Zero Trust: Sechs Tipps für die Umsetzung einer wirksamen Cybersicherheitsstrategie in Unternehmen
Führungskräfte sind angesichts der wachsenden Bedeutung zuverlässiger Systeme verstärkt für die IT-Sicherheit verantwortlich. Sie müssen dafür sorgen, dass Datenschutzverletzungen beispielsweise als Konsequenz eines Ransomware-Angriffs und die damit verbundenen hohen Kosten eingedämmt werden. Eine neue Studie von Kaspersky zeigt aber, dass 40 Prozent der Entscheider ihren IT-Sicherheitsteams nicht zutrauen, das Angriffsrisiko einschätzen zu können. Und nicht einmal 20 Prozent setzen auf Zero Trust, um bösartigen Attacken vorzubeugen.
„Zero Trust ist kein neues Konzept. Wir bemerken aber, dass der Begriff inzwischen auf viele verschiedene Arten und in unterschiedlichen Zusammenhängen verwendet wird, von Produkt- und Firmennamen bis hin zu breiteren Technologiekategorien und Funktionen – er ist allgegenwärtig. Infolge der übermäßigen Verwendung ist die ursprüngliche Bedeutung vielfach unklar geworden. Ein besonders problematischer Irrglaube besteht darin, anzunehmen, dass Zero Trust als eigenständiges Produkt erworben oder heruntergeladen werden kann. Diese Art des Marketings ist irreführend und nicht korrekt“, erklärt Ralf Baumann, Country Manager Germany bei Veritas Technologies. „Das Sicherheitsprinzip zielt darauf ab, IT-Systeme vor internen und externen Bedrohungen abzusichern."
Das führt zu dem Trugschluss, dass Unternehmen oft annehmen, ihre Daten seien sicher, nur weil sie ein Zero Trust-Produkt implementiert haben. In Wirklichkeit sind sie jedoch immer noch erheblich gefährdet, da der Einsatz eines einzelnen Produkts oder einer Lösung allein noch keine wahre Zero-Trust-Mentalität bedeutet. Die folgenden sechs Schritte fassen zusammen, was erforderlich ist, um eine umfassende Zero-Trust-Strategie zu implementieren:
- Unternehmensweites Engagement – alle Abteilungen des Unternehmens müssen sich auf Prioritäten und Parameter einigen und Zugriffs- sowie Sicherheitsrichtlinien aufeinander abstimmen. Jede einzelne Verbindung – von Daten über Benutzer und Geräte bis hin zu Anwendungen, Workloads und Netzwerken – muss mit einer Zero-Trust-Strategie konzipiert werden und die Möglichkeit bieten, sich nach Bedarf weiterzuentwickeln.
- Funktionsübergreifende Führung – empfehlenswert ist die Bildung eines dedizierten funktionsübergreifenden Zero-Trust-Teams, das mit der Planung und Implementierung der Zero-Trust-Migration beauftragt wird. Dieses Team muss Mitglieder aus den Bereichen Anwendungs- und Datensicherheit, Identity Governance sowie Netzwerk- und Infrastruktursicherheit umfassen, sollte aber auch andere IT-Bereiche einbeziehen. Es sollte regelmäßige Bestandsaufnahmen durchführen, um die Governance und Durchsetzung zu steuern, und ist angewiesen auf die volle Unterstützung der Unternehmensleitung.
- Prozesse und Richtlinien – es muss gewährleistet sein, dass die richtigen Prozesse und Verfahren für die Identitätssteuerung vorhanden sind. Ein weiteres wichtiges Element in diesem Zusammenhang ist die Beschränkung des Zugriffs auf Backups, insbesondere auf Backups geschäftskritischer Daten, und die strategische Zuweisung des Zugriffs nur an Gruppen, die ihn benötigen.
- Schulung und Aufbau einer Unternehmenskultur – alle Mitarbeiter sollten einfach und transparent geschult sowie informiert werden. Zero-Trust-Schulungen für alle Mitarbeiter, Partner und Lieferanten sind ein unverzichtbares Erfordernis, damit die Einstellung im gesamten Unternehmen und in der gesamten Wertschöpfungskette verankert ist.
- Produkt- und Tool-Anpassung – klar im Vorteil sind Technologien, bei denen das Zero-Trust-Konzept übergreifend in die Plattform integriert ist, anstatt es als Funktion anzuhängen. Eine Lösung, die das leistet, hilft bei der Überwachung des Zugriffs, der Kontrolle von Berechtigungen und der Systemhärtung und bietet durch Mechanismen wie Mikrosegmentierung und Gerätezugriffskontrolle vollständige Transparenz.
- Überwachen und pflegen – jede Zero-Trust-Strategie sollte regelmäßig überprüft und verfeinert werden. Dabei ist zu beachten, dass es sich um einen iterativen Prozess handeln muss.
„Es ist wichtig zu betonen: Eine echte Zero-Trust-Haltung kann nicht mit einem einzigen Produkt oder einer einzigen Lösung erreicht werden, auch wenn sie so vermarktet wird. In Wirklichkeit ist Zero Trust ein fortlaufender, iterativer Prozess, der auf den hier dargelegten Grundsätzen basiert und sich ständig weiterentwickeln muss“, so Baumann abschließend.
Veritas Technologies ist ein führender Anbieter für die sichere Multi-Cloud-Datenverwaltung. Mehr als 80.000 Kunden – darunter 91 Prozent der Fortune-100-Unternehmen – verlassen sich beim Schutz, der Wiederherstellung und der Compliance ihrer Daten auf Veritas. Sie profitieren von der hohen Zuverlässigkeit sowie der nötigen Ausfallsicherheit, um sich vor Cyber-Angriffen wie Ransomware-Attacken zu schützen. Unser einheitlicher Ansatz unterstützt mehr als 800 Datenquellen, über 100 Betriebssysteme und mehr als 1.400 Speicherziele. Diese Bandbreite kann kein anderes Unternehmen bieten. Mit der Cloud Scale Technologie setzt Veritas schon heute auf autonome Datenverwaltung, die den betrieblichen Aufwand reduziert und gleichzeitig einen größeren Mehrwert generiert. Erfahren Sie mehr unter www.veritas.com. Folgen Sie uns auf Twitter unter @VeritasTechDE.
Veritas Technologies LLC
500 East Middlefield Road
USA94043 Mountain View, CA
Telefon: +49 (800) 7244075
http://www.veritas.com
Account Manager
Telefon: +49 (89) 1730-1938
E-Mail: VeritasGermany@teamlewis.com