Zero Trust – in Cybersecurity-Fachkreisen hat sich der Begriff zum „Hot Topic“ entwickelt. Dahinter steckt ein revolutionäres IT-Konzept, das in der Wissenschaft zwar schon seit über 20 Jahren diskutiert wird, in letzter Zeit aber höchste Aktualität bekommt. Der Hintergrund: Im Zeitalter der Digitalisierung stellen disruptive Ansätze wie die Plattform-Ökonomie ganze Branchen auf den Kopf. Mit der digitalen Transformation der Unternehmen geht eine exponentielle Zunahme des Datenaustauschs verschiedenster Teilnehmer, Geräte und Quellen einher. Die Kehrseite davon ist ein entsprechend steigendes Sicherheitsrisiko durch die erhöhte Zahl der Netzwerkzugriffe. Diesen neuen Gegebenheiten wird der traditionelle, statische Sicherheitsansatz nicht mehr gerecht: Mit seiner Unterteilung von Cybersecurity in separate Silos fehlen ihm die nötige Dynamik und Skalierbarkeit.
Die neuen digitalen Technologien wie Data Analytics und Künstliche Intelligenz liefern zugleich aber auch schon den Schlüssel zur Lösung dieses Problems. Wenngleich das dynamische Zero-Trust-Konzept als Prinzip theoretisch seit langem bekannt ist: Erst heute stehen dank des digitalen Fortschritts die erhebliche Rechenleistung und die digitale Infrastruktur bereit, die für die Validierung jedes einzelnen Vorgangs während der Laufzeit bei akzeptabler Latenz erforderlich sind. Wichtig ist dabei allerdings, Zero Trust nicht als eine technologische Einzellösung zu verstehen, die einfach nur angeschafft werden müsste. Vielmehr handelt es sich um ein vieldimensionales Framework verschiedener Technologien, Fähigkeiten und Strukturen, die ineinandergreifen. Dieser ganzheitliche Ansatz erfordert ein Aufbrechen bestehender IT-Silos und den engen Austausch mit Business-Experten, um Prioritäten zu setzen und neue Produkte zu ermöglichen. Im Sinn von „People, Processes, Technology“ wird Zero Trust somit zu einem Transformationsthema für das ganze Unternehmen.
Durch die dynamische und Risiko-orientierte Ausrichtung entspricht Zero Trust den Anforderungen, die sich aus einer ganzen Reihe von aktuellen Trends und Faktoren ergeben. Im Rahmen der immer schneller ablaufenden Digitalisierung erhöht sich die Komplexität von IT und Netzwerken, und die Kosten für IT, Cybersecurity und Compliance steigen, ebenso wie die Compliance-Anforderungen. Zugleich hemmen die bestehenden Sicherheitskonzepte durch ihre starren, unflexiblen Cyber-Kontrollen die agile Entwicklung neuer digitaler Produkte und Dienstleistungen. Die Umstellung auf die Cloud läuft derzeit auf Hochtouren, zieht aber auch völlig veränderte Datenflüsse nach sich. Außerdem erwartet die Belegschaft in Unternehmen heutzutage, von überall arbeiten zu können, ob über mobile Geräte oder im Homeoffice, was den Datenaustausch und die Cyber-Angriffsfläche weiter erhöht. Es besteht ganz grundsätzlich ein Trend zu verstärkter Zusammenarbeit zwischen unterschiedlichen Gruppen, wodurch die Anforderungen an agile und moderne Sicherheitsarchitekturen noch größer werden.
Cyber-Kriminelle verwenden immer raffiniertere Methoden und es gelingt ihnen zunehmend, herkömmliche Schutzmaßnahmen zu umgehen. Die Verbreitung von inoffizieller „Schatten-IT“ (Shadow IT) wirft ebenso Sicherheitsprobleme auf wie Übernahmen und andere Unternehmens-Transaktionen (M&A), die in allen Phasen auch unter Cyber-Gesichtspunkten gemanagt werden müssen. Ein effizienter Cyber-Ansatz wird heutzutage schließlich nicht zuletzt dadurch erschwert, dass die Landschaft der relevanten Software-Anbieter immer unübersichtlicher wird – und die globalen Lieferketten der Unternehmen zugleich immer komplexer.
Auf die vielfältigen Anforderungen an Cybersecurity im Zeitalter digitaler Geschäftsmodelle und agiler Organisationsformen liefert Zero Trust eine schlüssige Antwort. Die Herstellung von Sicherheit erfolgt nun dynamisch, Risiko-basiert, am Business orientiert. Aber wie erreicht Zero Trust die Leistungsfähigkeit, um sämtliche einzelnen Transaktionen zu überwachen? Entscheidend ist eine zuverlässige Kontextualisierung, die eine dynamische Zuweisung von Ressourcen je nach Priorität und individueller Risikobewertung ermöglicht. Die Grundlage dafür wird durch ein kontinuierliches Monitoring aller Vorgänge geschaffen, das einen von mehreren elementaren Unterstützungsmechanismen darstellt, mit denen differenzierte Parameter abgeprüft werden können. Weitere solche Mechanismen und Bezugspunkte sind das Identitätsmanagement, Regelwerke und Policies („Wer darf wann was?“), Verhaltensanalysen, Security Logs, Erkenntnisse über Bedrohungen und historische Daten.
Die gewonnenen Informationen werden in der Zero Trust „Policy Engine“ verarbeitet, also der Cybersecurity-Schaltzentrale, die über einzelne Anfragen entscheidet. So kann fallweise der Kontext evaluiert und gegebenenfalls dynamisch ein Sitzungs-basierter Datenzugriff gewährt werden, wenn Nutzer, Geräte, IT-, IoT- oder operative Instanzen ihn verlangen – beispielsweise für einen Mitarbeiter, der plötzlich zu einer für ihn untypischen Zeit von einem untypischen Ort aus zugreifen will. Sowohl diese „Consuming Entities“ wie auch die „Providing Entities“ (Workloads, Daten, Anwendungen) können an jedem Ort und zu jeder Zeit angesprochen werden, da es den alten Perimeter nicht mehr gibt. Angestrebt wird dabei ein nahtloser, transparenter End-to-end-Prozess. Die Cyber-Experten von Deloitte haben die funktionale Architektur ihres „Zero Trust“-Ansatzes an den NIST Zero Trust Standards ausgerichtet (SP 800-207), um dies zu gewährleisten.
Doch wie funktioniert das in der realen Nutzung? Wenn zum Beispiel ein Mitarbeiter in einem Café von einem mobilen Gerät über das dortige Netz Zugriff auf das ERP seiner Firma haben möchte, wird diese Anfrage vom „Policy Enforcement Point“ abgefangen und der Policy Engine zugeführt. Diese bewertet Cyber-Gesundheit, Sicherheit und Schutzbedürfnis (Sensitivität) sowohl der Consuming Entities als auch der Providing Entities, um dann daraus einen individuellen Trust Level abzuleiten. Unter Berücksichtigung von Kontext und Risiko wird eine Entscheidung getroffen, wie mit dem Zugriff umzugehen ist – zulassen, verweigern oder zusätzliche Validierung verlangen. Bei gewährtem Zugriff werden die Privilegien so niedrig wie möglich angesetzt (least priviledge). Auch während des Zugriffs wird die Validierung kontinuierlich dynamisch re-evaluiert, damit verdächtiges Verhalten identifiziert werden kann.
Zero Trust hat als umfassendes Framework weitreichende Implikationen in verschiedensten Bereichen. Die Experten von Deloitte identifizieren neun Domänen, in denen Unternehmen im Rahmen eines ganzheitlichen Projekts bestehende Strukturen und Prozesse transformieren und auf das gemeinsame Business Ziel ausrichten müssen. Die Umsetzung erfordert eine unternehmensweite organisatorische Integration, bis hin zu einer Unterstützung durch die Vorstandsebene. Es ist für eine effektive Zero-Trust-Architektur elementar, dass alle neun Domänen harmonieren und über die angestammten Silo-Grenzen hinaus miteinander interagieren.
Die individuelle Roadmap für den Weg zu Zero Trust sieht für jedes Unternehmen anders aus. Dennoch lassen sich typische Benefits identifizieren, die im Laufe der Umsetzung nach und nach realisiert werden – in Bereichen wie moderner Arbeitsplatz, Unterstützung digitaler Produkte, Risikomanagement, Kosteneinsparung und Business-Agilität. Wie bei einem Hausbau ist es bei der Realisierung der Roadmap nötig, dass unterschiedliche Teams und Bereiche zusammenarbeiten, Schritt für Schritt die nötigen Arbeiten vom Fundament bis zum Innenausbau in der richtigen Reihenfolge durchführen und dabei immer das übergeordnete strategische Ziel im Auge behalten. Ein erster realisierbarer Vorteil von Zero Trust liegt in den erheblich verbesserten, reibungslosen Authentifizierungsprozessen. Anschließend können in einer beispielhaften Zero Trust Roadmap ein modernes Security Operations Center (SOC) und eine Reduzierung des Blast Radius erreicht werden (Verringerung des Folgeschadens bzw. der Schadensreichweite bei einem Vorfall). Die nächsten erzielbaren Benefits sind verbesserte WLAN-Konnektivität, optimierte Zusammenarbeit mit Partnern und eine Passwort-freie Nutzererfahrung. Sicherer Anwendungszugriff, „Bring your own device“, automatisiertes Cybersecurity-Monitoring und entsprechende Maßnahmenableitung stellen weitere Meilensteine dar.
Zur Erreichung dieser typischen Vorteile sind allerdings auch Hürden zu überwinden, die in der Natur von Zero Trust als komplexem, mehrdimensionalem Framework begründet sind. Das betrifft zunächst die Organisation selbst: Nur ein dynamischer und anpassungsfähiger Cyber-Fachbereich mit offenem Mindset ist in der Lage, den fundamentalen Wandel mit der nötigen Agilität umzusetzen und entsprechende Arbeitsweisen zu entwickeln. Oft stellt sich die Herausforderung, nach wie vor aktive Legacy-Systeme in die Zero-Trust-Landschaft zu integrieren. Um Zero Trust überhaupt umsetzen zu können, ist außerdem eine End-to-end-Sichtbarkeit aller relevanten Assets und ihrer Verwendung unerlässlich. Bei der Implementierung ergibt sich grundsätzlich die Problematik, dass keine umfassende, einheitliche End-to-end-Lösung und keine durchgängigen Standards existieren, das Angebot auf dem Markt ist fragmentiert.
Das neue Security-Paradigma setzt darüber hinaus eine effektive Zusammenarbeit zwischen den Cyber-Teams und der restlichen Organisation voraus. Angesichts des kontinuierlichen Technologie-Wandels ist ein agiles Zero-Trust-Programm notwendig, das sofort auf neue Entwicklungen im Bereich Cybersecurity reagieren kann. Vor allem aber kommt es bei jeder Roadmap darauf an, überhaupt den ersten Schritt zu machen – und zwar am richtigen Ort. Eine entsprechende Cyber-Governance schafft dafür die Bedingungen, die Experten von Deloitte unterstützen bei der Umsetzung.
Um an das erwähnte Bild des Hausbaus anzuknüpfen: Ein wesentlicher Vorteil einer typischen „Zero Trust Journey“ liegt darin, dass die erreichten Zwischenstufen schon direkten Mehrwert abwerfen. Anders als bei einem echten Haus kann der „Keller“ somit schon lange vor dem Richtfest genutzt werden. So revolutionär das Zero-Trust-Konzept ist: Seine Einführung kann evolutionär ablaufen und zahlt sich in Form von „no regret moves“ unmittelbar aus. Die Zero Trust Journey vom traditionellen Ansatz bis zur optimalen Integration von Zero Trust inklusive aller Benefits vollzieht sich schrittweise, und dabei müssen Organisationen das Rad nicht unbedingt neu erfinden: In den meisten Unternehmen sind wesentliche Bausteine für einen Zero-Trust-Ansatz schon längst im Einsatz. Für die Projektplanung haben die Experten von Deloitte eine Timeline erarbeitet. An ihrem Beginn stehen Zero Trust Workshops sowie das Deloitte Zero Trust Lab (individuelles Workshop-Format) mit entscheidenden ersten Erkenntnissen für die Gesamtvision und wichtige Business-Aspekte. Es folgen Strategiebildung und die Konzeption der Architektur, im Proof of Concept müssen sich die Use Cases konkret bewähren, ein Framework für die Vendoren-Auswahl wird erstellt. Dabei ist auch die Zeitschiene zu beachten. POCs können sechs bis zwölf Monate beanspruchen, insgesamt ist ein Horizont von drei bis fünf Jahren realistisch. Bei einem Zero-Trust-Programm handelt es sich um ein anspruchsvolles Projekt, dessen Komplexität nicht unterschätzt werden sollte.
Die Transformation bestehender Sicherheitsansätze erfordert aufgrund der Mehrdimensionalität des Zero-Trust-Frameworks Expertise aus unterschiedlichen Bereichen, die über IT-Know-how deutlich hinausgeht. Mit tiefer umfassender Business-Erfahrung und hoher Technologie-Kompetenz bietet sich Deloitte als Partner für die erfolgreiche Umsetzung an. Erfolgreiche Use Cases und Projekte der Experten von Deloitte umfassen u.a. Zero-Trust-Transformationen in Unternehmen aus den Bereichen Logistik, Industrie und Aerospace. Die Breite der Beratungsangebote, die Unabhängigkeit von bestimmten Technologie-Anbietern und das etablierte Deloitte Zero Trust Framework liefern die verlässliche Grundlage für eine erfolgreiche Partnerschaft. Wenn Sie mehr darüber erfahren wollen, stehen Ihnen unsere Experten gerne zur Verfügung.
Bei weiteren Fragen gehen Sie gerne auf unsere Experten zu:
Marius von Spreti
Cyber Lead
+49 (0)89 290365999
mvonspreti@deloitte.de
Martijn Maatman
Senior Manager
+49 (0)211 87725461
rmaatman@deloitte.de