Prognosen

2/24 Lesedauer: min

Zero Trust und der menschliche Faktor

Das Zero-Trust-Konzept will durch eine ständige Überprüfung der Berechtigungen und Identitäten aller Nutzer und Geräte in einem System für Sicherheit sorgen – und dabei auch die neuralgischste Stelle im Abwehrbollwerk in den Griff bekommen: den Menschen.

Shutterstock / Gorodenkoff

Wenn es um Chancen für eine Verbesserung der IT-Sicherheit geht, fällt bei vielen Experten der Begriff „Zero Trust“. Nach dem Prinzip „Never trust, always verify“ geht dieses Konzept davon aus, dass Bedrohungen sowohl von außerhalb als auch von innerhalb des Netzwerks kommen können und es deshalb eine kontinuierliche Überprüfung der Berechtigungen und Identitäten aller Nutzer und Geräte geben müsse, die auf Ressourcen des Netzwerks zugreifen möchten. Zugriff wird dabei dann nur auf der Basis der geringstmöglichen Rechte gewährt.

Sundaram Lakshmanan, Chief Technology Officer von Lookout, sagt für 2024 voraus, dass sich die CISOs von VPNs abwenden werden, weil VPNs einen uneingeschränkten Zugang zur gesamten Unternehmensinfrastruktur ermöglichen, was sie zu einem perfekten Werkzeug für die seitliche Bewegung von Angreifern in den IT-Infrastrukturen mache. Lakshmanans Alternative zu VPN heißt Zero Trust: „Wenn es um den Schutz sensibler Unternehmensdaten geht, bietet Zero Trust Network Access (ZTNA) im Vergleich zu herkömmlichen VPNs einen weitaus sichereren Ansatz, da eine granulare Zugangskontrolle die Benutzer auf bestimmte Anwendungen beschränkt. Dadurch wird die gesamte Angriffsfläche reduziert und die seitliche Bewegung von Bedrohungen verhindert, wodurch das Risiko, dass kompromittierte Konten oder Geräte die gesamte Infrastruktur gefährden, minimiert wird“, so Lakshmanan.

Für Erismann, dem CCO der Schweizer Exeon Analytics, erwächst aus Zero Trust allerdings eine neue Herausforderung für CISOs: „Zero-Trust-Modelle erfordern eine ständige Überwachung der Netzwerkaktivitäten, um Schwachstellen zu identifizieren und autorisierte Personen zu verifizieren und so eine umfassende Sicherheitsstrategie zu gewährleisten. Auch dies ist mit herkömmlichen Tools kaum zu gewährleisten."

Sundaram Lakshmanan, Chief Technology Officer, Lookout
„Wenn es um den Schutz sensibler Unternehmensdaten geht, bietet Zero Trust Network Access im Vergleich zu herkömmlichen VPNs einen weitaus sichereren Ansatz.“
Gregor Erismann, CCO, Exeon Analytics
„Zero-Trust-Modelle erfordern eine ständige Überwachung der Netzwerkaktivitäten (…). Auch das ist mit herkömmlichen Tools kaum zu gewährleisten."

Auch Andreas Junck, Senior Sales Director DACH bei Gigamon, einem Unternehmen, das sich auf Netzwerk-Transparenz spezialisiert hat, empfiehlt einen Zero-Trust-Ansatz. Deutsche Deutschland sieht er allerdings erst ganz am Anfang ihre „Zero-Trust-Reise“. Ihm ist aufgefallen, „dass sie oft lediglich das Access-Management einrichten und denken, damit sei es getan.“ Vollständige Sichtbarkeit werde häufig vernachlässigt – und das, obwohl sie das grundlegende Fundament für Zero Trust bilde. Schließlich müssten Sicherheitsteams wissen, wo sich die (sensiblen) Daten im Netzwerk befänden und wer Zugriff darauf habe.

Laut Junck haben bislang nur 28 Prozent der deutschen Unternehmen einen holistischen Überblick über ihre IT-Landschaft. Herkömmliche Sicherheits- und Monitoring Tools könnten ihm zufolge dieses Defizit nicht ausgleichen. Dafür brauche es Deep Observability-Lösungen, die sämtliche Daten analysieren, die in das Netzwerk kommen oder es verlassen.

Andreas Junck, Senior Sales Director DACH, Gigamon
„Vollständige Sichtbarkeit wird häufig vernachlässigt – und das, obwohl sie das grundlegende Fundament für Zero Trust bildet.“

Wolfgang Kurz, Geschäftsführer und Gründer des IT-Consulting-Hauses indevis, empfiehlt KMUs, die auf dem Weg in die Cloud sind oder sich bereits dort bewegen, das Konzept Secure Access Service Edge, kurz SASE. Das bei großen Organisationen bereits etablierte SASE verlagert Sicherheits- und Netzwerkfunktionen in die Cloud und legt den Fokus auf einen sicheren Zugriff und Endpoint-Schutz. Kurz schätzt an SASE vor allem Flexibilität, Skalierbarkeit und Standortunabhängigkeit. Er rät Unternehmen dazu, sich frühzeitig damit zu beschäftigen. In Deutschland beispielsweise bestehe eine starke Abhängigkeit von MPLS-Infrastrukturen (Multiprotocol Label Switching), was den Umstieg kompliziert gestalte. In solchen Fällen könne SD-WAN ein Weg in die Zukunft sein.

Auch Ulrich Brüll, CTO des IT- und Rechenzentrumsdienstleisters Conscia Deutschland, setzt auf SASE und prognostiziert für 2024: „Der Trend zu modernen SASE-Architekturen wird sich noch einmal verstärken, da diese im Vergleich zu den bestehenden SD-WAN-Modellen sowohl ein höheres Maß an Flexibilität und Sicherheit als auch Kosteneinsparungspotenzial im Betrieb bieten.“

Ulrich Brüll, CTO, Conscia Deutschland
„Der Trend zu modernen SASE-Architekturen wird sich noch einmal verstärken, da diese im Vergleich zu den bestehenden SD-WAN-Modellen sowohl ein höheres Maß an Flexibilität und Sicherheit als auch Kosteneinsparungspotenzial im Betrieb bieten.“

Awareness als Trumpf-Ass

Neben fortschrittlichen Sicherheitstechnologien rückt ein Aspekt in den Diskussionen über IT-Sicherheit immer mehr in den Fokus, den nicht wenige Experten sogar für den wichtigsten überhaupt halten: der menschliche Faktor. Zero-Trust-Konzepte gelten auch hier als eine mögliche Lösung, kombiniert mit intensiven Mitarbeiterschulungen.

In Security Awareness Trainings können Mitarbeiter laut dem Schulungsdienstleister KnowBe4 zum Beispiel Techniken zur Erkennung und Vermeidung von Deepfakes erlernen, etwa wie sie die Identität einer anrufenden Person oder die Echtheit der Voice-Mail überprüfen. Mit dem Plädoyer für Awareness-Schulungen rennt KnowBe4 offene Türen ein. Laut einer Sophos-Studie zu Security as a Service steht diese Maßnahme ganz oben bei den Sicherheitsstrategien der Unternehmen. Fast die Hälfte der Firmen sieht darin eine erforderliche Maßnahme zur Optimierung ihrer IT-Security – gleichauf mit einem ganzheitlichen Sicherheitskonzept wie Zero Trust.

Für deutsche IT-Entscheider sind die beiden wichtigsten Maßnahmen zur Verbesserung der IT-Sicherheit mit jeweils 49 Prozent die Steigerung der Awareness ihrer Mitarbeiter sowie ein ganzheitliches Security-Konzept (Quelle: Sophos „Cybersecurity as a Service“, n= 200 IT-Verantwortliche und -Entscheider aus deutschen Unternehmen mit 100 bis 999 Beschäftigten)

Die gewachsene Sensibilität für das Awareness-Thema belegt auch das „OTRS Spotlight: Corporate Security 2023“. In der Umfrage des Herstellers der die Enterprise Service Management Suite OTRS wünschte sich knapp ein Drittel (32 Prozent) der befragten Security-Experten mehr Investitionen in Awareness-Trainings. Ebenfalls ein Drittel (34 Prozent) arbeitet für solche Schulungen bereits mit dem IT Service Management (ITSM) zusammen. Das Bewusstsein dafür, wo Risiken lauern, ist in deutschen Unternehmen dementsprechend bereits relativ hoch. 30 Prozent der Security-Fachkräfte geben an, dass Bedenken über verdächtige E-Mails oder mögliche Phishing-Versuche zu den drei häufigsten Arten von Anfragen gehören, die sie von Anwendern innerhalb ihrer Organisation erhalten.

„Eine kurze Unaufmerksamkeit, ein falscher Klick – es braucht nicht viel, um einer Organisation immensen Schaden zuzufügen. Daher ist es richtig, dass IT- und Cybersecurity-Teams so großen Wert darauf legen, alle Mitarbeitenden in ihrer Organisation für Gefahren zu sensibilisieren und zu schulen“, findet Jens Bothe, Vice President Information Security der OTRS AG. „Damit das gelingt, müssen Security-Teams Rückendeckung aus dem obersten Management erhalten, um Sicherheitsmaßnahmen abteilungsübergreifend, effektiv und effizient implementieren zu können.“

Jens Bothe, Vice President Information Security, OTRS AG
„Damit das gelingt, müssen Security-Teams auch Rückendeckung aus dem obersten Management erhalten.“

Die Mitarbeiter-Schulungen werden vom KI-Einsatz profitieren, erwartet Martin J. Krämer, Security Awareness Advocate bei KnowBe4. KI-Tools würden es ermöglichen, bessere Phishing-Templates zu Übungszwecken zu erstellen, gezieltere Inhalte zur Verfügung zu stellen und dank der besseren Auswertungsmöglichkeiten noch bessere Beratungsangebote mit hohen Klickraten zu entwickeln.

Zu viel sollte man sich von Awareness-Schulungen aber auch nicht erwarten. So sieht das jedenfalls Jacques Boschung, CEO des Schweizer Dienstleisters Kudelski Security, der ernüchtert feststellt: „Egal wie viele Sicherheitsschulungen ein Team für das gesamte Unternehmen durchführt, Mitarbeiter werden immer wieder auf Phishing-Angriffe hereinfallen – die täglich glaubwürdiger werden.“ Boschung empfiehlt deshalb, menschliche Einflüsse so weit wie möglich zu minimieren, insbesondere durch strikte Zero-Trust-Richtlinien und automatisierte Prozesse.

Jacques Boschung, CEO, Kudelski Security
„Egal wie viele Sicherheitsschulungen ein Team für das gesamte Unternehmen durchführt, Mitarbeiter werden immer wieder auf Phishing-Angriffe hereinfallen.“

Johann Scheuerer

Leitender Redakteur

Johann Scheuerer ist Leitender Redakteur der Schwesterzeitschriften com! professional (Deutschland) und Computerworld (Schweiz). Er beschäftigt sich seit den Anfängen des Internets mit allen Aspekten der Digitalisierung von Wirtschaft und Gesellschaft.