Der Erfolg eines Unternehmens hängt unmittelbar von seinen Cyber-Security-Fähigkeiten ab und Zero Trust ist hierfür ein effektives Werkzeug, um die Informationssicherheitsziele zu erreichen.
Die Digitalisierung nimmt immer mehr Fahrt auf, und durch Corona wurde ihr Siegeszug bekanntlich noch zusätzlich beschleunigt. Von Homeoffice bis E-Health: „Cyber everywhere“ ist das „New normal“. Das gilt natürlich auch in den Unternehmen. Laut des neuen Deloitte Future of Cyber Survey planen so zum Beispiel 94 Prozent der CFOs, Finanzsysteme und ERP (Enterprise Ressource Planning) in die Cloud zu verlegen. Auch im Produkt- und Dienstleistungssektor rückt die Nutzung digitaler Potenziale in den Vordergrund. Zugleich steigt mit der zunehmenden Digitalisierung in allen Bereichen exponentiell auch die Bedeutung von Cyber Security. Der Erfolg eines Unternehmens hängt damit unmittelbar von den verfügbaren Cyber Security Fähigkeiten ab, was diese selbst zu einem wertvollen Instrument macht. Zero Trust gibt CISOs nun einen effektiven Hebel an die Hand, um diese Fähigkeiten risikobasiert und effizient einzusetzen.
Es wäre fatal, wenn Unternehmensstrategen im Getümmel des digitalen Wettbewerbs einen Tunnelblick entwickeln, welcher in Cyber Security allenfalls einen Kostenfaktor sieht und die wegweisende Bedeutung verkennt. Gerade bei Geschäftsmodellen, die auf neuen, vernetzten und digitalen Technologie-Ansätzen beruhen, muss Sicherheit als elementarer Beitrag zur Wertschöpfung verstanden werden und muss von Anfang an berücksichtigt werden.
Obwohl Cyber-Sicherheit in vielen Unternehmen bereits ein fester Bestandteil ist, steigt das Risiko aufgrund der zunehmenden Abhängigkeit von digitalen Prozessen deutlich an: 69 Prozent der befragten Führungskräfte registrieren laut dem Future of Cyber Survey eine Zunahme der digitalen Bedrohungen seit Anfang 2020. Dabei werden Störungen des operativen Betriebs mit Abstand als größtes Risiko (32 %) genannt. Bei dem heutigen Digitalisierungsgrad, der Verflechtung von IT und OT im Rahmen von Industrie 4.0 und der Bedeutung datenbasierter Ökosystem-Interaktion sind diese Gefahren wenig überraschend, aber auch komplex zu adressieren.
Die größte Herausforderung beim Management von Cyberrisiken sind laut 41 Prozent der befragten CIOs und CISOs die digitale Transformation und hybride IT-Systeme, gefolgt von Cyber-Hygiene, Fachkräftemangel und Schatten-IT. Als häufigstes Hemmnis für verbesserte Cyber Security erkennen die Teilnehmer das Management des Datenflusses über die eigenen Unternehmensgrenzen hinweg (44 %).
Genau an diesen Punkten muss ein neuer, zukunftsfähiger Sicherheitsansatz also greifen. Wenn sich die Auswirkungen von Cyber-Vorfällen auf sämtliche Unternehmensbereiche erstrecken können, dann muss sich auch die Abwehr ganzheitlich aufzustellen. Hier sind naturgemäß zunächst die CISOs selbst gefragt. Strategisches Denken und Handeln sind hierfür die Grundvoraussetzungen. Sie müssen die Business-perspektive verstehen, zugehörige Risiken identifizieren und adäquate Cybersicherheitsmaßnahmen auf verschiedensten Ebenen ableiten und den direkten Austausch mit dem CEO suchen. Dieser ganzheitliche Ansatz kann durch Zero Trust umgesetzt werden.
Es handelt dabei nicht um ein bestimmtes Tool oder Programm, sondern um ein unternehmensweites Paradigma, das tiefgreifende technologische und kulturelle Anpassungen erfordert. Zero Trust ist dabei auch für das zentrale Element der Bedrohungserkennung relevant. Darauf verwenden CISOs aktuell im Schnitt etwa 13 Prozent ihrer Mittel – der größte Posten der Security-Budgets.
Es klingt paradox: Wer in der heutigen IT-Welt vertrauenswürdige Cyber Security erreichen will, muss Vertrauen erst einmal radikal abschaffen. Das Grundprinzip von Zero Trust lautet „Never trust, always verify“. Zero Trust ist ein transformativer Ansatz zum Aufbau einer modernen Cyber-sicherheitsarchitektur, die das Ziel verfolgt, inhärentes Vertrauen innerhalb von digitalen Transaktionen abzubauen, so dass kein Akteur und kein Zugriff innerhalb der gewohnten Sicherheitsgrenzen (Perimeter) im Unternehmen fortan als von vorneherein vertrauenswürdig eingestuft werden. Jeder einzelne Vorgang wird dynamisch geprüft, anhand interner und externer Informationen wie Zugriffsort, Zeit und Zugriffsgerät, während einer Authentifizierungsanfrage.
Durch diesen Schritt können zudem sämtliche bestehenden Perimeter-Mauern eingerissen werden – ganz wie es die fluiden Ökosysteme von heute mit ihrer Offenheit über Silos und Organisationsgrenzen hinweg erfordern, mit ihren mobilen Anwendungen und mit einem Hang zum kollaborativem Datenaustausch. Das Business wird agiler und resilienter, die Kundenerfahrung erwartet digitale Produkte, die Cloud-Migration ist im Gange und erfordert daher auch einen modernen Ansatz einer zukunftsfähigen Cybersicherheitsarchitektur. Vollständige Kontrolle ermöglicht maximal mögliche Sicherheit, so die Theorie. In der Praxis ist das nur möglich durch die ungleich höhere Rechenpower von heute, zusammen mit neuen Analysemethoden auf Basis von Künstlicher Intelligenz und maschinellem Lernen.
Zero Trust begegnet der im Zeitalter der Digitalisierung allgegenwärtig gewordenen vielseitigen Bedrohungen auf Augenhöhe. Dabei ergibt sich noch ein entscheidender Pluspunkt – die Risiko-Orientierung von Zero Trust. Durch die automatisierte Echtzeit-Analyse ist es möglich, auf kritische Vorgänge mehr Ressourcen zu verwenden als auf weniger kritische. Dieses risikobasierte Vorgehen erhöht einerseits die Effektivität der Abwehr, andererseits ihre Effizienz. Das Kostenprofil wird optimiert, was den Wertbeitrag von Zero Trust zusätzlich unterstreicht.
Voraussetzung für diese Risiko-Orientierung ist es, besonders schützenswerte digitale Assets im Unternehmen zu identifizieren. Dafür müssen CISOs eine enge kontinuierliche Zusammenarbeit von IT- und Business-Funktionen anstoßen. Die gute Nachricht ist dabei, dass Zero Trust keinesfalls einen aufwendigen, kompletten Neustart erfordert. Ganz im Gegenteil kann die Einführung inkrementell erfolgen und auf bestehenden Aktivitäten und Maßnahmen aufsetzen, die in vielen Organisationen schon längst auf der Tagesordnung stehen. Laut Future of Cyber Survey sind Security-Fähigkeiten mit 64 Prozent der wichtigste Treiber für die Implementierung neuer Technologien in Bereichen wie 5G, Operational Technology, Smart City und Connected Products und hiermit ein wesentlicher Treiber der digitalen Transformation.
Neues Fenster öffnen