shane - stock.adobe.com
Richtig schulen: Bei Zero Trust die Belegschaft einbinden
Wenn Unternehmen das Prinzip Zero Trust umsetzen wollen, ist es mit Technologie allein nicht getan. Die Sensibilisierung der Anwender ist ein wichtiger Schlüssel für den Erfolg.
Im Predictions-Bericht für 2024 von Forrester prognostizieren die Analysten, dass sich die Zahl der dedizierten Rollen mit „Zero Trust“ in der Berufsbezeichnung im nächsten Jahr verdoppeln wird. Die Ergebnisse einer Cisco-Studie zur Folge, haben 86 Prozent der Unternehmen weltweit bereits damit begonnen, grundlegende Aspekte eines Zero-Trust-Sicherheitsmodells zu implementieren.
Traditionelle Netzwerksicherheitsansätze sind in Cloud-Unternehmensumgebungen verwundbar. Gründe hierfür sind die digitale Transformation nach der Pandemie, Software-Lieferketten, Remote-Arbeitsmodelle und BYOD-Richtlinien (Bring Your Own Device), die die Angriffsfläche vergrößert haben. Cloud-basierte Cyberangriffe haben im Jahr 2022 um fast 50 Prozent zugenommen. Gleichzeitig waren im selben Jahr mehr als zehn Millionen Menschen von Angriffen auf die Lieferkette betroffen.
Eine Zero-Trust-Mentalität entfernt sich von ineffektiven, auf dem Netzwerkrand basierenden Sicherheitskontrollen und schichtet stattdessen die Verteidigungsmaßnahmen von innen nach außen, um die Schutzmaßnahmen für geschäftskritische Daten zu stärken. Sie gibt der kontinuierlichen Überprüfung den Vorzug vor implizitem Vertrauen und bietet verbesserten Schutz durch granulare Benutzerauthentifizierung, das Least-Privilege-Prinzip, Datensegmentierung und kontinuierliches Monitoring. Durch die Einhaltung der Zero-Trust-Prinzipien können Unternehmen eine dynamische Sicherheitsstruktur aufbauen, die über die bisherigen Beschränkungen hinausgeht und sensible Daten unabhängig vom Standort des Benutzers oder vom Netzwerkzugangspunkt schützt.
Die Implementierung eines effektiven Zero Trust-Frameworks bringt im Jahr 2024 eine erhöhte Komplexität mit sich. Der Grund hierfür liegt in zusätzlichen Richtlinien, Workflows und Wartungsaufgaben. Unternehmen müssen IT-Mitarbeiter - von denen viele ihre Karriere in der Ära der traditionellen Netzwerksicherheit begonnen haben - in die Lage versetzt werden, die datenzentrierte Zero Trust-Implementierung zu erleichtern. Dies beginnt damit, dass sie in den grundlegenden Säulen des Zero Trust Maturity Model der CISA bestehend aus Identitäten, Geräten, Netzwerken, Daten und Anwendungen oder Workloads geschult werden. Darüber hinaus müssen die Silos zwischen den funktionalen Sicherheitsteams aufgebrochen werden, um Engpässe zu vermeiden, die die Wirksamkeit von Zero Trust behindern.
Kompetenzbasierte Sicherheitsschulung
Die Einführung eines neuen Sicherheitsmodells benötigt die richtigen Übergangsmaßnahmen. Personalisierte Weiterbildungs- und Umschulungsprogramme zu Zero Trust-Richtlinien sind entscheidend für die erfolgreiche Umsetzung von Zero Trust. Diese Schulungen tragen dazu bei, die Kompetenzlücken in den Sicherheitsteams zu schließen und stellen sicher, dass sie über ein solides Verständnis der Prozesse und Technologien verfügen, die für Zero Trust unabdingbar sind. Hierzu gehören Identitäts- und Zugriffsmanagementlösungen (IAM), Multifaktor-Authentifizierung, Mikrosegmentierung, Endpunktsicherheit, Cloud-Sicherheit und SIEM-Tools. Die umsetzbaren Anleitungen ermöglichen den Teilnehmern ihr Fachwissen an die besonderen Anforderungen der Sicherheitsumgebung des Unternehmens anzupassen. Außerdem ermöglichen sie ihnen, Bedrohungen gegen hochwertige Daten kontinuierlich zu überwachen, unabhängig davon, wo sie sich befinden.
„Damit sich Zero Trust durchsetzen kann, muss es zu einem Teil der Firmenkultur auf allen Ebenen des Unternehmens werden. Es erfordert eine sicherheitsorientierte Denkweise, die über IT-Mitarbeiter und Sicherheitsanalysten hinausgeht.“
Ryan Chapman, SANS Institute
Aus finanzieller Sicht kann eine fähigkeitsbasierte Schulung dazu beitragen, die mit der Einführung von Zero Trust verbundenen Kosten zu senken. Eine Studie von Beyond Identity aus 2023 zeigt, dass die durchschnittlichen Kosten für Unternehmen für die Umstellung von ihren derzeitigen Richtlinien auf Zero Trust bei über 656.000 US-Dollar liegen. Kompetenzbasierte Schulungsprogramme können so zugeschnitten werden, dass sie sich auf die Nutzung aktueller Infrastrukturen wie Switches, Router, Next-Geneneration Firewalls (NGFW), IDS, IPS, WAF, Sandboxes, Verschlüsselung, PKI und Proxys konzentrieren, um Sicherheitsarchitekturen für die Zero-Trust-Implementierung neu zu konfigurieren und zu validieren. Dieses Wissen versetzt Sicherheitsteams in die Lage, Schwachstellen, die den Zero-Trust-Workflow stören könnten, in bestehenden Lösungen zu erkennen, zu analysieren und zu verstehen. Dadurch lässt sich das Risiko künftiger Probleme mindern.
Schulungen zur Sensibilisierung der Benutzer
Damit sich Zero Trust durchsetzen kann, muss es zu einem Teil der Firmenkultur auf allen Ebenen des Unternehmens werden. Es erfordert eine sicherheitsorientierte Denkweise, die über IT-Mitarbeiter und Sicherheitsanalysten hinausgeht und anerkennt, dass jeder eine Rolle beim Schutz der sensiblen Daten des Unternehmens in Multi-Cloud-Umgebungen spielt. Trainingsprogramme zur Sensibilisierung der Benutzer, die Cloud-Sicherheit und Zero-Trust-Prinzipien vereinen, sind in diesem Zusammenhang von entscheidender Bedeutung. Sie statten Mitarbeiter aus nichttechnischen Berufen mit dem Wissen aus, um sich nicht nur an eine Zero-Trust-Umgebung anzupassen, sondern auch effizient darin zu arbeiten. Die vereinfachte Unterweisung trägt dazu bei, die technischen Aspekte der Sicherheit zu entmystifizieren. Darüber hinaus bildet sie die Grundlage, damit Mitarbeiter zu aktiven Teilnehmern und Verfechtern des Zero-Trust-Modells werden.
Fazit
Das Erreichen von Zero Trust ist ein ständiger Prozess. Die Bewältigung der Komplexität erfordert mehr als nur den Einsatz von Technologie. Die Integration gezielter Sicherheitsschulungen und Programmen zur Sensibilisierung der Benutzer ist der Schlüssel zu einer erfolgreichen Formel. Es geht nicht nur darum, die richtigen Technologien einzusetzen, sondern auch darum, die Cyberabwehr von einer isolierten Funktion in eine gemeinsame, fähigkeitsorientierte Verantwortung zu verändern.
Über den Autor:
Ryan Chapman ist Instructor beim SANS Institute.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
