Computer werden auf ihre Sicherheit geprüft
02.01.2020    Madeline Sieland
  • Drucken

Egal welches Gerät, welcher Nutzer oder Service: Wer in Sachen IT ganz sicher sein will, sollte nichts und niemandem dauerhaft trauen. Auf diesem Grundsatz basiert das Zero-Trust-Konzept, das das Marktforschungs- und Beratungsunternehmen Forrester Research bereits 2010 entwickelt hat. Im Kern geht es darum, den Zugriff auf Unternehmenssysteme und -daten einzuschränken, bis ein Gerät eine Sicherheitsprüfung bestanden und der Nutzer seine Identität nachgewiesen hat. Und das immer wieder aufs Neue. Paul McKay, Senior Analyst bei Forrester, erklärt, was dieser identitäts- und gerätezentrierte Ansatz in der Praxis bedeutet.

Zur Person

Ein Portrait von Paul McKay

Paul McKay

ist Senior Analyst im Security and Risk Team bei Forrester Research. Er hat einen Master in Software- und Systemsicherheit von der University of Oxford sowie einen Bachelor in Informatik und Mathematik von der University of St. Andrews

DUB UNTERNEHMER-Magazin: Was ist bei der Im­plementierung von Zero Trust zu beachten?

Paul McKay: Wir empfehlen fünf Schritte. Schritt eins: die Identifizierung sensibler Daten. Danach geht es darum, herauszufinden, wie die Datenflüsse aussehen. Schritt drei ist die Mikrosegmentierung, die es erlaubt, Bereiche im Netzwerk voneinander zu ­trennen, um den Datenverkehr zwischen diesen Segmenten zu schützen. Der vierte Schritt ist die Einführung einer kontinuierlichen Sicherheitsüberwachung. Und am Ende werden die Automatisierung und das Zusammenspiel der Systeme verbessert, damit sich der Aufwand für das Sicherheitsteam in Grenzen hält.

Gibt es bei der Umsetzung von Zero Trust hierzulande besondere Herausforderungen?

McKay: Das Konzept basiert auf der Annahme, dass das Vertrauen, das im Firmennetzwerk besteht, gebrochen wurde. Unser Modell empfiehlt daher eine kontinuierliche Überwachung. Dadurch ist es einfacher zu verstehen, wie Daten abgerufen und verwendet werden – und wo sich sensible und kritische Punkte befinden. Das ist vor allem wichtig, um konkrete und potenzielle Gefahren untersuchen zu können. Da gerät man aber schnell in Konflikt mit Betriebsräten. Denn mit solchen Aktivitäten darf man die Privatsphäre der Arbeitnehmer natürlich nicht beeinträchtigen.

Könnte zu viel Misstrauen nicht auch Innovations- und Transformationsprozesse in Unternehmen hemmen?

McKay: Ich stelle häufig fest, dass bei Inno­vations- und Transformationsbemühungen der Kontakt zu den Sicherheitsexperten vermieden wird. Diese sind als Neinsager verschrien. Ich sehe das anders. Sie sollten eher als Wegbereiter und nicht als Bremser wahrgenommen werden. Genau sie sind es, die dabei helfen müssen, eine fundierte Meinung über das Sicherheitsrisiko zu bilden, das ein Unternehmen im Zuge der digitalen Transformation eingehen möchte.

Laut Cisco sind in deutschen Unternehmen bis zu 21 Sicherheitsprodukte im Einsatz. Sieht so der optimale Schutz der IT-Infrastruktur aus?

McKay: Das zeigt, dass IT-Security-Verantwortliche seit jeher Produkte entwickelt und erworben haben, die auf einer Präferenz für „Best of Breed“-Lösungen basieren. Aktuell drängen CIO und CFO aber darauf, diesen Ansatz angesichts des wachsenden wirtschaftlichen Drucks in Europa zu überdenken. Da sich zudem die Sicherheit von Public-Cloud-Anbietern verbessert hat und sie wettbewerbsfähige Preise bieten, wird es schwieriger, sie zu ignorieren. Ein Blick in unsere ­Daten bestätigt eine klare Tendenz hin zu integrierten Lösungen. Ein komplexes Ökosystem aus nicht integriertem Schutz muss der Vergangenheit angehören.

02.01.2020    Madeline Sieland
  • Drucken
Zur Startseite