Unser vorheriger Blogbeitrag behandelte, was Zero Trust Security bedeutet, auf welchen Grundlagen sie beruht und weshalb Unternehmen sie einführen. In diesem Bericht behandeln wir den Prozess der Implementierung. Dabei gibt es keinen allgemeingültigen Ansatz für Zero Trust Security, denn Anbieter und Unternehmen haben erkannt, dass eine Universal-Lösung nicht für alle Arten von Unternehmen geeignet ist.
Nach den Erfahrungen, die wir bei der Beratung und Unterstützung hunderter Unternehmen in Bezug auf deren Sicherheit gesammelt haben, treten bei der Implementierung von Zero Trust häufig zwei Herausforderungen auf:
Wahl einer Standard-Lösung: Unternehmen haben unterschiedliche Umgebungen und IT-Landschaften, darunter hybride Umgebungen, nicht verwaltete Geräte, Cloud und lokale Infrastrukturen, ältere-Plattformen, nicht standardisierte Richtlinien und Benutzer an verschiedenen Standorten. Die Anwendung einer Standard-Lösung schafft möglicherweise nicht unbedingt einen Mehrwert und könnte sowohl komplex als auch teuer sein.
Start ohne vollständigen Überblick über Kosten und Ressourcen: Die ganzheitliche Implementierung von Zero Trust ist ressourcenintensiv und erfordert qualifiziertes Personal. Unternehmen mit begrenzten Ressourcen sind damit unter Umständen überfordert. Die Anstellung von Fachkräften ist ebenfalls nicht einfach und zudem teuer. Außerdem kann bei mangelnder Planung der Austausch zu Legacy-Systemen – allein um des Zero Trust Willens – zu einer finanziellen Belastung werden.
Manchmal erzielt Zero Trust bedingt durch eine unzureichende Implementierung keine optimalen Ergebnisse. Wenn Schwachstellen nicht behoben werden und keine angemessenen Kontrollen vorhanden sind, ist Zero Trust wegen verbleibender Sicherheitslücken nicht zu 100 Prozent wirksam. Der Umfang der Implementierung wird nicht immer vollständig definiert, so dass manche Bereiche nicht abgedeckt sind. So kann es beispielsweise sein, dass die Anwendungssicherheit nicht abgedeckt ist, weil der Fokus auf der Netzwerksicherheit liegt. Werden Drittanbieter nicht bei der Implementierung berücksichtigt, kann dadurch ebenfalls die Wirksamkeit des Programms beeinträchtigt werden.
Der Umgang mit diesen Herausforderungen erfordert eine sorgfältige Planung sowie einen stufenweisen Ansatz zur Implementierung von Zero Trust. Einfach ausgedrückt: jedes Unternehmen muss eine Strategie entwickeln, die auf Faktoren wie der aktuellen Sicherheitsarchitektur, den Anforderungen, dem Budget und dem zeitlichen Umsetzungsrahmen basiert.
Es gibt jedoch auch generelle Aspekte, die alle Unternehmen als Ausgangsbasis und Grundlage für ein Zero Trust Sicherheitsmodell berücksichtigen sollten:
Bestimmen Sie die Anforderungen und Ziele des Unternehmens für die Zero Trust Strategie. Bestandsaufnahme: identifizieren Sie Anwendungen, Daten und Ressourcen und segmentieren Sie Ihr Netzwerk entsprechend. Bestimmen Sie die Stufe der Zugangskontrollen für jedes Segment ausgehend von dessen Kritikalität. Definieren Sie logische Netzwerksegmente und Zugangsrichtlinien anhand des Prinzips der geringsten Privilegien, um die seitwärts Bewegungen von Angreifern innerhalb des Netzwerks einzuschränken.
Prüfen Sie vor der vollständigen Implementierung die bestehende IT-Architektur auf Schwachstellen. Beheben Sie festgestellte Sicherheitslücken.
Klassifizieren Sie die Benutzer (Mitarbeiter, externe Benutzer, Service-Accounts, Bots, Systemadministratoren und Entwickler). Bewerten Sie Gerätenutzung, Kontrollen des Identitäts- und Zugangsmanagements, bestehende Methoden zur Benutzerauthentifizierung, Multi-Faktor-Authentifizierung (MFA) und Zugangsrechte. Integrieren Sie die Identitätsprüfung für Benutzer und Geräte nahtlos in das Zero Trust Modell. Erteilen Sie Zugangsberechtigungen nach dem Prinzip der geringsten Privilegien.
Klassifizieren und kennzeichnen Sie Daten anhand ihrer Vertraulichkeit. Legen Sie Verfahren für Verschlüsselung und Datenschutz fest, um unberechtigten Zugang oder Datenverlust während der Übertragung und Speicherung zu verhindern.
Stellen Sie sicher, dass alle Endpunkte im Netzwerk abgesichert sind. Wenden Sie die neuesten Sicherheits-Updates und erforderlichen Software-Patches an. Bewerten und beseitigen Sie Lücken in der Anwendungssicherheit.
Implementieren Sie eine laufende Überwachung von Netzwerkaktivitäten und Benutzerverhalten. Richten Sie Alarme für ungewöhnliche oder verdächtige Aktivitäten ein und erstellen Sie einen zuverlässigen Plan für das Vorgehen bei potenziellen Sicherheitsverletzungen.
Analysieren Sie, wie die Zero Trust Sicherheitslösung in die bestehende Unternehmenslandschaft passt. Bestimmen Sie, ob sie bestehende Lösungen ersetzt oder erweitert. Stellen Sie die Kompatibilität mit Firewalls, Systemen zur Erkennung nicht autorisierter Zugriffe und anderen Tools sicher.
Bewerten Sie die Sicherheitsverfahren von externen Anbietern und Partnern, die mit Ihrem Netzwerk interagieren. Stellen Sie sicher, dass die von Ihrem Unternehmen definierten Zero Trust Grundsätze eingehalten werden, um so Sicherheitslücken, verursacht durch externe Quellen, zu vermeiden.
Implementieren Sie Zero Trust stufenweise und beginnen Sie mit einem Pilotprojekt. Evaluieren Sie Wert und Wirkung, nehmen Sie Anpassungen vor und fahren Sie dann mit dem nächsten Schritt fort.
Legen Sie das Budget fest und berücksichtigen Sie dabei die notwendigen Ressourcen, Beratungen, Lösungen, Plattform-Upgrades, Mitarbeiterschulungen, administrativen Prozesse und Wartungsarbeiten. Ein gut strukturiertes Budget unterstützt eine erfolgreiche Implementierung.
Eine erfolgreiche Zero Trust Implementierung schafft ein sicheres Ökosystem in dem Vertrauen nie als gegeben angenommen wird und jede Zugangsanforderung sorgfältig überprüft wird. Ein Zero Trust Ansatz reduziert Schwachstellen, minimiert die Angriffsfläche und verbessert die Fähigkeit eines Unternehmens, Cyberbedrohungen abzuwehren erheblich, wobei er jederzeit an sich verändernde Sicherheitsumgebungen angepasst werden kann.
Sie überlegen, wie Sie eine Sicherheitsstrategie und einen Fahrplan für Zero Trust Sicherheit erstellen können? Wir unterstützen Sie gerne bei der Entwicklung von Sicherheitsrichtlinien, der Verbesserung der Sicherheitslage und bei der Durchführung von Sicherheitsevaluationen.
Kontaktieren Sie uns unter cyber.security@t-systems.com.