Laut der IDG-Studie "Security Priorities 2020" steigt das Interesse an Zero-Trust-Technologien: 40 Prozent der Befragten gaben an, sich aktiv mit Zero Trust zu befassen. Im Jahr 2019 lag dieser Wert bei lediglich 11 Prozent. Bereits über Zero-Trust-Lösungen zu verfügen, gaben 18 Prozent der befragten Unternehmen an - mehr als doppelt so viele wie noch im Jahr 2018 (8 Prozent). Weitere 23 Prozent planen, Zero Trust in den nächsten zwölf Monaten einzusetzen.
Forrester-Analyst Steve Turner stellte im Rahmen seiner jüngsten Gespräche mit Unternehmenskunden allerdings fest, dass 50 bis 70 Prozent die grundlegenden Konzepte und Prinzipien von Zero Trust völlig missverstehen, weil der Marketing-Hype überhand genommen habe: "Wenn wir diese Kunden auf den Boden der Tatsachen zurückholen, steht am Ende meist die Erkenntnis, dass sie falsche Vorstellungen von Zero Trust hatten."
Damit es Ihnen nicht so ergeht, haben wir sechs gängige Mythen und Missverständnisse rund um Zero-Trust-Netzwerke zusammengestellt.
1. "Zero Trust löst ein Technologieproblem"
Zero Trust ist keine Lösung für ein technisches Problem, sondern für ein Business-Problem, weiß Turner: "Der erste Schritt ist, zu verstehen, welches Geschäftsproblem man zu lösen versucht."
John Kindervag, der das Zero-Trust-Modell entwickelt hat, betont ebenfalls die Notwendigkeit, sich auf die Geschäftsergebnisse zu konzentrieren und rät CISOs, dazu das Unternehmen einzubeziehen: "Wenn Sie Ihre geschäftlichen Anforderungen nicht kennen, werden Sie scheitern."
2. "Zero Trust ist ein Produkt"
Ein weit verbreiteter Zero-Trust-Irrglaube: Zero Trust ist erfolgreich implementiert, wenn Identitätsmanagement, Zugangskontrolle und Netzwerksegmentierung zum Einsatz kommen. Kindervag, derzeit Senior Vice President für Cybersecurity-Strategie beim Security-MSP ON2IT, räumt mit diesem Mythos auf: "Zero Trust ist eine strategische Initiative, die darauf abzielt, Data Breaches zu verhindern. Kris Burkhardt, CISO von Accenture, beschreibt Zero Trust als "eine Reihe von Prinzipien", die dem Aufbau einer sicheren Technologie-Umgebung dienen: "Niemand kann Ihnen eine Zero-Trust-Lösung verkaufen. Wenn Sie ein Produkt kaufen wollen, um Zero Trust umzusetzen, dann stellen Sie die falsche Frage".
Forrester-Analyst Turner hatte bereits mit Kunden zu tun, die ein Produkt mit "Zero-Trust-Versprechen" gekauft haben, ihre Herangehensweise aber in keiner Weise verändert haben: "Daten wurden nicht klassifiziert, es gab immer noch Mitarbeiter, Lieferanten und Auftragnehmer mit viel zu weitreichenden Zugriffsrechten und auch in Sachen Asset Management oder Netzwerk-Gepflogenheiten passierte nichts."
3. "Zero Trust - gilt auch für die Mitarbeiter"
Wie Zero-Trust-"Vater" Kindervag erklärt, ziele der Zero-Trust-Ansatz nicht darauf ab, Systeme vertrauenswürdig zu machen. Vielmehr gehe es darum, das Konzept des Vertrauens aus IT-Systemen zu verbannen: "Vertrauen ist eine Schwachstelle, die bei Datenschutzverletzungen ausgenutzt wird."
Das werde manchmal auf eine Art und Weise fehlinterpretiert, dass das Unternehmen seinen Mitarbeitern plötzlich nicht mehr vertraue: "Es ist Aufgabe des CISOs, zu erklären, dass es hierbei nicht um persönliche Belange geht, sondern darum, Datenschutzverletzungen im Unternehmen zu verhindern, die potenziell alle Mitarbeiter betreffen."
4. "Zero Trust ist schwer zu implementieren"
Kindervag sträubt sich darüber hinaus gegen die Vorstellung, Zero Trust sei schwer zu realisieren: "Das ist ein Mythos, der von denjenigen geschaffen wurde, die ihr Defense-in-Depth-Modell in Gefahr sehen. Zero Trust ist nicht kompliziert und sicherlich nicht teurer als das, was Unternehmen bereits jetzt tun. Dabei sind allerdings die Kosten einer Datenpanne noch nicht berücksichtigt."
Turner stimmt zu, dass es heute viel einfacher sei, einen Zero-Trust-Ansatz in der Praxis umzusetzen: "Die Tools selbst haben sich verbessert und die Anbieter arbeiten jetzt produktlinienübergreifend zusammen."
5. "Zero Trust geht nur so"
Im Laufe der Zeit haben sich laut Turner zwei Ansätze für den Zero-Trust-Einstieg herauskristallisiert. Eine Herangehensweise fokussiert auf das Identitätsmanagement, die andere auf die IT Security: "Einige Unternehmen beginnen mit dem Identitätsmanagement und gehen schnell dazu über, eine Multi-Faktor-Authentifizierung zu implementieren, die die einfachsten und schnellsten Erfolge bringt. Andere Unternehmen verfolgen einen netzwerkzentrierten Ansatz, bei dem sie zuerst die Mikrosegmentierung in Angriff nehmen, was etwas schwieriger sein kann."
6. "SASE gleich Zero Trust"
Secure Access Service Edge (SASE) ist zu einem beliebten Mittel geworden, um in Sachen Zero Trust Fuß zu fassen. Das liegt daran, dass SASE das Security Management in die Cloud verlagert. Laut Turner hätten jedoch viele Unternehmen in den chaotischen Anfangstagen der Pandemie auf SASE zurückgegriffen, um das unmittelbare Problem der plötzlich remote tätigen Mitarbeiter zu lösen: "SASE-Lösungen sind nicht für hybride Modelle ausgelegt. Diese Unternehmen müssen jetzt zurück ans Reißbrett und Zero Trust als unternehmensweite Strategie konzipieren." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.