Dr. Matthias Paletta, Head of IT Transformation EMEA bei der Information Services Group (ISG)

Zero Trust ist ein Sicherheitskonzept, das darauf beruht, nichts und niemandem zu vertrauen. „Das klingt zunächst paranoid, ist aber angesichts der vielfältigen Bedrohungslagen in der IT, insbesondere in Cloud-Umgebungen, hochaktuell“, sagt Dr. Matthias Paletta, Head of IT Transformation EMEA. Wirft man einen Blick auf regulatorische Vorgaben wie DSGVO, DORA und NIS2, lässt sich ein erhöhtes Risiko in regulierten Branchen feststellen.

Tim Merscheid, Cybersecurity-Experte bei der Information Services Group (ISG)

„Auch wenn das Thema mittlerweile für alle Branchen wichtig ist, hat IT-Sicherheit für regulierte Branchen deutlich mehr Auswirkungen“, sagt Tim Merscheid, Cybersecurity-Experte bei ISG. Im Gegensatz zu einem lokalen Rechenzentrum ist die Cloud überall zugänglich. Das Identity Access Management (IAM) muss in der Cloud anders gehandhabt werden, da hier virtuelle Identitäten kontrolliert werden müssen. Dazu werden spezielle Identity Management Tools eingesetzt. „Im Grunde geht es darum, eine zentrale Plattform zu etablieren und diese mit verschiedenen Tools zu kombinieren“, sagt Dr. Matthias Paletta.

Die Unternehmensrealität bewegt sich heute typischerweise in einer hybriden Umgebung, in der sowohl eigene (traditionelle) IT-Systeme als auch Systeme in der (Public) Cloud abgesichert werden müssen. Die Herausforderung besteht darin, diese beiden Welten zu verbinden und abzusichern. Zero Trust ist ein Leitgedanke, der die bestehenden Sicherheitsmaßnahmen wie Firewalls und Netzwerksicherheit verstärkt – und zwar an jedem einzelnen Glied der Kette. „Neben Technologie und Design ist vor allem die Etablierung der Prozesse wichtig“, sagt Tim Merscheid. „Die Sicherheitsmaßnahmen müssen greifen, die Mitarbeiterinnen und Mitarbeiter entsprechend geschult sein. Denn der Faktor Mensch ermöglicht nach wie vor einen Großteil der Angriffe – oft aus Unachtsamkeit. Die meisten Cyberangriffe sind relativ plump, manche aber auch sehr gut gemacht. Deshalb bestehen wir auf einer jährlichen Schulung unserer Mitarbeitenden inklusive Prüfung und Zertifikat.“

Multifaktor-Authentifizierung spielt bei Zero Trust eine große Rolle, in sensiblen Bereichen wird daher nicht nur eine Zwei-, sondern eine Drei-Faktor-Authentifizierung eingesetzt: Passwort, Push-Nachricht auf dem Smartphone plus beispielsweise Fingerabdruck. Kontinuierliches Monitoring und dynamische Anpassung sind für Zero Trust in der Cloud absolut notwendig, denn einerseits muss die Cloud rund um die Uhr erreichbar sein, andererseits muss auf ungewöhnliche Aktivitäten sofort reagiert werden können.

„Aus unserer Sicht wird Zero Trust als Sicherheitsphilosophie und -konzept in Zukunft eine immer wichtigere Rolle spielen“, sagt Tim Merscheid. „In allen Unternehmen, sowohl in der Privatwirtschaft als auch in öffentlichen Institutionen.“ Das Konzept Zero Trust bedeutet nichts anderes, als dass man nichts und niemandem trauen sollte und auch, dass die Bedrohungslage entlang der Einfallstore eine immer größere Rolle spielen wird. Parallel dazu werden sich die entsprechenden Tools und Anwendungen verändern, um mit dem kriminellen Potenzial von Cyberangriffen Schritt zu halten.

Unternehmenssicherheit ist daher keine einmalige Angelegenheit, die man von seinem Provider implementieren lassen kann. Zero Trust ist ein fortlaufender Prozess, der sich ständig weiterentwickelt.