CXOs und Zero Trust: Sieben Aspekte, die bei einer erfolgreichen digitalen Transformation zu bedenken sind

„Der gefährlichste Satz in unserem Wortschatz lautet: ‚So haben wir es schon immer gemacht.'” Grace Hopper, Informatikerin

 

Die Wirtschaftswelt hat sich im Laufe der letzten Jahre rasant verändert. Organisationen, die agil und wettbewerbsfähig bleiben wollen, kommen nicht um eine digitale Transformation herum. Die Umstellung auf hybride Arbeitskonzepte erfordert zugleich ein Umdenken in Bezug auf die Netzwerksicherheit. Unter heutigen – geschweige denn morgigen – Vorzeichen lassen sich Angriffe nicht mehr abwehren, indem Sie einen geschützten Perimeter definieren und darauf vertrauen, dass alle Verbindungen innerhalb dieses Perimeters sicher sind. Stattdessen gilt: Ihr Perimeter ist überall bzw. nirgends. Entscheidungsträger müssen unbedingt dafür sorgen, dass das Unternehmen über die Flexibilität und erforderlichen Kapazitäten verfügt, damit es aktuellen und zukünftigen Anforderungen gerecht werden kann. 

Um sicherzustellen, dass Mitarbeiter weiterhin an beliebigen und wechselnden Standorten arbeiten können, und um gleichzeitig die Agilität und Sicherheit der Organisation zu gewährleisten, ist eine grundlegende Umstellung der Netzwerk- und Sicherheitsarchitektur auf ein Zero-Trust-Modell erforderlich. Führungskräfte verlassen sich bei der technischen Abwicklung dieser Transformation auf die Kompetenz ihrer Netzwerk-, Sicherheits- und Infrastrukturarchitekten sowie IT-Führungskräfte. Eine erfolgreiche digitale Transformation erfordert jedoch mehr als technisches Fachwissen. Die Transformation betrifft alle Aspekte einer Organisation und setzt einen Kultur- und Mentalitätswandel voraus, der von der Unternehmensspitze initiiert und getragen werden muss. 

Um die Organisation erfolgreich durch die Transformation zu leiten, sollte sich das gesamte Führungsteam – vom CEO und CFO bis hin zu CTOs, CIOs und CISOs – intensiv mit dem Thema Zero Trust auseinandersetzen, um es möglichst gründlich zu verstehen. Ohne offene Fragen zu klären und eventuell vorhandene Irrtümer auszuräumen, wird die Umstellung beschwerlich und riskant. 

 

„Man braucht nichts im Leben zu fürchten, man muss nur alles verstehen.“ Marie Curie, Nobelpreisträgerin für Physik und Chemie 

 

Zero Trust hat sich in den letzten Jahren von einer nebulösen Idee zum Wegbereiter für die Unternehmenstransformation entwickelt. Die zunehmende Popularität des Konzepts hat jedoch nicht unbedingt zur Klarheit darüber beigetragen, was Zero Trust eigentlich ist (bzw. nicht ist), wie es (nicht) funktioniert und warum es ein so wichtiges Thema ist. Mit ihrem neuen Buch wollen Sanjit Ganguli, Nathan Howe und Daniel Ballmer hier Abhilfe schaffen und CXOs Antworten auf sieben entscheidende Fragen rund um Zero Trust liefern. Im Folgenden erhalten Sie eine zusammenfassende Vorschau auf die Schwerpunkte ihres praxisbezogenen Ratgebers. 

 

Was ist Zero Trust und warum ist es eine entscheidende Voraussetzung für die sichere digitale Transformation?

Immer mehr Organisationen setzen auf Zero-Trust-Architekturen zur Stärkung ihrer Cybersicherheit und Unterstützung hybrider Arbeitskonzepte. Im Dickicht des Marketing-Hypes um Zero Trust kann es jedoch schwierig sein, zu überblicken, was sich genau hinter dem Konzept verbirgt und wozu Sie es überhaupt brauchen.

Zero Trust ist eine Strategie, die zu den Grundlagen Ihres zukunftsfähigen Sicherheitsökosystems zählen sollte. Sie basiert auf dem Prinzip der minimalen Rechtevergabe sowie auf dem Grundsatz, dass User und Anwendungen niemals automatisch als vertrauenswürdig eingestuft werden dürfen. Aber wieso macht sie das zum Wegbereiter der digitalen Transformation? Und warum ist die digitale Transformation überhaupt notwendig?

In diesem Leitfaden erfahren Sie, wie sich eine Zero-Trust-Architektur vom früheren Modell eines flachen Netzwerks mit definierten Segmenten unterscheidet, bei dem alle User und Ressourcen innerhalb des Perimeters als vertrauenswürdig eingestuft werden. Die Autoren zeigen die einzigartigen Möglichkeiten von Zero-Trust-Architekturen auf, Entitäten – von Usern über Anwendungen bis hin zu IoT-Geräten – zügig, nahtlos und sicher mit Ressourcen zu verbinden. 

 

Was sind die wichtigsten Anwendungsfälle für Zero Trust?

Welche Faktoren treiben die Umstellung auf Zero Trust voran? Im Buch werden die drei wichtigsten Anwendungsfälle für Zero Trust ausführlich behandelt, die bei der Mehrzahl der Organisationen – entweder einzeln oder in Kombination – für die Umstellung ausschlaggebend sind:  

• Sicheres Arbeiten unabhängig vom Standort – Um sicherzustellen, dass Ihre Mitarbeiter überall – in der Unternehmenszentrale, im Homeoffice, im Café oder unterwegs – gleichermaßen produktiv arbeiten können, ist ein geräte- und standortunabhängiger schneller und sicherer Zugriff auf Anwendungen erforderlich. Anstatt User über VPNs mit einem Unternehmensnetzwerk zu verbinden, entscheidet eine echte Zero-Trust-Architektur anhand von Richtlinien, welcher User auf welchem Pfad auf welche Anwendung zugreifen darf, und stellt dann eine sichere, schnelle und nahtlose Direktverbindung zu den betreffenden Ressourcen bereit. 
• WAN-Transformation – Organisationen, die veraltete Methoden zur Ausweitung flacher, routingfähiger Hub-and-Spoke-Netzwerke auf alle Zweigstellen, Mitarbeiter im Homeoffice und mobile User einsetzen, vergrößern damit ihre Angriffsfläche. Eine Zero-Trust-Architektur ermöglicht die Umstellung des Netzwerks von einer Hub-and-Spoke-Architektur zu einem Direct-to-Cloud-Ansatz. Dadurch wird die Abhängigkeit von MPLS und Backhauling des Traffics zum Rechenzentrum deutlich reduziert und die User Experience verbessert. 
• Sichere Cloud-Migration – Zero Trust gilt nicht nur für User und Geräte, sondern gewährleistet auch, dass Workloads sicher mit dem Internet und anderen Workloads kommunizieren können. Im Rahmen der Implementierung einer echten Zero-Trust-Architektur werden auch Funktionen zur Unterstützung sicherer Workload-Konfigurationen und einer starken Posture Control bereitgestellt. 

 

Welche betriebswirtschaftlichen Argumente sprechen für den Wechsel zu Zero Trust?

Als CXO müssen Sie den Geschäftsnutzen der Zero-Trust-Transformation gegenüber Ihren Vorstandskollegen verantworten. Die Autoren gehen ausführlich auf dieses Thema ein und liefern handfeste betriebswirtschaftliche Argumente für die Umstellung auf eine Zero-Trust-Architektur.

Optimierung der Technologiekosten – Eine Zero-Trust-Architektur stellt schnelle und sichere Verbindungen zwischen Usern, Geräten und Anwendungen ohne Zugang zum Unternehmensnetzwerk her. Organisationen profitieren von Direktverbindungen zu Anwendungen ohne Backhauling des Traffics und sparen MPLS-Kosten. Im Ratgeber wird erläutert, wie eine in der Cloud bereitgestellte Zero-Trust-Plattform Organisationen bei der Konsolidierung hardwarebasierter Einzelprodukte unterstützt und ihnen Investitionen in Firewalls, VPNs oder VDI erspart. Die dadurch erzielten Einsparungen ermöglichen einen höheren ROI. 

Operative Effizienzgewinne – Neben den Technologiekosten reduziert die Umstellung auf Zero Trust auch den zeitlichen und finanziellen Aufwand für die Verwaltung eines herkömmlichen Hub-and-Spoke-Netzwerks mit dem entsprechenden Portfolio von Einzelprodukten, die zu seinem Schutz erforderlich sind. Eine echte cloudbasierte Zero-Trust-Architektur unterstützt auch die zentrale Verwaltung von Sicherheitsrichtlinien sowie die Automatisierung von Routineaufgaben. Patches und Updates werden ebenfalls direkt in der Cloud implementiert. Diese operativen Effizienzgewinne setzen Kapazitäten frei, sodass Administratoren mehr Zeit in Projekte investieren können, die zur Wertschöpfung beitragen. 

Risikominderung – Durch den Wechsel von perimeterbasierter Sicherheit zu einem Direct-to-Cloud-Modell gewährleisten Zero-Trust-Architekturen ein höheres Schutzniveau für User, Daten und Anwendungen. Bei korrekter Implementierung eliminiert ein Zero-Trust-Ansatz die Angriffsfläche und reduziert das Risiko, indem User nicht mehr mit dem Unternehmensnetzwerk, sondern ausschließlich mit den jeweils benötigten Anwendungen verbunden werden. Vertrauliche Daten werden geschützt, indem Passthrough-Verbindungen verhindert und der gesamte Traffic überprüft wird. Die Grundsätze des Zero-Trust-Konzepts ermöglichen sichere und standortunabhängige Verbindungen zwischen beliebigen Entitäten und den jeweils angeforderten Anwendungen oder Services. 

Mehr Agilität und Produktivität  – Zero Trust fungiert als unsichtbarer Motor, der Ihrer Organisation zu verbesserter Zusammenarbeit, mehr Agilität sowie Produktivität und hervorragenden Anwendererfahrungen verhilft. Zero Trust unterstützt sicheres Arbeiten an jedem beliebigen Standort und Gerät. Weil User direkt mit Anwendungen verbunden werden (basierend auf Identität, Kontextdaten und Geschäftsrichtlinien), können Latenzen reduziert werden, was zu weniger Frust und höherer Produktivität führt. Diese Vorteile kommen nicht nur den Endusern zugute, sondern ermöglichen u. a. auch effizientere Integrationen nach Fusionen und Übernahmen. Mit einem Zero-Trust-Ansatz können Organisationen operative Komplexität sowie Risiken reduzieren und einmalige sowie wiederkehrende Kosten senken, um insgesamt effizienter zu wirtschaften. 

 

Welche Wertschöpfungspotenziale bietet Zero Trust für Organisationen?

So einleuchtend das Mantra „Warum reparieren, wenn es nicht kaputt ist“ bzw. der Satz vom Anfang dieses Beitrags („So haben wir es schon immer gemacht“) klingen mögen, so fatal sind sie für eine Organisation, die heute und morgen relevant und wettbewerbsfähig bleiben will. Die Position, unbedingt am Status quo festhalten zu wollen, wird zumeist von Einzelpersonen und Teams vertreten, die unter Umständen ein begründetes Interesse an der Beibehaltung der aktuellen Infrastruktur haben. Wahrscheinlicher ist jedoch, dass sie einfach unsicher sind, wie sich derart einschneidende Veränderungen bewerkstelligen lassen, ohne dass das gesamte System zusammenbricht. Eine Analyse der Schmerzpunkte, die Organisationen wie Ihre im Zuge der Zero-Trust-Transformation erfolgreich überwinden konnten, und der Vorteile, die sie dadurch erzielten, kann als Wegweiser und Orientierungshilfe für Ihr eigenes Projekt dienen. 

 

Wie wird Zero Trust bereitgestellt und genutzt? Welche Hürden sind dabei zu bewältigen?

Sie sind von den Vorteilen der Umstellung auf eine Zero-Trust-Architektur überzeugt, aber nicht sicher, wie Sie sie in Ihrer Organisation konkret umsetzen sollen? Wie bei jeder einschneidenden Veränderung ist es hilfreich, Ihr Vorhaben in einzelne Schritte zu zerlegen. Die Autoren untergliedern die Zero-Trust-Transformation in vier Phasen und geben detaillierte Anleitungen für eine schrittweise Abwicklung: 

• Unterstützung für sichere hybride Arbeitskonzepte – Viele Organisationen haben festgestellt, dass sich bei diesem Ansatzpunkt unmittelbare Erfolge erzielen lassen, die als Katalysator für die weiteren Transformationsphasen fungieren. Durch die Umstellung von veralteten Netzwerk- und Sicherheitstechnologien auf eine Cloud-native Zero-Trust-Architektur können Organisationen ihren Mitarbeitern nahtlosen und sicheren Zugriff auf das Internet, SaaS und interne Anwendungen von jedem beliebigen Standort aus ermöglichen, ohne sie mit dem Unternehmensnetzwerk zu verbinden. Dadurch werden laterale Bewegungen im Netzwerk verhindert und komplexe Bedrohungen sowie Datenverluste abgewehrt. Durch die Möglichkeit, die User Experience aus der Enduser-Perspektive zu überwachen, können IT-Beauftragte eine optimale Performance gewährleisten, die wiederum der Produktivität zugutekommt.   
• Schutz von Daten in der Cloud – Angesichts des Datenvolumens, das in SaaS-Anwendungen wie M365, Salesforce oder ServiceNow und privaten Unternehmensanwendungen gespeichert wird, ist es sinnvoll, dass die nächste Transformationsphase darin besteht, zuverlässige Data Protection in der Cloud zu gewährleisten. Dies umfasst die Sicherung des Internet- und SaaS-Zugriffs für Workloads, die Gewährleistung sicherer Kommunikation zwischen Workloads in der Cloud sowie die Aktivierung von Posture Control für selbst entwickelte und Cloud-native Workloads, die in beliebigen Cloud-Umgebungen ausgeführt werden. Dadurch wird zugleich die Sicherheit und Verwaltung von Cloud-Workloads vereinfacht. 
• Sicherer Zugriff für Kunden und Lieferanten – Neben Ihren Mitarbeitern benötigen auch Geschäftspartner und Auftragnehmer mit entsprechenden Berechtigungen nahtlosen und sicheren Zugriff auf Unternehmensanwendungen. Durch Entkopplung des Anwendungszugriffs vom Netzwerk und Durchsetzung von Zero-Trust-Prinzipien können Organisationen den Zugriff auf ihre Anwendungen streng kontrollieren: User können jederzeit von jedem Gerät und jedem Standort mit internen Anwendungen verbunden werden, ohne jemals Zugang zum Netzwerk zu erhalten. Geschäftspartner können ebenfalls problemlos auf Anwendungen zugreifen. Zugleich stärkt die Organisation ihren Sicherheitsstatus und reduziert die Risiken, die mit VPNs und anderen herkömmlichen Zugriffsmethoden für externe Dritte einhergehen.  
• Modernisierung der IoT- und Betriebstechnologie-Sicherheit – In der letzten Transformationsphase geht es darum, Zero-Trust-Konnektivität für IoT- und Betriebstechnologiegeräte sowie sicheren Remotezugriff auf Betriebstechnologiesysteme bereitzustellen. Die Bereitstellung eines schnellen, sicheren und nahtlosen Zugriffs auf Geräte ohne VPN unterstützt schnelle und sichere Wartungsvorgänge. Betriebstechnologienetzwerke und -systeme sind nicht mehr im Internet sichtbar, sodass Produktionsunterbrechungen durch Cyberangriffe verhindert werden. Dadurch werden Ausfallzeiten reduziert und die Sicherheit für Mitarbeiter und Anlagen erhöht.

 

Welche nicht technologischen Faktoren sind ausschlaggebend für eine erfolgreiche Umstellung auf Zero Trust?

Eine Zero-Trust-Transformation beinhaltet sehr viel mehr als die Umstellung von einer Technologie auf eine andere unter Federführung der IT. Vielmehr ist sie ein grundlegender Wandel, der sämtliche Bereiche des Unternehmens betrifft. Die Autoren stellen klar, dass eine erfolgreiche Implementierung eine Umgestaltung der Unternehmenskultur und -mentalität voraussetzt. Dies wiederum erfordert abteilungsübergreifende Kommunikation und Zusammenarbeit, den Erwerb neuer Fachkenntnisse und Kompetenzen, die Vereinfachung und Neuausrichtung von Prozessen sowie die Anpassung der Organisationsstruktur, um die Implementierung und den Betrieb der Zero-Trust-Architektur zu unterstützen. Damit die gewünschten Ergebnisse erzielt werden, muss die Zero-Trust-Transformation von der Unternehmensspitze initiiert sowie getragen werden und sämtliche Betroffenen vom Vorstand über die IT-Fachkräfte bis hin zu internen – sowie ggf. externen – Endusern einbeziehen. 

 

Worauf muss ich bei der Auswahl einer Zero-Trust-Lösung achten bzw. woran erkenne ich eine ungeeignete Lösung?

Führungskräfte, deren Organisationen die digitale Transformation bereits erfolgreich bewältigt haben, wissen aus Erfahrung, dass Transformation kein Ziel, sondern ein Prozess ist. Entsprechend lässt sie sich nicht mit einem einzelnen Projekt oder Produkt bewerkstelligen. Wer jedoch weiß, worauf bei der Auswahl einer Zero-Trust-Lösung zu achten ist, hat schon viel gewonnen und kann potenzielle Fallstricke vermeiden. Die Autoren diskutieren sieben Schlüsselaspekte, die für das Gelingen der digitalen Transformation unverzichtbar sind und daher bei der Entscheidung für eine Lösung unbedingt berücksichtigt werden müssen. 

• Nachgewiesene Erfolgsbilanz und komplette Erfüllung der spezifischen Anforderungen Ihrer Organisation 
• Beruht auf den Kernprinzipien des Zero-Trust-Konzepts
• Cloud-native Infrastruktur, die den gesamten Traffic, einschließlich SSL/TLS, auch bei hohen Volumen überprüft
• Flexibel, vielseitig und skalierbar für alle User, Anwendungen und Ressourcen unabhängig vom jeweiligen Standort bzw. der Hosting-Umgebung
• Optimale Anwendererfahrung für Enduser
• Starke Integrationen mit anderen Anbietern innerhalb des Ökosystems
• Unkomplizierte Pilotläufe und Bereitstellung, daher hohes Vertrauen in die Produktionstauglichkeit

 

„Man muss das Problem nur richtig angehen, dann findet man die Antwort.“ Katherine Johnson, Mathematikerin und NASA-Forscherin

 

Digital aufgestellte Unternehmen sind agiler und produktiver. Eine erfolgreiche digitale Transformation setzt jedoch die Umstellung auf eine Zero-Trust-Architektur voraus. In diesem Beitrag konnte nur ein Bruchteil dessen behandelt werden, was jeder CXO unbedingt zum Thema Zero Trust wissen sollte, um seine Organisation erfolgreich durch die Transformation zu führen. 

Im neuen Ratgeber geben Sanjit Ganguli, Nathan Howe und Daniel Ballmer wertvolle Informationen und praktische Handlungsempfehlungen zu den Vorteilen eines Zero-Trust-Konzepts sowie den potenziellen Hindernissen, die bei seiner Implementierung möglicherweise zu bewältigen sind. Die Autoren liefern Antworten auf sieben wichtige Fragen, die jeder CXO zum Thema Zero Trust stellen sollte. Am besten laden Sie Ihr Gratisexemplar des E-Books noch heute herunter. Wenn Sie mehr darüber erfahren wollen, wie Zscaler Ihr Unternehmen bei der Zero-Trust-Transformation unterstützen kann, empfehlen wir Ihnen auch unser Whitepaper „One True Zero: Die Zero Trust Exchange beschleunigt Ihre sichere digitale Transformation“.