Das Zero Trust Modell wird im Zusammenhang mit der IT-Sicherheit als Erlöser aller Sicherheitsprobleme präsentiert. Zero Trust soll die Lösung für Cyberangriffe, Ransomware und sonstige Gefahren rund um die IT sein. Das Zero Trust Sicherheitsmodell ist jedoch weder eine Lösung, eine Strategie noch ein Ziel. Das Framework bietet einen Werkzeugkoffer, den man anwenden kann, um Gefahren und Risiken aufgrund von Cyberangriffen zu reduzieren. Was das Zero Trust Sicherheitsmodell alles beinhaltet und worauf man dabei achten muss, findet man im Whitepaper, welches gratis zum Herunterladen zur Verfügung steht.
Was sind Modelle?
Modelle werden oftmals in der Praxis missverstanden. Ein Paradebeispiel ist das Scrum Framework (bzw. Modell). Über lange Zeit versuchten Unternehmen (immer noch) mit der Implementierung von Scrum Praktiken wie Sprints, Daily Stand Ups, Retroperspektiven und so weiter eigentliche Probleme der Organisation durch neue Methoden und Begriffe im Arbeitsablaufs zu überdecken. Dabei scheiterte die Adaptierung von Organisationen an dieses Modell schlussendlich meistens daran, dass die Werte des Modells nicht auf die Unternehmenskultur vernachlässigt und nicht übertragen wurden.
Daraus folgt, dass der Begriff “Modell” besser verstanden werden muss. Modelle lassen sich grundsätzlich nicht eins zu eins auf Organisationen und Unternehmen übertragen. Modell beinhalten viele Aspekte, die auf die individuellen Voraussetzungen von Unternehmen angepasst werden müssen. Einer der wichtigsten Aspekte ist stets der Faktor Mensch. Um Modelle erfolgreich zu implementieren, muss der Mensch in die Transformation einbezogen werden. Dies hat zur Folge, dass Gewohnheiten, Denkweisen und Prozesse hinterfragt und neu definiert werden – was für den Menschen oft unangenehm ist. Daher scheitern Unternehmen genau an diesem Faktor. Beim Zero Trust Sicherheitsmodell ist dies nicht anders.
Die Grundprinzipien von Zero Trust
Zero Trust verfolgt unter anderem fünf Grundprinzipien. Dabei geht es darum, Identitäten regelmässig zu verifizieren, laterale Bewegungen zu verhindern um dadurch den Wirkungsgrad eines Angreifers zu reduzieren sowie die Überwachung von Vorfällen und die Automatisierung der Vorfallsreaktion. Verfolgt man diese Prinzipien erhöht man durch die Implementierung von entsprechenden Maßnahmen die IT-Sicherheit um ein Vielfaches.
Bei der Adaptierung der Grundprinzipien von Zero Trust wird man früher oder später feststellen, dass lange bestehende Grundwerte von IT-Sicherheit plötzlich nicht mehr gelten. So ist beispielsweise einer der wichtigsten Faktoren rund um Zero Trust, dass die Segmentierung einer Organisation nicht mehr netzwerkbasiert erfolgt, sondern identitätsbasiert. Dies hat zur Folge, dass das Verständnis für Identität zuerst einmal geschaffen werden muss. Da jedoch diese veralteten Denkweisen stets auf dem Aspekt des Netzwerks aufbauen und in der technischen Umsetzung auch so definiert sind, ist es schwierig, diese Zustände beim Faktor Mensch zu ändern.
Das Problem mit der Kopfsache
Wie in vorherigen Abschnitten erwähnt, ist die Transformation des Menschen mehrfach ein Problem. Aufgrund der Gewohnheiten, eingefahrene Prozesse und bestehende Denkweisen braucht es viel Energie und Zeit, den Menschen zu verändern. Das resultiert schlussendlich darin, dass Vorhaben scheitern, weil zu wenig Zeit für die Transformation des Menschen (und schlussendlich der Organisation) eingeplant wurde. Bei der Implementierung eines neuen Modells ist es daher wichtig, den Faktor Mensch zu verstehen. Dabei muss man konkret folgende Punkte beachten und kennen:
- Was ist die Ausgangssituation?
Ein immer wieder unterschätzter Punkt ist die Analyse der Ausgangssituation. Meistens gehen Unternehmen davon aus, dass man sich selbst bereits kennt und daher nicht mehr darüber wissen muss. Dies ist aber falsch, weil bei einer Implementierung eines neuen Modells völlig neue Faktoren eine Rolle spielen, die man davor meistens nicht kennt.
- Was ist das Ziel?
Auch dieser Punkt wird immer wieder unterschätzt. Das Ziel wird meistens anhand von strategischen, technischen oder organisatorischen Faktoren definiert. Was dabei oft vernachlässigt wird, sind die Werte und die kulturellen Aspekte. Das heißt, dass Unternehmen schlussendlich eine Reise antreten, bei der sie nicht wissen, wie sie selbst dabei herauskommen. Sie kennen nur das, was darum herum sein soll.
Was Zero Trust mit dem Kopf zu tun hat
Die Methoden und Praktiken aus dem Zero Trust Security Framework verlangen von Organisationen ein Umdenken in Bezug auf die IT-Sicherheit. Wie bereits erwähnt, ist der wichtigste Faktor die Verlagerung der Segmentierung einer Organisation vom Netzwerk zur Identität. Dies hat zur Folge, dass man die Sicherheitsmechanismen eines Unternehmens neu denken muss. Früher war es so, dass Unternehmen sich durch den Sicherheitsmechanismus des Netzwerks eine bildliche “Mauer um die Burg” (Burg symbolisch für das Unternehmen) gebaut haben. Dies ist beim Zero Trust Modell jedoch nicht mehr möglich. Hauptgrund ist der Authentifizierungsfaktor Identität. Da die Identität dezentral sein kann, können “Burgmauern” um das Unternehmen keinen ausreichenden Schutz mehr leisten.
Dies hat natürlich Auswirkungen auf weitere Aspekte rund um die IT-Sicherheit, wie beispielsweise die Überwachung und die Reaktion auf Warnungen und Vorfälle. Es gilt also, die gesamtheitliche Betrachtung nicht zu verlieren. Die Frage stellt sich also: Wie verknüpfe ich Zero Trust mit dem Faktor Mensch?
Initial muss man seine Organisation kennen und visualisieren. Dies bedeutet konkret, man muss wissen wie Zugriffe geschehen, wie Systeme funktionieren und welche Abhängigkeiten vorhanden sind. Die Visualisierung spielt hierbei eine wichtige Rolle um die Transformation einzelner Teile durchzuführen. Nachdem man diese Phase durchlaufen hat, muss der Mensch auf die Reise mitgenommen werden. Das bedeutet, dass Verantwortungen neu zugeordnet, dass Prozesse neu gestaltet und dass Erwartungen neu definiert werden. Daraus heraus entstehen neue Werte, die für die Adaptierung des Zero Trust Sicherheitsmodells erforderlich sind.
Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
