Spezial IT-Security: Zero Trust

Zero-Trust-Konzept: über Misstrauen zur IT-Sicherheit

In Sachen IT-Sicherheit ist Kontrolle gut. Noch besser ist aber Misstrauen, sagt Paul McKay von Forrester Research.

Alles durchleuchten: Jedes Gerät muss ­ regelmäßig Sicherheits­prüfungen bestehen
Alles durchleuchten: Jedes Gerät muss ­ regelmäßig Sicherheits­prüfungen bestehen (Foto: Philipp Möller/JDB MEDIA)

Egal welches Gerät, welcher Nutzer oder Service: Wer in Sachen IT ganz sicher sein will, sollte nichts und niemandem dauerhaft trauen. Auf diesem Grundsatz basiert das Zero-Trust-Konzept, das das Marktforschungs- und Beratungsunternehmen Forrester Research bereits 2010 entwickelt hat. Im Kern geht es darum, den Zugriff auf Unternehmenssysteme und -daten einzuschränken, bis ein Gerät eine Sicherheitsprüfung bestanden und der Nutzer seine Identität nachgewiesen hat. Und das immer wieder aufs Neue. Paul McKay, Senior Analyst bei Forrester, erklärt, was dieser identitäts- und geräte­zen­trierte Ansatz in der Praxis bedeutet.

DUB UNTERNEHMER-Magazin: Was ist bei der Im­plementierung von Zero Trust zu beachten?

Paul McKay: Wir empfehlen fünf Schritte. Schritt eins: die Identifizierung sensibler Daten. Danach geht es darum, herauszufinden, wie die Datenflüsse aussehen. Schritt drei ist die Mikrosegmentierung, die es erlaubt, Bereiche im Netzwerk voneinander zu ­trennen, um den Datenverkehr zwischen diesen Segmenten zu schützen. Der vierte Schritt ist die Einführung einer kontinuierlichen Sicherheitsüberwachung. Und am Ende werden die Automatisierung und das Zusammenspiel der Systeme verbessert, damit sich der Aufwand für das Sicherheitsteam in Grenzen hält.

Gibt es bei der Umsetzung von Zero Trust hierzulande besondere Herausforderungen?

McKay: Das Konzept basiert auf der Annahme, dass das Vertrauen, das im Firmennetzwerk besteht, gebrochen wurde. Unser Modell empfiehlt daher eine kontinuierliche Überwachung. Dadurch ist es einfacher zu verstehen, wie Daten abgerufen und verwendet werden – und wo sich sensible und kritische Punkte befinden. Das ist vor allem wichtig, um konkrete und potenzielle Gefahren untersuchen zu können. Da gerät man aber schnell in Konflikt mit Betriebsräten. Denn mit solchen Aktivitäten darf man die Privatsphäre der Arbeitnehmer natürlich nicht beeinträchtigen.

Könnte zu viel Misstrauen nicht auch Innovations- und Transformationsprozesse in Unternehmen hemmen?

McKay: Ich stelle häufig fest, dass bei Inno­vations- und Transformationsbemühungen der Kontakt zu den Sicherheitsexperten vermieden wird. Diese sind als Neinsager verschrien. Ich sehe das anders. Sie sollten eher als Wegbereiter und nicht als Bremser wahrgenommen werden. Genau sie sind es, die dabei helfen müssen, eine fundierte Meinung über das Sicherheitsrisiko zu bilden, das ein Unternehmen im Zuge der digitalen Transformation eingehen möchte.

Teil 1: Zero-Trust-Konzept: über Misstrauen zur IT-Sicherheit

Teil 2: Machine Learning bessert Qualität der Entscheidungsfindung