Neues Konzept, alte Grundsätze

Die endlose Reise zu Zero Trust

25. Mai 2023, 7:00 Uhr | Dave Russell/am

Fortsetzung des Artikels von Teil 1

Unendliche Herausforderungen

Der Aufbau einer echten Zero-Trust-Architektur ist mit der Herausforderung verbunden, die Akzeptanz zu erreichen. Da die Einführung von Zero Trust eine gemeinsame Anstrengung und eine Änderung der Denkweise von oben nach unten erfordert, müssen die Führungsebene, die Administratoren und die Benutzer sie annehmen und verstehen. Die leitenden Entscheidungsträger müssen den Wert von Zero Trust verstehen und entsprechende Mittel dafür bereitstellen. Administratoren müssen entsprechende Schulungen absolvieren, und die Benutzer müssen die neuen Richtlinien verstehen und befolgen. Selbst nachdem die ersten Zero-Trust-Funktionen implementiert sind, ist sicherzustellen, dass sie sich im gesamten Unternehmen kontinuierlich befolgen lassen. Dabei darf es sich nicht um eine einmalige Maßnahme handeln. Außerdem muss man jedes neue Element, das dem IT-Ökosystem hinzukommt, bewerten und ändern, um den Zero-Trust-Prinzipien zu entsprechen. Beispiele für sich ausbreitende Bedrohungen können alles sein, von einer Richtlinie für das Mitbringen eigener Geräte bis hin zu Open-Source-Software.

Open-Source-Software ist ein unschätzbares Werkzeug, das jedoch einige Probleme bei der Einhaltung von Zero-Trust-Prinzipien mit sich bringt. Ein berüchtigtes Beispiel dafür ist die "endemische Sicherheitslücke" in Log4j, die viele Unternehmen angreifbar machte. Das soll nicht heißen, dass es unmöglich ist, Open Source neben Zero Trust zu verwenden, aber solche Programme müssen korrekt gebündelt und verpackt sein, um Schwachstellen zu isolieren. Produkte, die Log4J verwenden, sollten so modifiziert sein, dass sich Sicherheitslücken isolieren oder entfernen lassen.

Dies ist ein Beispiel für eine größere Herausforderung bei Zero Trust, die für den Erfolg oder Misserfolg der Strategie entscheidend ist: die ständige Neubewertung der Architektur. Es ist mit einem Trainingsprogramm zu vergleichen. Wenn man es nur einmal macht, wird sich nichts ändern. Wenn man es eine Zeit lang machet und dann ganz aufhören, werden die Ergebnisse zurückgehen, bis man wieder da ist, wo man angefangen haben. Es ist wichtig, die Sicherheit immer wieder neu zu bewerten und diese Einstellung so weit wie möglich voranzutreiben.

Zurück zu den Grundlagen

In der modernen Umgebung wird Zero Trust zu einer Voraussetzung, um Unternehmen und Systeme vor sich entwickelnden Bedrohungen zu schützen. Die Umsetzung einer solchen Strategie ist jedoch nicht auf die leichte Schulter zu nehmen, denn es bedarf eines unternehmensweiten Engagements, um eine Zero-Trust-Architektur und -Kultur wirklich einzuführen und aufzubauen. Dies ist ein ständiger Prozess, aber wenn man mit einer modernen Datenschutzstrategie beginnt, die sichere Backups und eine robuste Notfallwiederherstellung umfasst, und diese dann ausbaut, steht immer etwas zur Verfügung, auf das man zurückgreifen kann.

Dave Russell ist Vice President, Enterprise Strategy bei Veeam.