Höhere IT-Sicherheit erfordert nicht automatisch höhere IT-Budgets

Mit Eintritt der Coronakrise saßen Top-Manager und andere Geheimnisträger vieler Unternehmen mit ihren Rechnern nicht mehr geschützt hinter hohen Firewalls, sondern plötzlich in deren Home-Offices. Was aber nutzt die stabilste VPN-Verbindung, wenn Mitarbeiter völlig ungeschützt von Zuhause aus auf interne Unternehmensressourcen zugreifen und somit sogar noch zur optimalen Hintertür für Malwareangriffe werden können. Dies ist nur eine der Fragen, die sich IT-Verantwortliche dieser Tage stellen. ?Viele Sicherheitsverantwortliche haben nämlich jetzt zum ersten Mal wirklich verinnerlicht, dass es darauf ankommt, genau die Personenkreise abzusichern, die mit schützenswerten Informationen und Betriebsgeheimnissen wie Finanzdaten oder Patenten tagtäglich umgehen?, beschreibt Jörn Lippitz, CTO der Diso AG, die Situation. ?Sie sind die größte Schwachstelle und darum auch die besten Angriffsziele?.

Eine Alternative zu konventionellen Schutzkonzepten stellt das Zero Trust-Konzept dar. Die schlichte Logik hinter diesem Ansatz lautet, niemandem zu vertrauen und alles zu überprüfen, was versucht, Verbindungen zu internen Systemen aufzubauen. Während in den USA die Verbreitung dieses Sicherheitskonzeptes in schnellen Schritten vorangeht, scheint es in der DACH-Region gemütlicher zuzugehen, wie kürzlich eine von der Diso AG, Bern, und vmware in Kooperation mit dem Fachmagazin Security-Insider der Vogel-IT Medien durchgeführte Befragung zeigt. So sehen zwar 65% der IT-Security-Verantwortlichen in Zero Trust einen gegenüber den klassischen Sicherheitskonzepten deutlich überlegenen Ansatz und drei Viertel aller Befragten sehen sogar Zero Trust zur Absicherung sensibler Unternehmensbereiche oder Personen wie Vorstände oder Aufsichtsräte als besonders geeignet. Doch nur rund 30% verfolgen das Zero Trust-Konzept auch praktisch.

?Dafür gibt es einige Gründe?, kommentiert der kürzlich vom Thyssenkrupp-Konzern zum Schweizer IT-Unternehmen Diso gewechselte Security-Experte Jörn Lippitz. ?Man scheut den vermeintlich großen Aufwand, den dieses Modell suggeriert, dabei lässt sich vieles beispielsweise durch intelligente Private-Cloudlösungen sehr schnell und kosteneffizient realisieren.?

Unternehmen, die Zero Trust-Modelle einsetzen, gaben in der Studie die hierfür anfallenden Aufwände tatsächlich auch deutlich geringer an als die Teilnehmer, die sich damit bislang nur mehr oder weniger theoretisch beschäftigten. Außerdem ergab die Studie auch, dass die Frage nach der Umsetzungsgeschwindigkeit begonnen bei der Planung bis zum go-live, von Zero Trust-Nutzern in etwa um die Hälfte kürzer angegeben wurde als dies von den anderen Nicht-Nutzern vermutet wurde.

?Es hängt auch viel davon ab, auf welcher Sicherheitsarchtitektur man aufsetzt? sagt Lippitz. “Lange dominierte etwa die Best-of-Breed-Philosophie, wonach man für jeden Anwendungsbereich die bestmögliche Lösung zu finden und zu integrieren versuchte. Doch die ist gescheitert. Nach dem Cyber Resilience Report 2020 von IBM nutzt fast ein Drittel der Unternehmen mehr als 50 Sicherheitstools. Allein diese Komplexität führt dazu, dass ein Mehr an Tools im Ergebnis eher ein Weniger anr Sicherheit und ein Mehr an Aufwand bedeutet- Die Notwendigkeit integrierter Netzwerk-Architekturen wird also immer deutlicher.?

Weitere Informationen zur Zero Trust -Studie in der DACH-Region finden sich unter

https://www.diso.ch/zero-trust-in-der-praxis/