Wie bei der Raiffeisen Bank International mit Zero Trust Sicherheit UND Usability verbessert werden konnten, darüber berichtet Group CISO Peter Gerdenitsch und Zscaler Regional Manager Austria Anna Lipiarska beim Confare #CIOSUMMIT, Österreichs größtem CIO und IT-Management Treffpunkt.
Kevin Schwarz ist Director Transformation Strategy bei Zscaler. Im Vorfeld des Vortrags wollten wir für unseren Blog mehr darüber erfahren, was Zero Trust in Praxis wirklich bedeutet.
Persönlich treffen Sie die Experten von Zscaler und mehr als 600 IT-Branchenprofis auf dem Confare #CIOSUMMIT. Melden Sie sich gleich an, für IT-Entscheider ist die Teilnahme nicht mit Kosten verbunden.
Wie verändern sich die Sicherheitsanforderungen von Unternehmen in Zeiten der totalen Vernetzung aller Geräte, Applikationen, Daten und Arbeitsplätze?
Unsere Arbeits- und Produktionsumgebungen sind einem immer schnelleren Wandel Richtung Cloud unterworfen. Die steigende Anzahl von Homeoffice-Arbeitsplätzen im Einklang mit hybriden Arbeitswelten, Automatisierung als Mittel gegen Fachkräftemangel, die Digitalisierung von Produktionsprozessen und Service-Angeboten sind nur einige Beispiele, die den Umbruch der Geschäftswelt verdeutlichen. Die IT ist gefordert, die Grundlagen der herkömmlichen Netzwerkinfrastrukturen zu überarbeiten, um diese Modernisierungstrends sicher zu gestalten.
Unternehmen müssen also erkennen, dass sich Daten, Applikationen und Anwender aus dem bisher abgesicherten Netzwerk entfernen. Somit greift der herkömmliche, Hardware-basierte Schutz am Perimeter ins Leere, wenn sich Anwendungen in der Cloud befinden und der Mitarbeiter von überall aus arbeitet. Dementsprechend gilt es zu beachten, dass mit der Cloud-Transformation auch eine Sicherheitstransformation einhergehen muss, die in der Lage ist, alle Datenströme auf Sicherheitsrisiken zu durchleuchten. Das betrifft nicht nur den Mitarbeiter, der aus dem Homeoffice auf Daten in der Cloud oder im Rechenzentrum zugreift, sondern ebenso den Partner, der für Wartungsarbeiten auf Produktionsumgebungen Zugriff benötigt oder die Lieferkette. Sicherheit sollte also inline in den Datenströmen platziert werden und für die nötige Agilität sorgt dabei eine Sicherheits-Plattform aus der Cloud. Diese garantiert performante Sicherheit an der Edge, überall dort, wo Zugriff zwischen Anwender und Applikation oder Workloads untereinander erforderlich ist. Gartner hat für das neue Sicherheitsmodell den Begriff Security Service Edge (SSE) geprägt mit dem Zero Trust Konzept als tragende Säule.
Was können Zero Trust Ansätze leisten, um das Unternehmen aus dem Ransomware und Cyber-Crime Würgegriff zu befreien?
Generell räumt der Zero Trust-Ansatz mit dem Grundvertrauen auf, das einem Anwender für den Zugriff auf Daten oder 
Anwendungen gewährt wird. Der Anwender wird nicht mehr in ein Netzwerk platziert, von wo aus er ungehindert auf alle darin befindlichen Anwendungen auf einmal Zugriff hat. Denn zuerst einmal sollten Unternehmen davon ausgehen, dass der Nutzer und oder das Gerät kompromittiert sein könnten und dementsprechend weder Anwender noch Gerät nicht grundsätzlich vertraut werden darf. Zero Trust-Ansätze helfen dabei, diesen Zugang anhand von definierten Kriterien zu Anwendungen und Daten zu validieren, bevor ein Tunnel für den erlaubten Zugriff aufgebaut wird.
Daher können Zero Trust basierte Plattformen dabei helfen vier der Hauptrisiken von Ransomware zu mitigieren.
1) Angriffsfläche: Die Angriffsfläche auf ein Unternehmen wird reduziert, wenn Applikationen und Services nicht mehr im Internet exponiert werden müssen, um sie zu erreichen.
2) Ausnutzung von Schwachstellen: Gleichzeitig können Schwachstellen, wie die unlängst erkannte Log4J-Lücke, nicht mehr ausgenutzt werden, wenn Hardware nicht mehr sichtbar für Angreifer über das Internet erreichbar ist. Zero Trust Plattformen bieten hierbei zum einen die Schutzmechanismen, welche benötigt werden um Sicherheit durchzusetzen und Schadsoftware frühzeitig zu erkennen. Gleichzeitig sorgen sie dafür, dass Anwendungen im Internet “unsichtbar” gemacht werden auf Basis des Zero Trust Network Ansatzes (ZTNA) von Gartner.
3) Lateral Movement: Durch granularen Zugriff aufbauend auf Richtlinien entsteht segmentierter Anwendungszugriff durch den sich laterale Bewegungen von Angreifern innerhalb des Netzwerks unterbinden lassen.
4) Abfluss von Daten: Durch die totale Sichtbarkeit in den Datenverkehr der Organisation und die Durchsetzung von Sicherheit nach „innen & außen“ wird schließlich Datenabfluss vorgebeugt, da unberechtigter Zugriff unterbunden werden kann.
Was ist bei der Umsetzung von Zero Trust zu beachten?
Um ein Zero Trust-Sicherheitsmodell zu planen und implementieren, müssen verschiedenste Bereiche im Unternehmen kooperieren. Oft ist Zero Trust ein Thema getrieben aus dem Netzwerkbereich, jedoch benötigt es die Mitarbeit von Identity / Workplace, Sicherheit und potenziell weiteren Teams, die alle an der Umsetzung beteiligt werden müssen. Es sollte sich die Frage gestellt werden, welches Governance Modell hierbei am sinnigsten ist. Viele Unternehmen hängen Zero Trust Initiativen bei Sicherheitsteams auf, da die Umsetzung viele Teile der IT betrifft. Eine hochintegrierte Sicherheitsplattform ersetzt unterschiedlichste Point-Produkte und vereinfacht das Sicherheitsmanagement durch Wegfall des Administrationsaufwands z.B. von Hardware, wodurch Synergien geschaffen werden können. Es ist wichtig hierbei zu verstehen, was die Zielsetzung des Unternehmens ist und was mit Hilfe von Zero Trust erreicht werden soll. Ein Zielbild der Zero Trust-Strategie hilft bei der späteren Planung der Umsetzung, um einheitlich an einem großen Ganzen zu arbeiten.
Wie aufwendig ist die Umsetzung tatsächlich?
Die Einführung eines Cloud-basierten Ansatzes geht mit der Agilität der Wolke einher und lässt sich vergleichbar schnell ausrollen. Denn die Richtlinienverwaltung findet zentralisiert in einer Managementkonsole statt, und macht vor-Ort Präsenz obsolet. Die Datenströme müssen zur Umsetzung der Filter lediglich an die Zero Trust Plattform weitergeleitet werden. Da Hardware für Proxy, Sandbox, DLP, Webfilter und VPNs wegfällt und einmal definierte Zugriffsberechtigungen zentral ausgerollt werden, profitiert die IT-Abteilung von der hohen Effizienz der Cloud. Unternehmen sollten das zuvor genannte Zielbild in Etappen unterteilen und sich zu Beginn des Rollouts auf einen Anwendungsfall konzentrieren, wie zum Beispiel den Anwenderzugriff auf alle notwendigen Geschäftsapplikationen.
Welche Fehler sollte man dabei unbedingt vermeiden?
Die Einführung eines Zero Trust-Konzepts mag durch die grundlegende Transformation der Sicherheit am Anfang wie eine Mammutaufgabe erscheinen. Unternehmen sollten sich als Startpunkt auf ihren größten Painpoint konzentrieren und mit der Umsetzung dort beginnen, wo schnell Erfolge zu erwarten sind. Es sollte vermieden werden, eine theoretische Übung aus einer Umsetzung zu machen. Geht es beispielsweise um die Anbindung der mobilen Mitarbeiter und deren performanten Zugriff auf ihre Geschäftsanwendungen, dann sollte der erste Schritt sein die Sichtbarkeit und den Kontext hiervon zu erlangen. Auf Basis dessen können sie hinterfragen: Wieso greift Nutzer A aus Marketing auf SAP zu? Ohne diese Sichtbarkeit werden viele Unternehmen vor einer schier unlösbaren Aufgabe stehen, da der Kontext „Wer greift auf Was zu“ fehlt. Wichtig ist auch, dass alle Teams kooperieren, wie bereits angemerkt. Dazu gilt es die klassischen Silos von Anwenderverantwortung, Netzwerkzuständigkeiten und Sicherheit aufzubrechen.
Wie wirkt sich der Zero Trust Ansatz auf die Anwender aus?
Dem Mitarbeiter in einer hybriden Arbeitsumgebung ist es nicht wichtig, wo seine Anwendungen vorgehalten werden. Egal, ob er im Büro oder Homeoffice arbeitet, möchte er einen einheitlichen und nahtlosen Zugriff auf seine Geschäftsanwendungen, ohne manuelle Interaktion für Sicherheit. Es spielt keine Rolle mehr, ob Daten in Multicloud-Umgebungen oder im Netzwerk vorgehalten werden. Er profitiert durch den optimalen, aber jederzeit abgesicherten Zugriff auf Apps, da er nicht mehr den Umweg durch ein Hub-&Spoke-Netzwerk nehmen muss, der Latenz zu den Datenströmen addiert. Wenn wir ehrlich sind, ist User Experience für uns mehr und mehr wichtig, wie uns die eigenen Erfahrungen im Umgang mit Wartezeiten zeigen. Eine Zero Trust Architektur hilft hierbei für den User Sicherheit „unsichtbar“ werden zu lassen ohne User Experience einzubüßen, hilft aber gleichzeitig das Risiko des Unternehmens zu reduzieren – insgesamt also eine Win-Win-Situation.