anwendungen und Geräte befinden sich außerhalb des traditionellen Unternehmensnetzwerks, aber wollen trotzdem Zugang haben. Tatsächlich arbeitet fast die Hälfte (48 %) der Mitarbeiter in der Welt nach der Pandemie zumindest zeitweise von unterwegs aus, während es früher nur 30 % waren. Und durch die zunehmende Nutzung des Internets der Dinge (IoT) sind Tausende von Geräten miteinander verbunden und tauschen Daten von vielen verschiedenen Standorten aus.
Außerdem werden die Angreifer immer raffinierter und produktiver. Im Jahr 2021 waren allein 37 % der Unternehmen weltweit von Ransomware betroffen, die laut dem Security Navigator 2022 von Orange Cyberdefense die häufigste Cyber-Bedrohung darstellt.
Strategische Geschäftsentscheidungen wie neue Geschäftsmodelle, die Erschließung neuer Vertriebskanäle, Fusionen und Übernahmen oder der Einsatz neuer Lieferanten zur Umgehung von Lieferkettenproblemen erhöhen die Komplexität. Sie führen neue Systeme ein, die integriert werden müssen, und neue Benutzer, die Zugang zu Daten und Anwendungen benötigen. Die Verflechtung der Unternehmen bedeutet, dass eine sichere Zusammenarbeit mit externen Partnern unerlässlich geworden ist.
Wie sollten sich Unternehmen darauf einstellen? Wie können sie überprüfen, wer Zugang zu den Daten hat und wo diese Daten zu einem bestimmten Zeitpunkt gespeichert sind? Wie können Unternehmen letztlich verhindern, dass kritische Geschäftsinformationen kompromittiert werden? Virtuelle private Netzwerke (VPN) waren lange Zeit die Antwort, aber sie sind nicht in der Lage, mit Cloud-basierten Anwendungen mitzuhalten, Dritte effektiv zu integrieren oder das exponentielle IoT-Wachstum zu bewältigen.
Eine zunehmend beliebte Alternative ist Zero Trust. In einer kürzlich durchgeführten Umfrage nannten 32 % der Befragten Zero Trust als einen Bereich, mit dem sich ihre Unternehmen befassen müssen, um die Sicherheit im Zuge von COVID-19 zu verbessern.
Gartner definiert Zero Trust als "einen Ansatz, bei dem implizites Vertrauen aus der gesamten Computerinfrastruktur entfernt wird". Er wird von drei grundlegenden Konzepten untermauert:
Wichtig ist, dass Zero Trust keine "technische" Lösung an sich ist. Es handelt sich eher um einen Bewusstseinswandel, weg von der Sicherheit fester Verteidigungslinien hin zu einem Zustand ständiger Überwachung, die jedoch die Benutzererfahrung nicht beeinträchtigt.
Außerdem ist der Zero-Trust-Ansatz eine Reise, kein Ziel. Es liegt in der Natur der heutigen Bedrohungen, dass sie sich ständig verändern und nach neuen Möglichkeiten suchen. Daher muss eine wirksame Verteidigung über die gleichen Fähigkeiten verfügen - sie muss sich ständig weiterentwickeln, überwachen und sich anpassen. Um diesen Punkt zu erreichen, ist ein stufenweiser Ansatz erforderlich.
Beginnen Sie zunächst damit, Ihr Unternehmen auf eine risikobasierte Sicherheitsstrategie umzustellen. Definieren Sie, was geschützt werden muss, je nachdem, wie sich ein erfolgreicher Angriff auf das Unternehmen auswirken würde. Dies muss gezielt geschehen, damit klare Anwendungsfälle definiert werden können, die als Grundlage für die Zero Trust-Roadmap dienen. Zweitens muss eine Strategie entwickelt werden, um diese Anforderungen zu erfüllen, und es müssen die Lösungen und Technologien ermittelt werden, die diese Strategie unterstützen.
Schließlich muss die Strategie umgesetzt und getestet werden, wobei eine Rückkopplungsschleife zu schaffen ist, die es ermöglicht, den Ansatz in einem Zyklus der kontinuierlichen Verbesserung anzupassen. Durch diesen Prozess wird nicht nur die Wirksamkeit der bestehenden Sicherheit überprüft, sondern es können auch neue Bedrohungen erkannt und Gegenmaßnahmen nahtlos integriert werden.
Letztendlich wird jede Zero-Trust-Reise anders verlaufen, aber es gibt Grundprinzipien, die sich durch jede Zero-Trust-Strategie ziehen. Wichtig ist, den Schritt von der Theorie zur Realität zu machen.
Machen Sie sich nichts vor, es handelt sich um die Umwandlung eines alten Systems in ein dezentrales, digitales Zeitalter. Das umfasst natürlich die Technologie, aber auch Menschen und Prozesse. Aber in vielerlei Hinsicht wird Zero Trust dadurch leichter realisierbar - es geht nicht einfach darum, eine neue Lösung hinzuzufügen, sondern um eine echte Umstellung, die die Art und Weise, wie jeder Teil des Unternehmens an die Sicherheit herangeht, grundlegend verändert.
Wie jede Veränderung ist auch diese eine Herausforderung und komplex. Die Zusammenarbeit mit einem erfahrenen Partner kann dabei helfen. Das bedeutet nicht zwangsläufig, dass weitere Anbieter zu einem bereits überladenen Sicherheitsstapel hinzugefügt werden müssen, sondern dass Berater hinzugezogen werden, die die aktuelle Situation bewerten, den Stand Ihres Unternehmens im Zero-Trust-Rahmen ermitteln und die nächsten Schritte vorschlagen können.
Um mehr über Zero Trust und den Ansatz von Orange Cyberdefense zu erfahren, laden Sie bitte das Whitepaper herunter. Es beschreibt einen Rahmen, der es Unternehmen ermöglicht, ihren Zero-Trust-Reifegrad zu bewerten, die fünfstufige, erkenntnisgestützte Adoptionsmethodik von Orange Cyberdefense, die logischen Komponenten einer Lösung und eine Checkliste für den Reise in Richtung Zero Trust.