Zero Trust und der menschliche Faktor

Wenn es um Chancen für eine Verbesserung der IT-Sicherheit geht, fällt bei vielen Experten der Begriff „Zero Trust“. Nach dem Prinzip „Never trust, always verify“ geht dieses Konzept davon aus, dass Bedrohungen sowohl von außerhalb als auch von innerhalb des Netzwerks kommen können und es deshalb eine kontinuierliche Überprüfung der Berechtigungen und Identitäten aller Nutzer und Geräte geben müsse, die auf Ressourcen des Netzwerks zugreifen möchten. Zugriff wird dabei dann nur auf der Basis der geringstmöglichen Rechte gewährt.

Sundaram Lakshmanan, Chief Technology Officer von Lookout, sagt für 2024 voraus, dass sich die CISOs von VPNs abwenden werden, weil VPNs einen uneingeschränkten Zugang zur gesamten Unternehmensinfrastruktur ermöglichen, was sie zu einem perfekten Werkzeug für die seitliche Bewegung von Angreifern in den IT-Infrastrukturen mache. Lakshmanans Alternative zu VPN heißt Zero Trust: „Wenn es um den Schutz sensibler Unternehmensdaten geht, bietet Zero Trust Network Access (ZTNA) im Vergleich zu herkömmlichen VPNs einen weitaus sichereren Ansatz, da eine granulare Zugangskontrolle die Benutzer auf bestimmte Anwendungen beschränkt. Dadurch wird die gesamte Angriffsfläche reduziert und die seitliche Bewegung von Bedrohungen verhindert, wodurch das Risiko, dass kompromittierte Konten oder Geräte die gesamte Infrastruktur gefährden, minimiert wird“, so Lakshmanan.

Für Erismann, dem CCO der Schweizer Exeon Analytics, erwächst aus Zero Trust allerdings eine neue Herausforderung für CISOs: „Zero-Trust-Modelle erfordern eine ständige Überwachung der Netzwerkaktivitäten, um Schwachstellen zu identifizieren und autorisierte Personen zu verifizieren und so eine umfassende Sicherheitsstrategie zu gewährleisten. Auch dies ist mit herkömmlichen Tools kaum zu gewährleisten."

Auch Andreas Junck, Senior Sales Director DACH bei Gigamon, einem Unternehmen, das sich auf Netzwerk-Transparenz spezialisiert hat, empfiehlt einen Zero-Trust-Ansatz. Deutsche Deutschland sieht er allerdings erst ganz am Anfang ihre „Zero-Trust-Reise“. Ihm ist aufgefallen, „dass sie oft lediglich das Access-Management einrichten und denken, damit sei es getan.“ Vollständige Sichtbarkeit werde häufig vernachlässigt – und das, obwohl sie das grundlegende Fundament für Zero Trust bilde. Schließlich müssten Sicherheitsteams wissen, wo sich die (sensiblen) Daten im Netzwerk befänden und wer Zugriff darauf habe.

Laut Junck haben bislang nur 28 Prozent der deutschen Unternehmen einen holistischen Überblick über ihre IT-Landschaft. Herkömmliche Sicherheits- und Monitoring Tools könnten ihm zufolge dieses Defizit nicht ausgleichen. Dafür brauche es Deep Observability-Lösungen, die sämtliche Daten analysieren, die in das Netzwerk kommen oder es verlassen.

Wolfgang Kurz, Geschäftsführer und Gründer des IT-Consulting-Hauses indevis, empfiehlt KMUs, die auf dem Weg in die Cloud sind oder sich bereits dort bewegen, das Konzept Secure Access Service Edge, kurz SASE. Das bei großen Organisationen bereits etablierte SASE verlagert Sicherheits- und Netzwerkfunktionen in die Cloud und legt den Fokus auf einen sicheren Zugriff und Endpoint-Schutz. Kurz schätzt an SASE vor allem Flexibilität, Skalierbarkeit und Standortunabhängigkeit. Er rät Unternehmen dazu, sich frühzeitig damit zu beschäftigen. In Deutschland beispielsweise bestehe eine starke Abhängigkeit von MPLS-Infrastrukturen (Multiprotocol Label Switching), was den Umstieg kompliziert gestalte. In solchen Fällen könne SD-WAN ein Weg in die Zukunft sein.

Auch Ulrich Brüll, CTO des IT- und Rechenzentrumsdienstleisters Conscia Deutschland, setzt auf SASE und prognostiziert für 2024: „Der Trend zu modernen SASE-Architekturen wird sich noch einmal verstärken, da diese im Vergleich zu den bestehenden SD-WAN-Modellen sowohl ein höheres Maß an Flexibilität und Sicherheit als auch Kosteneinsparungspotenzial im Betrieb bieten.“

Neben fortschrittlichen Sicherheitstechnologien rückt ein Aspekt in den Diskussionen über IT-Sicherheit immer mehr in den Fokus, den nicht wenige Experten sogar für den wichtigsten überhaupt halten: der menschliche Faktor. Zero-Trust-Konzepte gelten auch hier als eine mögliche Lösung, kombiniert mit intensiven Mitarbeiterschulungen.

In Security Awareness Trainings können Mitarbeiter laut dem Schulungsdienstleister KnowBe4 zum Beispiel Techniken zur Erkennung und Vermeidung von Deepfakes erlernen, etwa wie sie die Identität einer anrufenden Person oder die Echtheit der Voice-Mail überprüfen. Mit dem Plädoyer für Awareness-Schulungen rennt KnowBe4 offene Türen ein. Laut einer Sophos-Studie zu Security as a Service steht diese Maßnahme ganz oben bei den Sicherheitsstrategien der Unternehmen. Fast die Hälfte der Firmen sieht darin eine erforderliche Maßnahme zur Optimierung ihrer IT-Security – gleichauf mit einem ganzheitlichen Sicherheitskonzept wie Zero Trust.

Die gewachsene Sensibilität für das Awareness-Thema belegt auch das „OTRS Spotlight: Corporate Security 2023“. In der Umfrage des Herstellers der die Enterprise Service Management Suite OTRS wünschte sich knapp ein Drittel (32 Prozent) der befragten Security-Experten mehr Investitionen in Awareness-Trainings. Ebenfalls ein Drittel (34 Prozent) arbeitet für solche Schulungen bereits mit dem IT Service Management (ITSM) zusammen. Das Bewusstsein dafür, wo Risiken lauern, ist in deutschen Unternehmen dementsprechend bereits relativ hoch. 30 Prozent der Security-Fachkräfte geben an, dass Bedenken über verdächtige E-Mails oder mögliche Phishing-Versuche zu den drei häufigsten Arten von Anfragen gehören, die sie von Anwendern innerhalb ihrer Organisation erhalten.

„Eine kurze Unaufmerksamkeit, ein falscher Klick – es braucht nicht viel, um einer Organisation immensen Schaden zuzufügen. Daher ist es richtig, dass IT- und Cybersecurity-Teams so großen Wert darauf legen, alle Mitarbeitenden in ihrer Organisation für Gefahren zu sensibilisieren und zu schulen“, findet Jens Bothe, Vice President Information Security der OTRS AG. „Damit das gelingt, müssen Security-Teams Rückendeckung aus dem obersten Management erhalten, um Sicherheitsmaßnahmen abteilungsübergreifend, effektiv und effizient implementieren zu können.“

Die Mitarbeiter-Schulungen werden vom KI-Einsatz profitieren, erwartet Martin J. Krämer, Security Awareness Advocate bei KnowBe4. KI-Tools würden es ermöglichen, bessere Phishing-Templates zu Übungszwecken zu erstellen, gezieltere Inhalte zur Verfügung zu stellen und dank der besseren Auswertungsmöglichkeiten noch bessere Beratungsangebote mit hohen Klickraten zu entwickeln.

Zu viel sollte man sich von Awareness-Schulungen aber auch nicht erwarten. So sieht das jedenfalls Jacques Boschung, CEO des Schweizer Dienstleisters Kudelski Security, der ernüchtert feststellt: „Egal wie viele Sicherheitsschulungen ein Team für das gesamte Unternehmen durchführt, Mitarbeiter werden immer wieder auf Phishing-Angriffe hereinfallen – die täglich glaubwürdiger werden.“ Boschung empfiehlt deshalb, menschliche Einflüsse so weit wie möglich zu minimieren, insbesondere durch strikte Zero-Trust-Richtlinien und automatisierte Prozesse.