Ergebnis
Zero Trust
Auf dem Weg zu Zero Trust
Das CBA Lab hat einen „Zero Trust Guide“ erstellt, der aus den praktischen Erfahrungen der beteiligten Mitgliedsunternehmen Handlungsempfehlungen, Fallstricke sowie Implikationen für das Enterprise Architecture Management ableitet. Somit dient dieser Guide Unternehmen, die Zero Trust einführen wollen, als Hilfestellung, um den Weg dorthin möglichst ohne Stolpersteine zu bewältigen.
Im Wesentlichen wurden die folgenden vier Fragen behandelt:
- 1. Sollte ein Unternehmen Zero Trust einführen?
- 2. Welche Motivation und Ziele für die Einführung von Zero Trust gibt es?
- 3. Welchen Einfluss hat Zero Trust auf die Architekturarbeit?
- 4. Welche Hürden entstehen bei der Einführung von Zero Trust?
Zero Trust ist für die Mehrheit der befragten Unternehmen wichtig; die Einführung hat in mehr als der Hälfte der Unternehmen schon begonnen oder wird 2023 beginnen. Einer der häufigsten Gründe für die Einführung von Zero Trust ist die Intensivierung des Sicherheitsniveaus. Darüber hinaus bestätigen weitere genannte Motive eine allgemein akzeptierte Erkenntnis und bieten klare Anhaltspunkte dafür, wie sich die Unternehmen hinsichtlich ihrer Anfälligkeit für Cyberangriffe verändert haben: die Anpassung an neue Infrastrukturen (z. B. Einführung neuer Cloud-Technologien) und Arbeitsmodelle (z. B. ortsunabhängiges Arbeiten).
Neue Infrastrukturen werden insbesondere durch die Einführung von Cloud-Technologien geprägt. Zum Beispiel sind Software-as-a-Service-Anwendungen sowie die Nutzung von öffentlichen Cloud-Plattformen anstelle firmeneigener Rechenzentren mittlerweile etablierte Praktiken in vielen Unternehmen. Im Zuge der jüngsten Pandemie haben sich alternative Formen der Arbeitsplatzgestaltung außerhalb traditioneller Büros etabliert und halten bis heute als gleichwertige Modelle an. Diese Entwicklungen begünstigen indes Cyberangriffe durch eine Ausweitung der potenziell angreifbaren Flächen und eine erhöhte Vielfalt der Zugangspunkte.
Genau hier setzen die Prinzipien des Zero Trust an: Je mehr sich die zu schützenden Bereiche aufteilen und ausbreiten, desto komplexer gestaltet sich der Aufbau einer "Schutzmauer" um das eigene Terrain. Bei der Untersuchung der angestrebten Ziele wird eine weitere Entwicklung deutlich, die eher die Sicherheitskultur, oder zumindest das Bewusstsein für Cybersicherheit, betrifft.
Die Befragten stimmten darin überein, dass das Hauptziel von Zero Trust darin besteht, im Falleeines erfolgreichen Cyberangriffs sicherzustellen, dass der betroffene Bereich so gering wie möglich gehalten wird. Dies stellt eine Verlagerung der Denkweise von der reinen Abwehr von Cyberangriffen hin zur Eindämmung ihrer Auswirkungen dar.
Anders ausgedrückt gehen Unternehmen mittlerweile davon aus, dass sie Opfer erfolgreicher Cyberangriffe werden können, wo sie zuvor lange Zeit davon ausgingen, solche Angriffe gänzlich verhindern zu können. Dies verdeutlichte, dass Zero Trust als Mittel angesehen wird, um "korrumpierte" Bestandteile der IT-Landschaft zu isolieren und eine Ausbreitung von Schäden zu unterbinden. Im Folgenden werden die fünf am häufigsten genannten Ziele für die Einführung von Zero Trust dargestellt.
Die Enterprise Architecture (EA) dient als logische organisatorische Einheit für die Umsetzung von Zero Trust. Trotz der üblichen Assoziation von Zero Trust mit Sicherheitsteams sollte die Verbindung zwischen EA und Zero Trust auf Basis dieser Forschung hervorgehoben werden. Eine Befragung ergab den Rat, Zero Trust stark in die EA-Arbeit zu integrieren und in verschiedene Domänen anzupassen. Mehrere Unternehmen betonten außerdem, dass die Zusammenarbeit von Security und EA sehr wichtig ist,
um Transparenz für die Zero Trust-Adaption zu schaffen.
Zusammenfassend konnte aus den erhobenen Daten abgeleitet werden, dass die Einführung von Zero Trust sowohl auf die Architektur als auch auf die Zusammenarbeit zwischen Security und EA Einfluss hat.
Weiterhin ließen sich basierend auf den Ergebnissen erlebter Erfahrungen der beteiligten CBA Lab Mitgliedsunternehmen, welche über verschiedene Formate erhoben wurden,
konkrete Best und Worst Practices für die Bereiche Governance, Stakeholder Management, Steuerung der Implementierung und die Implementierung an sich ableiten.
Diese wurden abschließend durch weitere Hinweise ergänzt, welche eine bunte Mischung an Themen wie Identity und Access Management, Vendor Lock-in, Netzwerke, Capabilities oder User Experience abdecken.