Zero Trust: Der Faktor Mensch im Zentrum der Sicherheit

Traue niemandem!

Zero Trust: Der Faktor Mensch im Zentrum der Sicherheit 

Foto: VMwareDer Autor Peter Trawnicek ist Country Manager Österreich bei VMwareDie Zunahme hybrider Arbeitsformen bietet neue Angriffsflächen für Cyber-Attacken. Social Engineering, Phishing-Angriffe und Ransomware entwickeln sich weiter und richten sich gezielt gegen Mitarbeiter in verteilten Arbeitsumgebungen.

Unternehmen müssen ihre etablierten Sicherheitsmodelle hinterfragen, um die in hybriden Arbeitsformen notwendige Flexibilität zu gewährleisten. “Zero Trust” hat sich für viele Unternehmen zum Sicherheitskonzept der Wahl herauskristallisiert.

Foto: VMwareIn der Praxis sorgt Zero Trust oft für Frustration – insbesondere, wenn es nicht richtig an die Mitarbeiter angepasst ist.Die Balance zwischen Sicherheit und Produktivität

“Zero Trust” birgt zunächst das Risiko für Fehlinterpretation seitens IT-ferner Mitarbeiter, wenn sie ihn auf das Vertrauen des Unternehmens in ihre Arbeitsleistung beziehen. IT-Verantwortliche sollten dies als Anlass nehmen, sich bei der Benennung von IT-Projekten generell zu überlegen, wie der Name auf Adressaten wirkt.

In der Theorie bedeutet Zero Trust, dass Mitarbeiter mit ihren eigenen Geräten auf Anwendungen und Daten mit weniger Risiko zugreifen dürfen. 

Unternehmen können ihren Teams mit Hilfe von Zero Trust ermöglichen, dass sie auf Informationen und Anwendungen Zugriff haben und dies unabhängig vom Standort möglich ist. In der Praxis sorgt das Konzept jedoch oft für Frustration – insbesondere, wenn es nicht richtig an die Mitarbeiter angepasst ist.

Denn Unternehmen wenden bei allen Beschäftigten häufig die gleichen strengen Regeln an – unabhängig davon, wo diese sich befinden und auf welche Inhalte sie zugreifen wollen. Viele Unternehmen blenden die individuellen Bedürfnisse verschiedener Stellenprofile bei der Abbildung des Risikos aus. Dies kann allerding die Produktivität der Mitarbeiter einschränken, die sicherere oder weniger riskante Aufgaben wahrnehmen als andere. So kann man es in Frage stellen, ob es sinnvoll ist, die Person, die Pakete ausliefert, an die gleichen Sicherheitsstandards zu binden wie den Geschäftsführer im Büro – v.a. dann, wenn der Zugangsprozess zeitaufwendig ist.

Eine schlechte Umsetzung von Zero Trust kann bedeuten, dass die IT-Sicherheit alle anderen Aspekte eines Unternehmens in den Schatten stellt – mit negativen Auswirkungen auf das Nutzererlebnis, die Agilität und auf Innovationspotentiale.

Zu betonen ist, dass das Problem nicht im Zero-Trust-Prinzip selbst liegt. Es geht um die richtige Umsetzung. Grundsätzlich ist es richtig allen Nutzern zu misstrauen, um die Sicherheit zu gewährleiten. Doch dabei darf es nicht bleiben. Denn im Arbeitsalltag zeigt sich eben oft: Je strikter die Umsetzung von Zero Trust, desto stärker ist der Gegenwind der Mitarbeiter.

Team-Mitglieder, die Aufgaben aufgrund strenger Sicherheitsmaßnahmen nicht mehr wie gewohnt ausführen können, suchen zu oft Wege, diese zu umgehen, was wiederum neue Probleme nach sich ziehen kann.

Foto: VMwareDie richtige Implementierung von Zero Trust stellt die Mitarbeiter in den Mittelpunkt.Zero Trust Prinzipien mit Individueller Risikoprofilierung

Unternehmen sollten den Ansatz so umsetzen, dass die Zero-Trust Prinzipien mit einer Risikoprofilierung kombiniert werden. Dabei werden der Nutzer und die Geräte entsprechend ihrer Funktion und der Daten, auf die man Zugriff erhalten möchte, einer sorgfältigen Prüfung unterzogen. Führen Unternehmen den Ansatz so aus, steht der Nutzer im Mittelpunkt und nicht die Organisation, und bei der Sicherheit müssen keine Kompromisse eingegangen werden, denn es wird eine flexiblere Nutzererfahrung ermöglicht.

Zu berücksichtigen ist die Risikobehaftung der unterschiedlichen Tätigkeitsprofile, die es zu verstehen gilt. Das bedeutet konkret, dass es eine Einschätzung braucht, welche Risiken damit einhergehen, wenn ein betreffender Nutzer auf beispielsweise Apps und Daten zugreift. Bedingt werden diese durch den Kontext, also Standort, Sensibilität der Daten oder verwendete Geräte.

Der zweite Faktor betrifft das Prinzip der kontinuierlichen Verifizierung. Dieser Schritt birgt – schlecht ausgeführt – großes Frustrationspotenzial für den einzelnen Nutzer. Käme ein Kellner in einem Restaurant, in dem Sie einen Tisch reserviert haben, alle fünf Minuten an Ihren Tisch, um sie nach Ihrem Namen zu fragen, um sicherzugehen, dass die richtige Person am Tisch sitzt, wäre das mehr als nervig.

Analog geht es Mitarbeitern, die während ihrer Tätigkeit ständig um Authentifizierung gebeten werden. Es bedarf einer ausgewogenen Risikobeurteilung, die auch in Betracht zieht, dass sich Risiken ändern können.

Technologische Fortschritte, insbesondere im Bereich Machine Learning, ermöglichen, Risiken schneller zu beurteilen. Bis vor kurzem war es schwierig, die nötigen Informationen zu sammeln und mit der im Kontext erforderlichen Geschwindigkeit anzuwenden. Aber dies kann helfen, die “Always Verify”-Prämisse des Zero Trust-Prinzips erfolgreich umzusetzen. 

Foto: VMwareZero Trust erfolgreich umzusetzen, ist schlussendlich Abwägungssache.IT-Sicherheit, ausgerichtet auf individuelle Bedürfnisse

Auch Rentokil Initial, der führende Anbieter auf dem Gebiet der Schädlingsbekämpfung und gewerblichen Hygieneleistungen, setzt auf den Zero-Trust-Ansatz. 

Der personenbezogene Ansatz wird von Rentokil Initial auch bei Schulungen und Weiterbildungen zu IT-Sicherheit umgesetzt. Die Belegschaft wird in verschiedene Gruppen – je nach Kenntnisstand – unterteil und sie bekommen auf sie zugeschnittene Trainings. 

Zero Trust erfolgreich umzusetzen, ist eine Abwägungssache. Unternehmen müssen sich weiterentwickeln. Gleichzeitig müssen sie aber, ohne die Sicherheit der Online-Umgebung zu gefährden, den Arbeitnehmern ermöglichen, ihre Arbeit bestmöglich zu erledigen. Sich für einen Zero-Trust-Ansatz zu entscheiden, ist keine schlechte Entscheidung. Sie kann sich als falsch erweisen, wenn man das Prinzip nicht richtig umsetzt.


https://www.vmware.com/de.html

Hat dir der Beitrag gefallen dann unterstütze doch IT-Magazin!

Noch mehr schau doch mal bei uns vorbei!