Foto: sdecoret - shutterstock.com
Die Forderung nach einem ganzheitlichen Blick auf die IT schließt das Thema Sicherheit mit ein. Deswegen sollten CIOs auf Zero Trust setzen. Diese These vertritt ein Webcast der Computerwoche in englischer Sprache.
So erhalten IT-Chefs durch Zero Trust zum Beispiel mehr Einblick in ihr Netzwerk. Darüber und über weitere Benefits sprechen Richard Meeus, EMEA Director of Security Technology and Strategy bei Akamai, und sein Kollege Andy Crail, Head of Solution Engineering Enterprise Security. Detlef Korus moderiert den Webcast.
Die Experten starten mit der Feststellung, dass die Zeit Perimeter-basierter Security vorbei ist. Diese folgt der traditionellen Vorstellung eines "Innen" und "Außen": Anwender, vor allem eigene Mitarbeiter, sitzen im Inneren des Unternehmens hinter einer Firewall. Auch die Applikationen liegen "drinnen". Bedrohungen kommen von "außen".
In der Digitalisierung gibt es kein "innen" und "außen" mehr
In der digitalen Transformation aber lösen sich diese Grenzen auf. Nicht nur werden die Mitarbeiter mobiler, sie sitzen nicht mehr zwingend am eigenen Schreibtisch. Mit ihnen verlassen auch die Anwendungen das Unternehmen und kehren wieder dorthin zurück. Technologisch gesehen sind es Schlagworte wie Cloud, hybride Umgebungen und BYOD (kurz für "Bring your own device"), die diese Veränderung skizzieren. Organisatorisch müssen sich Entscheider auf digitale Ecosystems vorbereiten, zu denen sich Unternehmen, Partner und Zulieferer zusammenschließen. "Das ist ja kein Problem", betont Meeus - aber alles muss gesichert werden.
Eben hier kommt Zero Trust ins Spiel. Dieses Konzept kreist zunächst einmal um Access Proxy, Single Sign on und Multi-Faktor Authentifizierung, so die Experten. Doch welche Benefits versprechen sich die Webcast-Zuschauer von Zero Trust? Moderator Korus startet eine Umfrage. Deren Ergebnis ist deutlich: Die große Mehrheit von 71 Prozent setzt auf mehr Sicherheit. Doch sie erwarten sich auch schnellere Entwicklung (43 Prozent), weniger Komplexität (29 Prozent), mehr Awareness im Business (ebenfalls 29 Prozent) und mehr Visibilität (14 Prozent).
Mit dem Hinweis auf genau diese verschiedenen Benefits lässt sich auch das Buy-in vom Business einholen, rät Crail - eine Frage, die seine Kunden oft stellen. Sein Tipp: mit einem kleinen Projekt starten, an dem sich die Vorteile gut umsetzen lassen. Meeus Credo: "Zero Trust wird zum Business Enabler!"
Acht Benefits von Zero Trust
Crail und Meeus sehen acht Benefits dieses Konzepts: erstens Visibilität, zweitens der Stop von Malware Propagation, drittens reduzierte Sicherheitsausgaben, viertens reduzierter Scope und Kosten von Compliance-Initiativen, fünftens das Abschaffen von Intersilo-Fingerpointing, sechstens mehr Awareness für Daten und Einsicht und siebtens den Stop der Exfiltration sensibler Daten sowie achtens Unterstützung der digitalen Transformation.
Die Experten nennen das Beispiel einer Handelskette, die in rund 10.000 Filialen in Nordamerika - davon viele in der Regie von Franchise-Nehmern - eine neue Business-Initiative gestartet hat. Das Unternehmen wollte Kosten senken und die Absätze steigern. Es arbeitet nun mit einer Lösung für den virtualisierten Zugang zur Kommunikations-Infrastruktur. Die Authentifizierung der Nutzer läuft über eine rollen-basierte Erlaubnis, die Daten werden über die Cloud transferiert.
Wie aber fangen Entscheider an? "Muss ich mit einem Big Bang starten?", will Korus wissen. "Nein", antwortet Crail. In der Praxis zeigen sich verschiedenste Einstiegsszenarien. Das können Merger und Akquisitionen sein, die Sicherung des Zugriffs durch Dritte oder die Abkehr von traditionellem VPN oder die Sicherung des Zugangs zu Anwendungen, die über Infrastructure-as-a-Service oder Software-as-a-Service bereitgestellt werden.
Die Cloud-Welt erfordert ein neues Sicherheits-Bewusstsein
Zero Trust nach Akamai umfasst fünf Elemente: erstens "No inside", zweitens "No VPN", drittens "No passwords" und viertens "Every app seems like SaaS" sowie fünftens "Every office is a hotspot".
Zusammenfassend sagt Meeus: "Das Shifting in die Cloud/Mobile/SaaS-Welt erfordert einen Shift des Security Mindsets." Sicherheitskontrolle und Visibilität gehören "up the stack", im digitalen Business müssen Risiken rund um Identitäten, Anwendungen und Prozesse kontrolliert werden. Er schließt: "Zero Trust steigert Visibilität und reduziert Risiko sowie Komplexität in hybriden Architekturen!"