Schutz durch klare Strategien : Zero Trust: Konsequenz zahlt sich aus
Im Rahmen des Zero-Trust-Modells sind die richtigen Strategien zur nahtlosen Geräteverwaltung und für sichere Zugriffsmöglichkeiten essenziell. Cloudbasierte Lösungen sorgen dafür, dass es nicht zu komplex wird.
Zugegeben, „traue niemandem“ klingt wie der Anfang eines schlechten Horrorfilms – und vielleicht ist es genau das, was die IT-Abteilungen kleiner und mittlerer Unternehmen derzeit erleben. Denn der globale Trend, dass Unternehmen ein hohes Maß an Flexibilität und Agilität an den Tag legen müssen, dass Homeoffice zumindest tageweise die Regel und nicht mehr die Ausnahme ist, erfordert eine schlanke und vor allem belastbare IT-Infrastruktur. Oder anders ausgedrückt: Während die Kosten für IT reduziert werden, müssen Sicherheit und Produktivität steigen. Und mit der künstlichen Intelligenz kommt ein weiterer Faktor hinzu, der Chancen bietet, aber auch vorbereitet sein will.
Weltweit gibt es derzeit mehr als 1.287 Passwort-Angriffe – pro Sekunde. Und gerade Mitarbeiter, die von zu Hause aus oder im Außendienst arbeiten, stellen ein hohes Risiko dar. Denn egal ob Identitäten, E-Mails oder Webseiten – in der digitalen Welt muss nichts so sein, wie es scheint. Deshalb wird bei Zero Trust alles so behandelt, als käme es aus einem offenen Netzwerk.
Zero-Trust-Fundament
Für die Verwaltung der Nutzer bedeutet das, dass eine Multifaktor-Authentifizierung als Grundabsicherung unerlässlich ist. Außerdem sollten User stets nur so viele Rechte erhalten, wie es für ihre Arbeit notwendig ist. Denn nur das macht es Angreifern möglichst schwer. Was zunächst einfach klingt, kann jedoch schnell sehr komplex werden, wenn man diese Regel für die gesamte IT-Architektur im Unternehmen umsetzen will. Wichtig ist zunächst die Authentifizierung: Kann sich der User als die Person ausweisen, die er vorgibt zu sein? Der nächste Schritt ist die Autorisierung. Hat der User die Rechte für den Zugriff, den er gerade anfragt? Und drittens müssen die Daten gerade beim Versand ausreichend verschlüsselt sein. Zusammen sind diese drei Schritte die Grundlage für ein starkes Zero-Trust-Modell im Unternehmen.
Vorsicht Endpunkte
Und dann gilt es, die Endpunkte als neuralgische Stellen innerhalb der IT-Sicherheit im Blick zu behalten. Vor allem Devices, aber auch Benutzer und Anwendungen benötigen gut geschützte Endpunkte, ohne dass dadurch Abläufe verzögert oder behindert werden. Und damit es hier nicht auch kompliziert, weil komplex, wird, kann sich der Einsatz von Microsofts Endpoint Manager als einheitliche Verwaltungsplattform lohnen. Vor allem Microsoft 365, Windows 11 Enterprise und Microsoft Intune heben das Endpoint-Management auf eine neue Ebene: Die Lösungen erlauben nicht nur einen besseren, einfacheren Support und reduzieren die Vorfälle deutlich. IT-Verantwortliche können damit jeden Endpunkt aus der Cloud bereitstellen. So lassen sich Endpunkte optimieren – und die IT wird insgesamt effizienter. Aber auch hier gilt: Blinde Flecken sollten unbedingt vermieden werden. Deshalb ist es ratsam, unternehmenseigene sowie geschäftlich genutzte private Geräte einheitlich und am besten mit nur einer Lösung zu verwalten.
KI hilft, Anomalien zu identifizieren
Wer den Zero-Trust-Ansatz dann noch mit maschinellem Lernen (ML) kombiniert, ist zudem auch in der Früherkennung von Bedrohungen auf dem neuesten Stand. Denn mithilfe von ML können beispielsweise Warnungen ausgelöst werden, wenn das typische Nutzerverhalten abweicht. Davon profitiert das IT-Team immens, weil ML im Hintergrund automatisiert Anomalien aufdeckt und damit personelle und zeitliche Ressourcen freimacht, die anderweitig zielführender genutzt werden können.
Raus aus dem Schatten
Und dann gilt es natürlich noch, die sogenannte Schatten-IT im Griff zu haben, die primär eine Vielzahl an Apps umfasst, die in der Regel bei den Mitarbeitern auf den verschiedenen Geräten im Einsatz sind – und ein beliebtes Einfallstor für Angreifer sind, wenn sie nicht konsequent von der Sicherheitsarchitektur abgedeckt werden. Das entscheidende Stichwort heißt hier Multi-Cloud, denn so werden auch jene Ressourcen und Anwendungen unter den Schutzschirm genommen, die nicht direkt zur Kern-IT im Unternehmen zählen.
Mitarbeiter mitnehmen
Der Erfolg der technischen Umsetzung geht immer Hand in Hand mit dem menschlichen Faktor. Unternehmen sollten Informationen und Schulungen für ihre Mitarbeiter anbieten, um diese abzuholen und bei der Einführung neuer Werkzeuge mitzunehmen. Das umfasst sowohl Erklärungen und Trainings im Umgang mit neuen Funktionen und Apps als auch Schulungen, die Mitarbeiter für IT-Sicherheitsfragen sensibilisieren. Das trägt auch dazu bei, die Schatten-IT zu reduzieren, weil Mitarbeitende nur Funktionen nutzen können, wenn sie von ihnen wissen.
Es ist also möglich, aus IT-Sicht den Anforderungen eines modernen Arbeitsumfelds gerecht zu werden, ohne dabei Kompromisse beim Sicherheitsniveau machen zu müssen. Der Cloud kommt dabei eine entscheidende Rolle zu. Und die Rolle der KI wird vermutlich sehr schnell an Bedeutung gewinnen. Dafür ist es essenziell, Zero-Trust-Modelle genau wie die Cloud-Architektur genau zu durchdenken, damit vor allem die Komplexität handelbar bleibt. Einfache, aber dafür stringent umgesetzte Schritte helfen immens. Wichtig ist, dass das Gesamtkonstrukt stimmt, also die richtige Kombination aus cloudbasierten Arbeitsplätzen, Sicherheitskonzepten wie Zero Trust sowie KI-gestützten Tools und Funktionen auf die Bedürfnisse einer Organisation zugeschnitten ist. Dafür sollten Unternehmen kontinuierlich die Möglichkeit der Cloud ausschöpfen und sich an die sich verändernden Anforderungen anpassen. Im Ergebnis gibt es dafür eine höhere Effizienz und zufriedenere Mitarbeiter.
Autor
Manfred Haselbeck ist Practice Lead Modern Work & Security bei Skaylink.