Das Thema Zero Trust taucht oft nach einer Einführung von verschiedensten Cloud-Anwendungen auf. Teilweise haben wir auch Kunden, bei denen der CIO oder CISO vom Vorstand Fragen zu Cybersecurity, Datenschutz und den Risiken für das Unternehmen bekommt und dann auch ganz gezielt nach der eigenen IT-Strategie zu Zero Trust gefragt wird. Immer dann, wenn Daten in die Cloud wandern – egal ob Microsoft, AWS oder Google – und durch Vorfälle in der Presse, bei Partnerunternehmen oder auch dem eigenen Unternehmen die Cybersecurity Awareness steigt, stellt sich die Frage, wie man einen sicheren Zugriff für eine verteilte Umgebung schafft. Dann heißt es: Wir wollen höchste Sicherheit, also am besten eine Zero Trust Architektur. Das heißt: Jeder, der auf Daten, Anwendungen und Systeme in der Cloud und dem Unternehmensnetz zugreifen will, wird so behandelt, als sei er ein nicht vertrauenswürdiger Externer. Es gibt ab sofort keinen Vertrauensvorschuss für Angestellte mehr. Was heißt das in der Praxis?
Schnell zu mehr Sicherheit
Die gute Nachricht für Sie lautet: Für Zero Trust ist es im ersten Schritt nicht erforderlich, das gesamte Netzwerk und die Cloud-Infrastruktur komplett umzubauen, noch eine Mikrosegmentierung bis ins letzte kleine Segment durchzuführen. Ebenso wenig muss sofort neue Hardware für das komplette Netzwerk eingekauft werden. Und nein, ein Assessment über die komplette Infrastruktur in allen Unternehmensteilen braucht es auch nicht – es sei denn, Sie wollen Zero Trust nach Lehrbuch einführen, was bedeutet, dass erst einmal mindestens ein Jahr lang nichts passiert. Mit „nichts“ meine ich: In diesem Jahr werden Ihre Daten keinen Millimeter sicherer. Deshalb packen wir bei NTT DATA das Thema pragmatisch an, damit unsere Kunden schnell von mehr Sicherheit profitieren.
Mit Zero Trust lässt sich sofort starten
Damit wir uns jetzt nicht falsch verstehen: Natürlich machen wir vor jedem Zero-Trust-Projekt eine Bestandsaufnahme: Welche Technologien sind im Einsatz? Welche cloudbasierten Applikationen? Wie ist der Stand der Dinge in Sachen Authentifizierung? Statt jedoch alle Aspekte von Zero Trust zu durchleuchten – Identitäten, Endgeräte, Anwendungen, Netzwerk, Infrastruktur und Daten – setzen wir auf der Basis von Zero Trust auf, nämlich dem bestehenden Identity Management mit Rechten, Rollen, Organisationseinheiten und passenden starken Authentifzierungsverfahren für die Benutzer. Dies bildet die Basis für Zero Trust. Der zweite Schritt ist dann Anwendungen und Systeme zu identifizieren, die mit einfachen Mitteln in Richtung Zero Trust optimiert werden können. Hierzu zählen meist Cloud-Anwendungen, bei denen mit relativ einfachen Mitteln die Microservices segmentiert, mit dem Identity Management über eine „Conditional Access Engine“ angebunden und innerhalb der Anwendung die Daten abgesichert werden können. Mit diesem lösungsorientierten Vorgehen haben Sie mit jeder Maßnahme ein Stück mehr Datensicherheit. Auf gut Business-Deutsch: Wir kommen mit unseren Kunden Quick Win für Quick Win zu immer mehr Zero Trust.
Basis von Zero Trust: Identity Management
Wie gesagt: Wir nehmen als erstes das bestehende Identity Management unseres Kunden in den Fokus. Die Erfahrung zeigt, dass hier oft in schwarz-weiß gedacht wurde, also entweder gar kein Zugriff oder voller Datenzugriff. Damit ist der Datensicherheit und dem Datenschutz selten geholfen. Hier gilt es, gemäß definierter Rollen und Zugriffsberechtigungen und -voraussetzungen Schranken hochzuziehen und so einen sicheren, jederzeit nachvollziehbaren „Limited Access“ zu realisieren.
Egal, von wo ich auf meine Daten zugreife: Hauptsache sicher!
Wer sich jetzt fragt, ob es nicht vielleicht doch besser wäre, gleich die gesamte Infrastruktur auf Zero Trust umzubauen, dem möchte ich Folgendes antworten: Wenn Angestellte von zuhause auf Cloud Services des Unternehmens zugreifen, dann haben sie keine von Ihnen betriebene Infrastruktur dazwischen: Eine top abgesicherte Unternehmens-IT-Struktur schützt also die Daten nicht vor den Zugriffen von mobilen Geräten aus – ob sie jetzt auf dem Schreibtisch zuhause, im ICE-Bordrestaurant oder im Vortragsraum eines Hotels stehen. Ein Zero Trust Netzwerkkonzept ist sicherlich wichtig und sollte nicht vernachlässigt werden, aber es steht nicht an erster Stelle für den Projektstart. Meist gibt es hier auch Abhängigkeiten zu Hardware oder eingesetzter Software und es hat sich als einfacher gezeigt, basierend auf Zero Trust-Konzepten bei Austausch von Hard- oder Software nach Ablauf der Maintenance auf diese Themen zu setzen. Deswegen rate ich Ihnen: Starten Sie Zero Trust mit Identity Management und Anwendungen, bei denen die Umsetzung keinen kompletten Umbau erfordert. Für einen ersten, fachlichen Überblick empfehle Ihnen unseren Strategic Guide zu Zero Trust.