Vertrauen neu definiert: Zero Trust
Sicherheit setzt Vertrauen voraus, denn nur wenn ich mich auf den gewährten Schutz verlassen kann, bewege ich mich unbeschwert und sicher. Es gilt, das Böse von aussen fernzuhalten, damit man innerhalb des Kreises des Vertrauens sich frei bewegen und agieren kann. So sind die meisten Unternehmen noch heute aufgebaut: Hohe Mauern aus Firewalls, und rund um das Unternehmen hat es demilitarisierte Zonen, um jegliche Eindringlinge von aussen abzufangen und um die internen Ressourcen und Daten vor Cyberangriffen zu bewahren. Es findet ein regelrechtes Wettrüsten zwischen Angreifern und Abwehrstrategen statt. Die Mitarbeiter in den Organisationen fühlen sich gut geschützt und haben ein grosses Vertrauen in ihre Security-Spezialisten und deren Technik. Aber gerade dort, wo grosses Vertrauen geschenkt wird, lauert oft auch immer die grösste Gefahr. Nicht selten sind es die Mitarbeiter, die gezielt anvisiert und deren Vertrauen ausgenutzt werden, die dann letztlich das infiltrierte Attachment öffnen oder den gefährlichen Link anklicken. Das viele Schulen des Sicherheitsbewusstseins in den Unternehmen verhindert leider nicht, dass wir praktisch täglich von lahmgelegten Unternehmen in der Zeitung lesen müssen, weil wieder eine Ransomware-Attacke erfolgreich war.
Und nun bröckelt die Sicherheits-Mauer rund ums Unternehmen und bekommt zusätzliche Risse. Der zunehmende Trend, die Ressourcen in die Cloud zu verlegen, sowie auch die Mobilität der Mitarbeiter haben die Sicherheitsarchitekturen der Unternehmen bereits stark strapaziert. Und nun wurde mit der Coronakrise der Arbeitsplatz über Nacht in das Schlafzimmer des Mitarbeiters verlegt, wo die Cybersicherheit in aller Regel nicht den gleichen Stellenwert geniesst wie beim Arbeitgeber. Die Sicherheitsexperten haben schlicht nicht mehr genügend Finger, um all die Löcher zu stopfen, die sich derzeit auftun. Sicherheit so als reines Risiko abzutun, das es bis zu einem gewissen Grad zu ertragen gilt, wirkt schon fast fahrlässig.
Es braucht nun ein völliges Umdenken hinsichtlich Sicherheit in der Unsicherheit. Das Vertrauen muss neu definiert werden. Das Konzept "Zero Trust" wurde von Forrester bereits vor zehn Jahren als neuer Lösungsansatz vorgestellt. Vertraue niemandem, weder intern noch extern: keiner Ressource, keiner Applikation, keinem Menschen. Der Fokus des Schutzes gilt den Daten, über die nun vollständige Transparenz gefordert wird. Jede Ressource, Applikation oder jeder Mitarbeiter muss sich verlässlich authentisieren können, wenn darauf zugegriffen werden will. Und starke Verschlüsselung gilt es für Speicherung, Verarbeitung und Transport, unabhängig vom Ort durchzusetzen. Social Distancing im Cyberumfeld wird gewöhnungsbedürftig. Dafür steigt aber hoffentlich auch wieder das Vertrauen.