Strabag legte 2023 Gewinnsprung hin Bild: Strabag legte 2023 Gewinnsprung hin
EXPORT today online - 17/2024
EU-Parlament gibt grünes Licht für Net Zero Industry Act Bild: EU-Parlament gibt grünes Licht für Net Zero Industry Act
Wiener Wirte protestieren gegen Lieferdienste Bild: Wiener Wirte protestieren gegen Lieferdienste
2 Mrd. Euro Forderungen gegen Benko, 47 Millionen anerkannt Bild: 2 Mrd. Euro Forderungen gegen Benko, 47 Millionen anerkannt
NEW BUSINESS Guides - FACILITY MANAGEMENT-GUIDE 2024
Magna in Graz streicht rund 500 Stellen Bild: Magna in Graz streicht rund 500 Stellen
EU-Parlament stimmt für europäisches Lieferkettengesetz Bild: EU-Parlament stimmt für europäisches Lieferkettengesetz
Nehammer erteilt längerer Regelarbeitszeit eine Absage Bild: Nehammer erteilt längerer Regelarbeitszeit eine Absage
NEW BUSINESS Export - NB EXPORT 2/2023
Forschungsausgaben steigen, F&E-Quote bei 3,34 Prozent Bild: Forschungsausgaben steigen, F&E-Quote bei 3,34 Prozent
Firmen mit mehr Eigenkapital bei weniger Investitionslust Bild: Firmen mit mehr Eigenkapital bei weniger Investitionslust
Sie befinden sich hier:  Home  |  Zero Trust: IT-Sicherheit und hybride Arbeitsmodelle

Zero Trust: IT-Sicherheit und hybride Arbeitsmodelle

17. November 2021
Wolfgang Mayer, Country Manager von Citrix Österreich © Citrix

Wolfgang Mayer, Country Manager von Citrix Österreich, erklärt den Zero-Trust-Ansatz im Kontext hybrider Arbeitsmodelle.

Im Mittelalter fand der Handel mit diversen Waren noch auf dem Marktplatz in einer nahegelegenen Stadt statt. Spaziergänge oder der Transport mit dem Ochsenkarren waren die einzigen logistischen Leistungen, die dennoch sehr zeitintensiv waren. Die Zeiten haben sich geändert und heute wird zunehmend per Mausklick online eingekauft. Wir sind daran gewohnt, Bestellungen quasi über Nacht bis vor die Haustüre geliefert zu bekommen. Nicht nur unser Kaufverhalten, sondern allem voran auch die Arbeitswelt hat sich inzwischen gewandelt und ist dynamischer und flexibler als je zuvor. Daher stehen Unternehmen jetzt vor der Herausforderung, den „Burg und Graben“- Ansatz hinter sich zu lassen und ihre Sicherheitsarchitektur dem modernen Zeitalter anzupassen. Der Zero-Trust-Ansatz ist genau dafür ausgelegt, erklärt Wolfgang Mayer, Country Manager Citrix Österreich.

Hybride Arbeitsmodelle waren schon vor Ausbruch von COVID-19 interessant für die flexible Arbeitsgestaltung. Im Zuge der Pandemie wurde jedoch deutlich, welches enorme Potential hinter dem flexiblen Arbeiten steckt. Vielen Unternehmen war es lediglich durch die Umstellung auf remote Work möglich, ihr Geschäft weiterzuführen. Dabei konnten sie ihre Mitarbeiter schützen und zugleich den betrieblichen Erfolg weiterführen. Auch wenn sich die Arbeitsbedingungen wieder entspannen, hält der Trend an. Nicht nur Arbeitnehmer profitieren von einer verbesserten Work-Life-Balance, auch die Unternehmen verzeichnen einen agilen Workflow.

Kontrollen zunehmend erschwert
Ein Problem, welches mit flexiblem Arbeiten einher geht, ist das Arbeiten außerhalb eines abgesicherten Netzwerkes des Unternehmens. Vermehrt werden private Geräte auch geschäftlich genutzt sowie die steigende Anzahl von Could-Diensten anstatt oder zusätzlich zu intern verwalteten Geräten und On-Premises-Anwendungen. Solche Gegebenheiten stellen alle IT-Abteilungen vor die Herausforderung, das notwendige Maß an Kontrolle zu erreichen, um Geschäftsprozesse weiterhin angemessen abzusichern. Die reine Absicherung von Angriffen von außen nach dem Vorbild des Burg-Graben-Ansatzes hat das Sicherheitsdesign in den letzten Jahrzehnten zwar dominiert, kommt aber an heutigen IT-Landschaften an seine Grenzen.

Aus diesem Grund braucht es eine Sicherheitsarchitektur, angepasst an die neuen Arbeitsweisen. Der Zero-Trust-Ansatz bedeutet nicht, dass Arbeitnehmern kein Vertrauen mehr geschenkt wird, sondern dass Unternehmen nicht mehr blind dem technologischen Kontext vertrauen, von dem Mitarbeiter aus auf sensible Ressourcen zugreifen. Denn die Wahrscheinlichkeit steigt, dass zunehmend auf eigenen Geräten mit Geschäftsanwendungen und unternehmensinternen Daten in nicht ausreichend gesicherten Netzwerkverbindungen, wie zum Beispiel dem WLAN Zuhause oder einem WLAN-Hotspot gearbeitet wird. Daher lautet die Devise des entwickelten Zero-Trust-Ansatzes: Never trust, always verify!

Dafür wertet moderne Security-Software mithilfe von künstlicher Intelligenz und kontinuierlichem Monitoring das Verhalten von Nutzern bzw. Nutzerkonten und Endgeräten aus, um Anzeichen auf ungewöhnliche Aktivitäten zu entdecken, die auf eine Gefährdung der Sicherheit hinweisen können. Dabei sollte die Umsetzung des Zero-Trust-Ansatzes sorgfältig geplant und auf die jeweilige Umgebung eines Unternehmens angepasst werden. Bei einem Start-up, das komplett auf SaaS setzt, reicht es möglicherweise das Zero-Trust-Konzept nur für die SaaS-Dienste und Endgeräte anzuwenden. Die meisten Unternehmens-IT-Umgebungen sind jedoch komplexer: Sie bestehen oft aus einer Vielzahl von On-Premises- oder sogar intern entwickelter benutzerdefinierter Anwendungen, veralteter VPN-Technologie und zahlreichen Desktop- und Mobilgeräten.

Zero-Trust-Umgebungen überwachen Interaktionen zwischen Nutzern und Ressourcen
Der erste Schritt zu einer Zero-Trust-Umgebung ist die Einrichtung einer entsprechenden Netzwerkarchitektur, die alle Aspekte der Interaktion zwischen Nutzern und internen und/oder cloudbasierten IT-Ressourcen abdeckt, unabhängig davon, wo sich Nutzer oder Ressourcen befinden. Dies macht eine Bewertung des Kontextes des Nutzerzugriffs in Verbindung mit der Erstellung von Risikoprofilen erforderlich. Auf Grundlage dieser Profile und der kontinuierlichen Kontextanalyse kann das Security-Team eines Unternehmens zentralisierte Sicherheitsrichtlinien implementieren und durchsetzen – unabhängig von einer klassischen Netzwerkperimeter-Firewall.

Für die Prüfung des Kontextes werden zahlreiche Aspekte analysiert, wie die IP-Adresse und der geografische Standort, der Gerätestatus (Firmen- oder Privateigentum), der Zustand des Betriebssystems (jailbroken/rooted oder sicher), der Patch-Status sowie digitale Zertifikate für das Identitäts- und Zugangsmanagement. Die ständige Auswertung all dieser Daten wird vordefinierten granularen Richtlinien abgeglichen. Unternehmen können beispielsweise festlegen, dass Mitarbeiter nur auf sensible Ressourcen zugreifen können, wenn ihr Gerät vollständig gesichert ist und sie sich per Multi-Faktor-Authentifizierung identifiziert haben. Ist dies nicht der Fall, wird der Mitarbeiter über ein Pop-up-Fenster über das weitere Vorgehen informiert und das Gerät solange gesperrt, bis der erforderliche Zustand erreicht ist.

Fazit: Moderne Arbeitsmodelle brauchen eine moderne IT-Sicherheitsarchitektur
Eine Schwierigkeit, die der Zero-Trust-Ansatz mit sich bringt, ist die Vereinbarkeit von Sicherheit und Benutzerfreundlichkeit. Die hohen Sicherheitsstandards dürfen für die Mitarbeiter keine Barriere im Arbeitsalltag darstellen und sollten möglichst unbemerkt bleiben. Dafür können wir den Leitsatz von Zero Trust etwas relativieren: Never trust (in the first place) and always verify. Unter bestimmten Umständen kann die Architektur durchaus nach dem ersten erfolgreichen Login seinen Nutzer vertrauen. Dabei zu beachten ist, dass die Angestellten nur so viel Zugang zu einem Ressourcen-Pool erhalten, der wirklich für ihre Arbeit notwendig ist und dieser auch nur vorübergehend gewährt wird. Dadurch lässt sich der mögliche Schaden für das Unternehmen erheblich minimieren.

Die Geschäftswelt hat sich seit dem mittelalterlichen Marktplatz weiterentwickelt und bietet heute Just-in-Time-Produktion, Online-Bestellungen und Lieferungen über Nacht. Ähnlich muss sich auch die IT-Sicherheit an die sich ständig ändernde Geschäftswelt von heute anpassen. Zero Trust ebnet den Weg für sicheres Arbeiten von überall aus und ermöglicht gleichzeitig reibungslose Prozesse für die Mitarbeiter. Es ist höchste Zeit für Unternehmen die alten Burgmauern der IT-Security hinter sich zu lassen und einen Ansatz umzusetzen, der von Grunde auf für die Geschwindigkeit, Agilität und Benutzerfreundlich der modernen hybriden Arbeitswelt konzipiert wurde. (red.)

Der Autor Wolfgang Mayer ist Country Manager von Citrix Österreich.