Zero Trust als Sicherheitsnetz

Viele Führungskräfte sperren sich gegen den Begriff Zero Trust, weil sie ihn so verstehen, dass Unternehmen kein Vertrauensverhältnis aufbauen sollen. Das genaue Gegenteil ist der Fall. Forrester hat sich 2009 für den Namen Zero Trust entschieden, um die Sicherheitsteams aufzufordern, den gefährlichen Vertrauensvorschuss zu eliminieren, durch den katastrophale Sicherheitsverstöße an der Tagesordnung waren. Indem sie dem gesamten Traffic innerhalb des Unternehmensnetzwerks standardmäßig vertrauten, ignorierten die Sicherheitsteams die Bedrohung durch mutwillige Mitarbeiter, privilegierte Partner und kompromittierte Benutzerkonten, die hinter einem hohen Prozentanteil der Verstöße steckten. Zudem suchten die Sicherheitsteams auch nicht aktiv nach Anzeichen dafür, dass sich bereits Cyberkriminelle im Netzwerk befanden. 2009 war es gar nicht so ungewöhnlich, dass sich Angreifer monatelang frei im Netzwerk bewegen und sensible Kundendaten oder das geistige Eigentum des Unternehmens stehlen konnten. Die Kunden sahen sich dann mit den Folgen eines umfassenden Identitätsdiebstahls konfrontiert und das Unternehmen verlor seinen Wettbewerbsvorteil. Der Name Zero Trust soll die Sicherheitsteams daran erinnern, den Datenpaketen innerhalb eines Netzwerks niemals zu vertrauen und davon auszugehen, dass beim Unternehmen bereits eine Sicherheitslücke ausgenutzt wird. Mit einem Zero Trust-Ansatz können Führungskräfte: 

• Mehr Kundendaten erfassen und neue Erlebnisse bieten. Die Consumer Trust Imperative Survey von Forrester, 2023, zeigt, dass Erwachsene im Onlinebereich in den USA (38 %), Spanien (28 %), Italien (47 %) und Singapur (36 %) ihre persönlichen Dateh eher teilen, wenn sie dem Technologieunternehmen vertrauen. Durch Zero Trust sinkt die Wahrscheinlichkeit eines absichtlichen oder unabsichtlichen Missbrauchs von persönlichen Kundendaten. Damit können Führungskräfte ihren Kunden die Datenschutzvorgaben des Unternehmens klar und offen kommunizieren und so Vertrauen in die Datenverarbeitung aufbauen. Mit mehr Daten wiederum können Technologieunternehmen schneller auf den Markt kommen als ihre Wettbewerber, wenn sie durch antizipierende Erlebnisse den Kunden mehr Komfort bieten – indem sie nötige Interaktionen vereinfachen oder ganz eliminieren.
• Neue Produkte erfolgreich einführen. Im gleichen Survey gab mehr als die Hälfte der Erwachsenen im Onlinebereich in den USA, Spanien, Italien und Singapur an, neue Produkte eines Technologieunternehmens ausprobieren zu wollen, wenn sie diesem vertrauen. Das Sicherheitsmodell Zero Trust ist daten- und auslastungszentriert: Deshalb müssen die Unternehmen dabei nicht nur die nach außen (an Kunden) gerichteten Technologien und Dienstleistungen schützen, sondern auch dafür sorgen, dass bei neuen Angeboten ein Mindestmaß an realistischen Sicherheitsfunktionen bereits in das Design integriert wird – und nicht erst im Nachhinein hinzugefügt wird. Zero Trust verlängert auch nicht den Zeitraum bis zur Markteinführung; vielmehr stimmte es diesen Zeitraum auf die Kundenanforderungen an Datenschutz und Sicherheit ab und minimiert so das Risiko für Kunden und das Unternehmen selbst.
• Kundentreue und -bindung stärken. Wir wissen auch, was zu Vertrauensverlust führt – Verstöße im Bereich Sicherheit und Datenschutz. Folgendes sollten Sie bedenken: Die Erwachsenen im Onlinebereich in den USA (22 %), Spanien (33 %), Italien (32 %) und Singapur (26 %) geben an, dass sie ihre Geschäftsbeziehung zu einem Unternehmen dauerhaft beenden würden, wenn in den Nachrichten ein Sicherheitsverstoß bekannt wird, der persönliche Daten von Kunden betrifft. Natürlich kann auch Zero Trust nicht alle Sicherheitsverstöße verhindern, aber es kann dafür sorgen, dass sie seltener vorkommen und die Auswirkungen geringer sind. Durch den Fokus auf Datenschutz stehen die Chancen gut, dass selbst bei einem Verstoß niemals unverschlüsselte Kundendaten in falsche Hände gelangen. Wenn Unternehmen ein Vertrauensverhältnis zu ihren Kunden aufbauen, werden diese Kunden ihnen Fehler leichter verzeihen. Dennoch ist es besser, dieses Vertrauen gar nicht erst durch leicht zu verhindernde Verstöße aufzubrauchen, sondern es vielmehr dazu zu nutzen, mit neuen Angeboten und Erlebnissen rund um Emerging Technology zu experimentieren.

Mit den klassischen Modellen auf Perimeter-Basis bauen Sie immer höhere Mauern und machen sich selbst das Geschäftsleben schwer, bleiben aber trotzdem angreifbar, wenn diese Verteidigungslinie unweigerlich einmal durchbrochen wird. Bei Zero Trust hingegen setzen Sie optimale Sicherheitsrichtlinien für bestimmte Journeys im geschäftlichen Ablauf ein und aktualisieren diese kontinuierlich, um sie an veränderte Bedingungen anzupassen. Wenn wir das alte Sicherheitsmodell als unflexible Burg mit Wassergraben betrachten, ist Zero Trust dagegen eine moderne Stadt, in der sich Menschen und Handel frei bewegen können. Individuelle Gebäude, Wohnungen und Assets verfügen über ein eigenes Sicherheitssystem, sodass ausschließlich autorisierte Personen sie betreten dürfen, die wiederum nur Zugang zu den Etagen und Ressourcen haben, die sie zum Leben, Arbeiten und Spielen brauchen. Gleichzeitig gibt es eine öffentliche Sicherheit, die allgemein wachsam bleibt und schnell reagieren kann, um Gefahren und Bedrohungen zu erkennen. Durch diesen gezielten Schutz kann die Stadt eine Bedrohung lokal auf eine bestimmte Umgebung begrenzen und wird als Ganzes nur äußerst selten gestört. Mit Zero Trust können Unternehmen: 

• Ortsungebundene Arbeitskonzepte einfach unterstützen. Zero Trust bietet Mitarbeitern mehr Möglichkeiten, ortsungebunden und geräteunabhängig zu arbeiten, solange sie sich über ein konformes Gerät und eine entsprechende App authentifizieren. Zudem können die Benutzer mit Zero Trust die Sicherheitsverantwortung abgeben und sich bei ihrer Arbeit auf technische Kontrollen verlassen (z. B. ein digitales Zertifikat und biometrische Daten zur Identitätsprüfung statt eines Passworts). Mit Zero Trust Network Access (ZTNA) können sich die Mitarbeiter zudem sicher von überall anmelden, ohne den Aufwand einer VPN-Verbindung.
• Die Modernisierung der Cloud beschleunigen. Unternehmen möchten mit Cloud-Diensten skalieren und mehr Flexibilität, Leistung und Innovation erreichen. Deshalb öffnen sie sich zunehmend für cloud-native Technologien, agile und DevOps-basierte Technik und eine bessere Cloud-Sicherheit mit Zero Trust. Hyperscaler binden inzwischen die Zero Trust-Prinzipien in ihre Umgebungen ein. AWS stellte im Mai 2023 seinen ZTNA-Dienst vor und schloss sich damit GCP und Azure an, die einen solchen bereits anbieten. Google beschäftigte sich bereits nach einem landesweiten Angriff vor zehn Jahren mit Zero Trust und steht inzwischen in allen Systemen und Schnittstellen für diese Prinzipien. Azure nutzt seine Position als Identitätsanbieter vieler Unternehmen, stellt die Identität in seinen Systemen an die erste Stelle und bietet nur eine Handvoll zuverlässiger „Richtlinien“ für Zero Trust an, wie sie in NIST SP 800-207 beschrieben werden. Bei denjenigen, die immer noch zögern, bestimmte Abläufe in die Cloud zu verlagern, kann Zero Trust viele Bedenken zu Sicherheit und Datenschutz abschwächen.
• Mit Partnern flexibler zusammenarbeiten und innovativ werden. Ohne Zero Trust müssen Sicherheitsteams den Partnern Zugriffsmöglichkeiten auf sehr verflochtene Daten und Systeme des Unternehmens gewähren und würgen so die Innovation ab – wenn sie denn überhaupt bereit sind, einen solchen Zugang einzurichten. Mit Zero Trust hingegen können Sie Partnerschaften fördern, weil Sie deren Zugang beschränken, Daten durch Verschlüsselung und Datenschutztechnologien schützen und das Netzwerk segmentieren können. Dabei sinkt das Risiko, dass es über die Partner zu einer Sicherheitslücke oder einem Datenschutzverstoß kommt. Beispiele sind Partnerschaften zur gemeinsamen Datennutzung beim Angebot von Mehrwertdiensten für Verbraucher oder die Möglichkeit eines Herstellers, seinen Lieferanten Daten zur Verfügung zu stellen, um die Lieferketten zu optimieren und zu stärken.
• Mit weniger Risiko Emerging Technology vorantreiben. Die Sicherung von Umgebungen im Gesundheitsbereich ist eine echte Herausforderung, da so viele verschiedene Geräte in das Netzwerk eingebunden und die Ressourcen begrenzt sind. Nicht zuletzt kann ein Fehler lebensgefährlich sein. Herzschrittmacher, Insulinpumpen und andere medizinische Geräte werden immer ausgefeilter und vernetzter. Gleichzeitig machen es neue Cloud- und Edge-Lösungen technisch einfacher, die Pflege von Patienten ins eigene Zuhause zu verlagern, was die Angriffsfläche eines Gesundheitsunternehmens dramatisch vergrößert. Bei der Einführung von Edge-Lösungen und im Krankenhaus selbst wird ZTNA unerlässlich, da die Mikrosegmentierung die klinischen Anwendungen gegen die laterale Bewegung durch Cyberkriminelle schützen kann. In einer Branche, die von Ransomware und staatlich unterstützten Angriffen gepeinigt wird, kann Zero Trust die Weiterführung der digitalen Transformation sichern.
• Ihre KI-Modelle schützen. Viele Unternehmen transformieren mithilfe von Large Language Models (LLMs) wie ChatGPT, GPT-4, Bing mit KI, Bard usw. ihr Geschäft, generieren neue Umsätze, schaffen neue Erlebnisse oder sparen durch die Optimierung von Bestandsprozessen Kosten ein. Die Unterstützung der Cybersecurity-Teams für Data Scientists, Machine Learning und Entwickler ist dabei unerlässlich, um die fein abgestimmten Modelle (in denen Ihre sensiblen und vertraulichen Daten dem größten Risiko unterliegen) vor unterschiedlichen Bedrohungen wie Model Theft, Inference Attacks, Data Poisoning und Prompt Injection zu schützen. Es gelten alle Kernprinzipien von Zero Trust zu den geringsten Rechten. Dennoch sollten die Unternehmen sich darauf konzentrieren, die Daten selbst über Schlüsseltechnologien wie homomorphe Verschlüsselung und Differential Privacy zu schützen und eine kontinuierliche Überwachung auf verdächtige Aktivität einzurichten.

Mit Zero Trust können Sicherheitsteams das Unternehmen deutlich sicherer aufstellen, die Häufigkeit und Auswirkungen von Sicherheitsverstößen reduzieren, Datenschutzrichtlinien umsetzen und Compliance-Vorgaben leichter erfüllen – wie z. B. SaskPower es durch sein unerschütterliches Bekenntnis zu den Zero Trust-Prinzipien getan hat. Zero Trust ist inzwischen auch eine behördliche Anforderung und Voraussetzung für Geschäfte mit bestimmten Marktsegmenten wie US-Bundesbehörden oder Unternehmen für kritische Infrastruktur. Auch geschäftlich bietet es viele überzeugende Vorteile. Mit Zero Trust können führende Unternehmen: 

• Eine nahtlose Customer Experience ermöglichen. Mit Zero Trust entwickeln die Sicherheitsteams den Schutz mit dem Blick von außen nach innen und finden so ein Gleichgewicht zwischen Sicherheitsvorgaben und UX-Aspekten. Das Identitätsmanagement ist ein Grundpfeiler von Zero Trust, aber auch ein Bereich, in dem die Sicherheit eine Verbesserung der UX schaffen kann, vor allem durch den Verzicht auf das nervige Passwort. Eine passwortlose Authentifizierung durch biometrische Daten (Finger, Gesicht, Stimme, Verhalten usw.) unterstützt eine minimalinvasive, reibungsarme UX, die trotzdem sicher ist.
• Mitarbeiter produktiver werden lassen und gleichzeitig Kosten sparen. Zero Trust nimmt aktiv Einfluss auf alle drei Treiber des Forrester’s Employee Experience Index, mit dem das berufliche Engagement gemessen wird. Da die Mitarbeiter durch Zero Trust die Autonomie haben, auf ihre eigene Weise zu arbeiten – ortsungebunden und mit beliebigen Geräten – fühlen sie sich befähigt. Zudem spielt Zero Trust eine wichtige Rolle für eine höhere Produktivität, da es umständliche Passwörter eliminiert, VPN-Verbindungen ersetzt und keine Sicherheitsmaßnahmen mehr nötig sind, die die Akkulaufzeit eines Geräts verkürzen. All dies spart auch Kosten für das Unternehmen. Weil sie so nahtlos arbeiten können wie nie zuvor, inspiriert Zero Trust schließlich auch eine gute Sicherheitskultur, in der Mitarbeiter nicht aktiv versuchen, die Sicherheitsvorgaben zu umgehen, und in der sie das Unternehmen als zukunftsorientiert und innovativ wahrnehmen.
• Ihre weltweit verstreute Tätigkeit besser vernetzen und fördern. Ob ein multinationaler Dienstanbieter ein neues Büro einrichten, ein Einzelhändler einen neuen Standort eröffnen oder eine Bank neue Filialen planen möchte: An jedem dieser Orte werden etwa 18 verschiedene Dienste benötigt, um eine zuverlässige Anbindung, eine stabile Bandbreite und eine hohe Sicherheit zu gewährleisten. Eine Zero Trust Edge-Lösung sorgt für eine sichere Verbindung und bringt den ein- und ausgehenden Traffic an Standorte, deren Sicherheits- und Netzwerkdienste hauptsächlich cloudbasiert sind. Dieser Ansatz ist auch hervorragend dazu geeignet, die verstreuten Standorte eines neu übernommenen Unternehmens mit einer schlechteren Datensicherheit schnell zu integrieren.
• Selbstbewusst neue Märkte erschließen und neue Kunden gewinnen. Bei einer Expansion auf neue geografische Märkte müssen die lokalen Risiken für IP-Diebstahl und Cyberangriffe sorgfältig geprüft werden. Mit einem Zero Trust-Ansatz für weiter entfernte Standorte und Mitarbeiter wären Unternehmen eventuell bereit, ein höheres Risiko einzugehen, als es andere können oder wollen. Zero Trust erleichtert es, das Beschäftigungsmodell einzuführen und flexibel zu unterstützen, das für den jeweiligen Markt oder die Situation dort am besten geeignet ist – Festanstellung, Teilzeit/Flex, unabhängige Anbieter, Outsourcing usw. Zudem kann das Unternehmen so flexibel wachsen und Verträge schließen wie nötig, sich aber auch schnell aus Märkten zurückziehen (z. B. Unternehmen, die plötzlich Russland verlassen mussten).

Um die Einführung von Zero Trust zu beschleunigen, müssen führende Wirtschafts- und Technologieunternehmen nach Möglichkeiten suchen, es in bestimmte Transformationsinitiativen zu integrieren. Sicherheitsteams wissen häufig nicht, wo sie bei Zero Trust anfangen sollen. Angesichts einer hohen technischen Schuld und einer komplexen Umgebung sind sie wie gelähmt, weil sie irrtümlicherweise davon ausgehen, dass sie die gesamte Umgebung einer Transformation unterziehen müssen. Dabei sieht der bessere Ansatz bei großen Unternehmen mit komplexen Umgebungen so aus, dass man spezifische Anwendungsfälle oder Initiativen identifiziert, für die eine Einführung von Zero Trust von Vorteil wäre. Zero Trust kann dabei helfen, Initiativen wie z. B. neue digitale Kundenerlebnisse, neue Partnerschaftsmodelle, ortsungebundene Arbeitskonzepte, geografische Expansion oder die Bereitstellung von Edge Computing zu beschleunigen, um nur einige zu nennen. Um Zero Trust-Programme zu unterstützen, sollte die Geschäftsleitung: 

• Sich einem Lenkungsausschuss für Zero Trust anschließen oder einen solchen einrichten. So entsteht eine gemeinsame Governance-Struktur für Zero Trust. Werden die Priorisierung von Investitionen, die Entscheidungsfindung und die Risikoeskalation als Prozesse im Lenkungsausschuss formalisiert, hängt der Erfolg der Einführung nicht länger nur von der Sicherheitsabteilung ab, sondern von einem Modell, das an die Ziele und die Risikobereitschaft des gesamten Unternehmens angepasst ist. Die Beteiligung des Unternehmens und der Führungsebene im Lenkungsausschuss geben einen Einblick in die geschäftliche Vision, die Ziele und die Herausforderungen, die sich auf die Zero Trust-Strategie und -Roadmap auswirken, und sorgen dafür, dass die Zero Trust-Initiativen umsatzsteigernde Unternehmensziele unterstützen.
• Einen Plan für die Umsetzung von Zero Trust entwickeln. Da es in der Branche viel Verwirrung und Falschinformationen gibt, müssen die wichtigsten Personen ein gutes Verständnis und Kompetenz für die Prinzipien von Zero Trust und die Architektur haben. Bei Weiterbildungen zu Zero Trust sollten sowohl Wirtschaft als auch IT mit Führungskräften teilnehmen. Diese Gruppe aus Fachbereichsleitung, Produktmanagement, CX-Experten, IT-Spezialisten usw. muss dann die Vorteile von Zero Trust erkennen und wie sich diese Prinzipien auf hohem Niveau umsetzen lassen. Anschließend können Sie vertiefende Workshops für die IT anbieten, aber nicht nur für das Sicherheitsteam. Die Teams für die Unternehmensarchitektur haben große Bedeutung für den Erfolg von Zero Trust, insbesondere für die Entwicklung der Lösungsarchitektur in wichtigen Anwendungsfällen. Schließlich sollten auch Einzelpersonen in Kohorten Zero Trust-Zertifizierungen erwerben.
• Auch weiterhin Anwendungsfälle und Customer Journeys für die Transformation mit Zero Trust identifizieren. Bauen Sie auf den ersten Erfolgen mit Zero Trust auf und identifizieren Sie weitere Anwendungsfälle, Customer oder Employee Journeys und andere Initiativen für weitere Bereitstellungen. Viele Unternehmen machen die Nutzung von Zero Trust verpflichtend für die gesamte Entwicklung von neuen Anwendungen und Software, wenn sie diese ersten Erfolge sehen. Ein weiterer Ansatz kann sein, bestehende Customer oder Employee Journeys zu identifizieren, die durch umständliche Sicherheitsvorgaben und -kontrollen behindert werden. Manchmal sind es gerade die Erfahrungen mit dem größten Frustpotenzial, die von Zero Trust am meisten profitieren. Welche Prozesse in der Mitarbeiterbetreuung laufen ineffizient und manuell ab? Wie mühsam ist es für Verbraucher, sich für Ihre digitale Erfahrung anzumelden, zu authentifizieren und damit zu interagieren?
• Vorteile definieren und nachhalten, um das ROI jeder Umsetzung aufzuzeigen. Ein deutsches produzierendes Unternehmen hat beispielsweise Zero Trust in die Umgestaltung des Arbeitsumfelds integriert. Im Rahmen dieses Programms wurden alle Assets ersetzt, den Mitarbeitern die flexible Nutzung eigener Geräte ermöglicht und Microsoft 365 weltweit eingeführt. Dabei entschied sich das Unternehmen auch, Zero Trust als Sicherheitsmodell zu nutzen. Die geschäftlichen Vorteile waren klar und deutlich dokumentiert und zeigten die Verbindung der Finanzierungsströme mit Steigerungen der Produktivität und einer höheren Agilität und Flexibilität.
• Den Weg für eine Intermediate-Nutzung bereiten. Nach einer Reihe von Erfolgen und einer zunehmenden Kompetenz im Bereich Zero Trust können Unternehmen eine ambitioniertere Roadmap entwerfen, um das Konzept im gesamten Unternehmen einzuführen und so seinen Reifegrad von Beginner auf Intermediate ausbauen. Sowohl Forrester als auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) bieten eine allgemeine Übersicht über drei verschiedene Reifegrade in Bezug auf Zero Trust; Forrester bezeichnet diese als Beginner, Intermediate und Advanced. Führende Wirtschafts- und Technologieunternehmen können die von uns empfohlen Roadmap verwenden, um den Reifegrad Intermediate für Zero Trust zu erreichen. Sie enthält knapp 40 Aufgaben und Technologien für alle sieben Zero Trust-Bereiche.
• Zero Trust für kontinuierliche Verbesserungen in der Zukunft einsetzen.Schon bald werden Unternehmen Zero Trust in ihre Architektur, neue Apps und sogar in ihr Entwicklungs-Framework integrieren. Anhänger von Infrastructure as Code integrieren bereits jetzt Sicherheitsrichtlinien wie Mikrosegmentierung in ihre Terraform- und CI-/CD-Pipelines für App-Bereitstellungen in der Cloud. Moderne Zero Trust-Lösungen werden sich zeitgleich in mehrere Identitätsanbieter integrieren lassen und für eine differenzierte Risikobewertung auch die Geräteattribute in Echtzeit einbinden. Mithilfe von KI werden Unternehmen ihre Zero Trust-Vorgaben über verschiedene Umgebungen zentralisieren können und so die Automatisierung und Orchestrierung ihrer Sicherheit deutlich beschleunigen. Die Innovationen im Bereich Zero Trust haben gerade erst begonnen. Zukunftsfähige Unternehmen erkennen, dass die Zero Trust-Journey immer weitergeht, und nutzen diese Prinzipien für eine kontinuierliche Verbesserung, genau wie ein umfassendes Qualitätsmanagement.