Einführung eines gesamtstaatlichen Zero-Trust-Ansatzes

Da die Anzahl der Ransomware-Angriffe im öffentlichen Sektor weiter zunimmt, arbeiten Bundesstaaten mit Kommunalbehörden zusammen, um gemeinsame Services anzubieten. Diese Form der Zusammenarbeit wird als „gesamtstaatlich“ bezeichnet und bedient sich des Fachwissens und der Ressourcen mehrerer Regierungsbehörden. 

In einem Bericht der National Association of State Chief Information Officers (NASCIO) heißt es: „Regierungen der Bundesstaaten bieten zunehmend Services für Bezirks- und Kommunalverwaltungen an, darunter Endgeräteschutz, gemeinsame Service-Vereinbarungen für Tools zur Cyberabwehr, Reaktion auf Zwischenfälle sowie landesweite Sensibilisierung und Schulung in Sachen Cybersicherheit.“

Zscaler durfte im Rahmen des ATARC (Advanced Technology Academic Research Center) an einem Diskussionsforum mit Vertretern mehrerer Bundesstaaten teilnehmen, um zu erörtern, wie bundesstaatliche und kommunale Behörden durch einen gesamtstaatlichen Ansatz erfolgreich eine Zero-Trust-Strategie planen, entwickeln und umsetzen können.

Wir haben die wichtigsten Ergebnisse der Diskussionsrunde in einem Whitepaper zusammengefasst: Einführung eines gesamtstaatlichen Zero-Trust-Ansatzes. Dort finden Sie eine Zusammenfassung der Diskussion über die Vorteile eines optimierten Cybersicherheitsstatus in bundesstaatlichen und kommunalen Behörden.

Dieselben Herausforderungen, weniger Ressourcen

Bundesstaatliche und kommunale Behörden arbeiten oft mit weitaus geringeren IT-Budgets als ihre Pendants auf Bundesebene. Dennoch müssen die Bundesstaaten Zehn- oder sogar Hunderttausende von Endgeräten schützen, deren Anzahl durch die Remote-Arbeit infolge der Pandemie massiv zugenommen hat.

Die Diskussionsteilnehmer waren sich jedoch einig, dass dies keinen Grund darstellt, die Umstellung auf Zero Trust hinauszuzögern. Eine Bestandsaufnahme der Hard- und Software kann der erste Schritt sein, um herauszufinden, wo die Organisation in puncto Cybersicherheit steht. Von dort aus können Lösungen gesucht werden, um Lücken zu schließen und eine Gesamtstrategie zu entwickeln.

Ein Leiter der Cybersicherheitsabteilung eines Bundesstaates berichtete, dass der Bundesstaat North Dakota im Rahmen seines gesamtstaatlichen Ansatzes viele Tools kostengünstig oder sogar kostenlos angeboten hat. Darüber hinaus hat man sich an die zuständige Versicherungsagentur gewandt und konnte für alle Einrichtungen – Landkreise, Städte, Schulen usw. –, die die bundesstaatlichen Tools einführen, einen Preisnachlass erwirken. Dies trägt dazu bei, die rasch steigenden Kosten für Cyberversicherungen zu senken. Der Bundesstaat stellt also nicht nur Tools bereit, die billiger sind als die, die Einrichtungen auf eigene Faust kaufen können, sondern bietet ihnen auch einen Nachlass auf die Versicherungskosten und langfristig niedrigere Kosten für die IT-Sicherheit, wenn sie die vom Bundesstaat verwendeten Tools und Methoden wie Zero Trust einsetzen.

Eine größere Angriffsfläche

Die rasche Umstellung auf Remote-Arbeit aufgrund der Lockdowns während der COVID-19-Pandemie eröffnete Cyberkriminellen neue Angriffsmöglichkeiten. VPNs (virtuelle private Netzwerke) waren die von den Diskussionsteilnehmern am häufigsten verwendeten Lösungen, obwohl sie nicht so sicher sind, wie die meisten Leute denken. 

Überprüfen Sie Ihre VPN-Einstellungen, falls der VPN-Traffic Ihr Netzwerk überlastet, denn manchmal können veraltete oder falsche Einstellungen den Bandbreitenbedarf erhöhen. Letztendlich ist der Wechsel zu einer Zero-Trust-Lösung ohne VPN mitunter die effektivste Möglichkeit, um den Anforderungen der Remote-User von bundesstaatlichen und kommunalen Behörden zu entsprechen. Ein großer Landkreis war beispielsweise in der Lage, die Zscaler Zero Trust Exchange in nur drei Wochen auf 18.000 Geräten bereitzustellen.

Die Realisierung von Zero Trust

Die Diskussionsteilnehmer hatten mehrere Vorschläge, wie die Umstellung auf Zero Trust auf bundesstaatlicher und kommunaler Ebene am besten gehandhabt werden kann. 

• Bestandsaufnahme aller verbundenen Anwendungen, Services und Geräte, die auf interne Netzwerkressourcen zugreifen, und Einteilung in drei Gruppen: 1. Migration auf eine Zero-Trust-Architektur ist ohne weiteres möglich. 2. Vor der Migration sind zunächst Upgrades erforderlich. 3. Migration ist nicht möglich. So erhalten Sie einen ganzheitlichen Überblick und können Prioritäten setzen, um einen umfassenden Umstellungsplan zu entwickeln.
• Einbindung der Stakeholder, um Lösungen für klar definierte Probleme zu finden: Zeigen Sie den verschiedenen Stakeholdern die Vorteile von Zero Trust auf und nehmen Sie die kleinsten Herausforderungen zuerst in Angriff. Führen Sie regelmäßige Treffen mit den Partnern im ganzen Bundesstaat durch, um zu verstehen, welche Probleme und Anliegen sie haben und wie die Zusammenarbeit für jede Stadt, jeden Landkreis, jede Schule, jedes Krankenhaus oder jede Bibliothek von Vorteil ist.
• Einbindung der User und Durchführung von Schulungs- und Fortbildungsmaßnahmen, um ein klares Verständnis für die Rolle der User bei der Gewährleistung der Sicherheit der Organisation zu schaffen.

Ein Vertreter einer Behörde berichtete, dass bei einem vierteljährlichen Schulungsprogramm in seinem Bundesstaat zur Erkennung von Phishing-E-Mails, an dem 200.000 User teilgenommen haben, eine Korrelation von 0,9 zwischen Usern, die Phishing-E-Mails erkannten, und Usern, die an der Schulung teilgenommen hatten, festgestellt wurde.

Eine neue Denkweise

Die Umstellung auf Zero Trust ist kein Sprint, sondern ein Marathon. Dabei müssen Sie sich von herkömmlichen Sicherheitsmodellen nach dem Festung-mit-Burggraben-Prinzip verabschieden, die durchaus wirksam waren, als das Netzwerk noch mithilfe eines Perimeters eingegrenzt werden konnte. Da Daten und Anwendungen allerdings in die Cloud verlagert wurden, muss die Gestaltung der Netzwerkarchitektur gewährleisten, dass Sicherheit und User Experience nicht beeinträchtigt werden. 

Mit innovativen, modernen Sicherheitslösungen, die einen umfassenderen Ansatz zur Absicherung von Behörden bieten, indem die richtigen User mit der richtigen Anwendung auf Grundlage von Richtlinien verbunden werden, können bundesstaatliche und kommunale Behörden Angreifern einen Schritt voraus sein und die Daten ihrer Bürgerinnen und Bürger schützen. Zero Trust unterstützt Unternehmen bei der Bewältigung der größten Herausforderungen rund um die Themen Sicherheit, Netzwerkaufbau und Förderung zukunftsfähiger Arbeitsformen. Ein gesamtstaatlicher Ansatz ist die effektivste Möglichkeit, solche Lösungen schnell und effizient bereitzustellen und somit die IT-Ressourcen aller Behörden zu maximieren.

Hier finden Sie das vollständige Whitepaper.

Zscaler unterstützt über 100 Organisationen und deren Partner im öffentlichen Sektor. Auf dieser Webseite erfahren Sie mehr über den intelligenten Cloud-Ansatz zur Absicherung einer hybriden Belegschaft und zur Abwehr von Ransomware-Angriffen von Zscaler.

Weitere Informationen für bundesstaatliche und kommunale Behörden:

Oklahoma optimiert den Cybersicherheitsstatus des Bundesstaates

Die größte Kommunalbehörde der USA stellt 70.000 Usern mithilfe von Zscaler einen modernen Arbeitsplatz und standortunabhängige Arbeitsmodelle bereit

Die Stadt Boston wechselt sicher in die Cloud, um ihre Services zu modernisieren