Neu ist der Ansatz nicht, aber aktueller denn je: Das Zero-Trust-Prinzip schützt Unternehmen vor Produktivitätseinbußen, Ausfällen, Datenverlust und andere Risiken, die durch Cyberangriffe von außen und aus den eigenen Reihen drohen. In Deutschland nimmt die Implementierung erst seit wenigen Jahren an Fahrt auf. Dieser Artikel beleuchtet den Status quo, typische Hürden und Handlungsempfehlungen.

 

Frau informiert sich am Laptop über Zero Trust Implementirung im Unternehmen.
Zero Trust © Mongta Studio / Adobe Stock

Die Zero-Trust-Ära: Vertraue nie, überprüfe immer

Ob BYOD-Philosophie, Hybrid Cloud, As-a-Service-Modelle oder wachsende Remote-Belegschaft: Für die Notwendigkeit des Zero-Trust-Prinzips gibt es viele Gründe – auch jenseits der immer raffinierteren Social-Engineering- und Phishing-Angriffe auf nichtsahnende Mitarbeiter*Innen.

Nach dem Zero-Trust-Ansatz sind alle Nutzer*Innen und Geräte innerhalb oder außerhalb des Netzwerks eine potenzielle Bedrohung und müssen in Echtzeit überprüft werden. Erst nach der erfolgreichen Authentifizierung und Autorisierung ist der Zugriff auf die digitalen Ressourcen möglich.

Im Gegensatz zur klassischen Netzwerksicherheit, die auf der Perimetersicherheit beruht und netzwerkinternen Komponenten grundsätzlich vertraut, funktioniert das Zero-Trust-Prinzip datenzentriert. Es berücksichtigt sowohl externe als auch interne Cybergefahren.

Erst 2020 und 2021 haben die Angriffe auf SolarWinds und Kaseya global für Furore gesorgt. Auch im Jahr 2022 und 2023 wurden laut CSO Deutschland bereits zahlreiche deutsche Unternehmen von Cyberkriminellen angegriffen und erpresst. Zu den jüngsten Opfern gehören T-Mobile, H-Hotels, Thyssenkrupp (November und Dezember 2022) und Sky Deutschland (Januar 2023). Aber auch Kleinunternehmen und Mittelständler haben Angreifer*Innen regelmäßig im Visier.

Wo stehen deutsche Unternehmen heute?

Die Häufung gezielter Cyberangriffe und das Dickicht an Datenschutz- und Sicherheitsvorschriften kurbeln den Markt an: Für den globalen Zero-Trust-Sicherheitsmarkt prognostiziert Marktforscher MarketsandMarkets einen Anstieg von 19,6 Milliarden US-Dollar im Jahr 2020 auf 51,6 Milliarden US-Dollar im Jahr 2026.

Immer mehr Studien warnen vor der wachsenden Gefährdung digitaler Unternehmenssysteme. In dem 2022 veröffentlichten Zero Trust Impact Report berichten 66 % der Befragten von mindestens einem Supply-Chain-Angriff und 76 % von mindestens einem Ransomware-Angriff in den letzten 24 Monaten. Immerhin: Bei 90 % der Unternehmen zählt Zero Trust bereits zu den drei wichtigsten Cybersecurity-Maßnahmen. Wo eine Zero-Trust-Segmentierung bereits eingeführt ist, konnten die Befragten im Schnitt 20,1 Millionen US-Dollar an Ausfallzeiten sparen.

Parallel widmen sich auch die staatlichen Stellen dem Thema Zero Trust. Erst 2020 veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) Zero-Trust-Mindestanforderungen für staatliche Informationssysteme. Ähnliche Schlüsselprinzipien erließ das britische National Cyber Security Center (NCSC) im Jahr 2021.

Die Deutschen sind tendenziell besorgter als andere Regionen

Der Studie Enterprise Perspectives 2022 zufolge befürchten vor allem deutsche Unternehmen den Verlust von vertraulichen Daten/Assets im Fall von Datenschutzverletzungen aufgrund von Cyberangriffen. Auch Microsofts Zero Trust Adoption Report von 2021 zeigt: ‚Null Vertrauen‘ steht vor allem bei US-amerikanischen (56 %) und deutschen Firmen (53 %) hoch im Kurs.

Dies dürfte auch der Pandemie geschuldet sein: Zum Zeitpunkt der Befragung hatten hierzulande nur 3 % der Unternehmen bereits vor mehr als drei Jahren mit der Zero-Trust-Implementierung begonnen (gegenüber 26 % der US-Organisationen). Falls Sie zu den anderen 97 % gehören, die erst danach aktiv wurden oder gerade loslegen, keine Sorge: Jetzt ist der beste Zeitpunkt für mehr Misstrauen in der Infrastruktur.

Was hält Unternehmen von Zero Trust ab?

Nicht ohne Grund verlief die Implementierung in Deutschland bis vor wenigen Jahren zögerlich: Die Umsetzung einer wirksamen Zero-Trust-Lösung ist ein komplexer Prozess. Mit einem neuen Produkt oder einer neuen Richtlinie ist es nicht getan. Der Schlüssel liegt im ganzheitlichen Umdenken – von der Mitarbeiter- bis zur Architekturebene.

5 klassische Herausforderungen bei der Implementierung von Zero Trust:

  1. Bisherige Infrastrukturinvestitionen lassen sich nicht von heute auf morgen über Bord werfen. Die Umstellung erfordert unternehmensweites Engagement: IT-Teams wie NetOps, CloudOps und SecOps müssen enger zusammenarbeiten und Infrastrukturen neu aufbauen. Anwender*Innen sollten sich an regelmäßige Schulungen und komplexere Log-ins gewöhnen.
  2. Der Aufbau einer Zero-Trust-Architektur kostet Ressourcen, die vielen IT-Teams fehlen. Ohne den Aufwand – etwa eine Bestandsaufnahme und Neubewertung der Unternehmenskultur, Sicherheitstools und Zugriffskontrollen – riskieren Unternehmen blinde Flecken in der Netzwerksicherheit.
  3. Viele Unternehmen arbeiten mit einer Patchwork-IT, bestehend aus traditionellen und cloudnativen Systemen. Alle Komponenten im neuen Sicherheitskonzept einzugliedern ist eine Herausforderung, die spezieller Tools bedarf.
  4. BYOD, Remote Work und Cloud-Instanzen bedeuten neue (unbekannte) Geräte, Anwendungen und potenzielle Angriffsflächen in der Infrastruktur. Für einen Zero-Trust-Ansatz müssen Unternehmen die oft verteilte IT-Landschaft inklusive aller Komponenten – ob managed oder unmanaged – aber lückenlos erkennen und überwachen können.
  5. Zero-Trust-Maßnahmen werden in der Regel über die bestehende IT-Umgebung ausgerollt. Produktivitätseinbußen lassen sich kaum vermeiden. Zusätzlich besteht das Risiko von Problemen oder Fehlkonfigurationen, die den Zugriff auf wichtige Ressourcen verhindern und die Geschäftsprozesse vorübergehend stilllegen können.

Vielleicht sehen Sie sich aber auch mit völlig anderen Hürden konfrontiert – oder fragen sich, was die Alternative ist? Die klassische Netzwerksicherheit auf Basis der Perimetersicherheit ist es zumindest nicht. Schließlich entwickeln Cyberkriminelle ihre Angriffsmethoden und Malware auch kontinuierlich weiter.

8 Tipps für Unternehmen auf dem Weg zu Zero Trust

Zero Trust ist ein Mindset, das zwar viel Spielraum erlaubt – aber auch richtig umgesetzt werden muss. Nicht immer braucht man neue Tools. Aus unserer Erfahrung heraus möchten wir Ihnen folgende Empfehlungen mitgeben:

  1. Zentralisieren und optimieren Sie das Identitäts- und Zugriffsmanagement und setzen Sie Multi-Faktor-Authentifizierung sowie Single Sign-on unternehmensweit durch.
  2. Ersetzen Sie Ihr Virtual Private Network durch Zero Trust Network Access, um neben der Sicherheit auch die Performance Ihres Netzwerks zu steigern.
  3. Halten Sie den Vertrauensbereich um Dienste und Anwendungen möglichst klein. Reduzieren Sie die Sitzungsdauer auf ein Minimum.
  4. Unterteilen Sie Ihr Netzwerk in Mikrosegmente, um Sicherheitsperimeter für unterschiedliche Zonen festzulegen. So können nur Anwendungen, die für das jeweilige Mikrosegment autorisiert sind, auch darauf zugreifen. Guardicore, eine softwarebasierte Lösung zur Netzwerksegmentierung, unterstützt Sie und Ihr Team dabei. Die Plattform schafft tiefgreifende Transparenz auf Prozessebene und bietet unter anderem verhaltensbasierte Richtlinien und Echtzeiterkennung von Sicherheitsverstößen.
  5. Gute Tools überwachen den gesamten Netzverkehr und erkennen auffällige Verhaltensmuster, Lateral Movement und weitere Gefahren unabhängig von ihrer Quelle – selbst in hybriden Cloud-Umgebungen mit verringerter Sichtbarkeit. ExtraHop Reveal(x) zum Beispiel erkennt, korreliert und untersucht den Netzwerkverkehr in Echtzeit. Die Lösung klassifiziert alle verbundenen Geräte automatisch und verkürzt die Reaktionszeit Ihres Teams auf Incidents.
  6. Führen Sie das Zero-Trust-Prinzip schrittweise ein und lassen Sie Ihre IT- und Security-Teams sowie die Anwender*Innen Erfahrung damit sammeln. Die am meisten gefährdeten Anwendungen, Datenbestände oder Benutzerklassen haben Vorrang – Stichwort Homeoffice.
  7. Sie können jederzeit mit der Implementierung beginnen – berücksichtigen Sie dafür aber die richtige Reihenfolge: Die fünf Schritte haben wir in unserem Artikel zum Zero-Trust-Prinzip beschrieben.
  8. Ein Punkt, der immer noch nicht selbstverständlich ist: Wachsame und geschulte Anwender*Innen sind eine der besten Verteidigungsstrategien, wenn es um Social-Engineering- und Ransomware-Angriffe geht.

Fazit: Zero Trust ist eine Reise – und ein Muss

In Zeiten von hybriden Cloud-Umgebungen, Remote-Arbeitsplätzen und Phishing-Angriffen auf Unternehmenspersonal ist Zero Trust wichtiger denn je. Als ein wirksamer Ansatz für ganzheitliche IT-Sicherheit trimmt das Prinzip die gesamte Unternehmenskultur und die IT-Infrastruktur auf Wachsamkeit und Vorsicht im Hinblick auf Netzwerkzugriffe.
Auch wenn die Implementierung zunächst Investitionsbereitschaft, Durchhaltevermögen und langwierige Umstrukturierungen erfordert: Deutsche Unternehmen sollten Zero Trust als Standard der Cybersecurity verankern, um sich vor Angriffen zu schützen. Der dafür notwendige Mentalitätswandel im Unternehmen liegt in Ihrer Hand. Bei der Umsetzung der einzelnen Maßnahmen – wie der Segmentierung, Überwachung und Verschlüsselung Ihres Netzwerks – helfen die passenden Tools.

Wo auch immer Sie gerade stehen: Jetzt ist der beste Zeitpunkt, die Zero-Trust-Architektur zu planen, aufzubauen, zu erweitern oder zu optimieren. Jetzt ist der beste Zeitpunkt, die Reise anzutreten.