Warum die Grundlagen der Sicherheit der am meisten vernachlässigte Aspekt bei der Einführung einer Zero-Trust-Strategie sind
Grundlegende Sicherheitsvorgaben scheitern aus demselben Grund, aus dem die meisten Fitnessvorsätze fürs neue Jahr scheitern.
Jeder weiß, was zu tun ist. Sie sollten sich gesünder ernähren, mehr schlafen und regelmäßig Sport treiben. Nichts davon ist kontrovers oder neu.
Und dennoch bleiben die meisten Fitnessstudio-Mitgliedschaften im Februar oder März ungenutzt.
Cybersicherheit funktioniert nach dem gleichen Prinzip.
Wir werden nicht ständig angegriffen, weil die Angreifer unendlich kreativ sind. Wir werden Opfer von Sicherheitslücken, weil Organisationen Schwierigkeiten haben, die grundlegenden Dinge konsequent und in großem Umfang umzusetzen. Und Zero Trust zeigt mehr als jedes andere Sicherheitsmodell, wie schwierig das in Wirklichkeit ist.
Diese Realität stand im Mittelpunkt eines kürzlich geführten Gesprächs im Podcast „The Segment “ mit Ross Haleliuk. Ross ist Mitbegründer und CEO eines im Stealth-Modus befindlichen Cybersicherheits-Startups, Moderator des Podcasts Inside the Network , Autor von Cyber for Builders und die Stimme hinter dem Newsletter Venture and Security , der eine der beständigsten und klarsten Perspektiven in der Branche bietet.
Dieser Beitrag erklärt, warum Zero-Trust-Sicherheit bei den Grundlagen gelingt oder scheitert und warum diese Lücke oft das wahre Ausmaß einer Sicherheitsverletzung bestimmt.
Der Mythos der „nächsten Generation“ Sicherheit
Die Branche erfindet jedes Jahr eine neue Sprache, um Sicherheitsinnovationen zu beschreiben.
Wie Ross es ausdrückte, sind die meisten Sicherheitsverletzungen jedoch nicht das Ergebnis neuartiger Angriffsketten oder exotischer Zero-Day-Exploits.
Stattdessen sind sie das Ergebnis von:
- Standardanmeldeinformationen, die nie geändert wurden
- Vermögenswerte, an deren Existenz sich niemand mehr erinnerte
- Ausnahmen wurden aus praktischen Gründen hinzugefügt und im Laufe der Zeitvergessen.
- Flache Netzwerke , die eine seitliche Bewegung ermöglichen, sobald ein Angreifer eingedrungen ist.
Hierbei handelt es sich nicht um bahnbrechende Fehler, sondern um einfache operative Probleme.
Eine Zero-Trust-Strategie beseitigt diese Probleme nicht auf magische Weise. Tatsächlich macht es sie dadurch sichtbarer.
Zero Trust zwingt Organisationen dazu, sich mit Fragen auseinanderzusetzen, die sie jahrelang vermieden haben: Was haben wir eigentlich? Wer sollte mit wem sprechen dürfen? Was passiert, wenn etwas schiefgeht?
Und genau deshalb kann Zero Trust überwältigend wirken.
Warum grundlegende Sicherheitsprinzipien im großen Maßstab versagen
Um die Grundlagen gut zu beherrschen, braucht es drei Dinge: Engagement, Konsequenz und Zeit.
Leider lässt sich keine dieser Lösungen ohne Weiteres in modernen Unternehmen skalieren.
Man kann nicht einfach einmal im Jahr eine Bestandsaufnahme der Vermögenswerte durchführen und das dann Zero Trust nennen. Es reicht nicht, die Berechtigungen für die Identitätsverwaltung nur alle paar Quartale zu überprüfen und zu erwarten, dass die Eindämmung funktioniert. Man kann Segmentierungsrichtlinien nicht einmal anwenden und davon ausgehen, dass sie auch bei sich ändernden Umgebungen gültig bleiben.
Grundlagen erfordern Wiederholung, und Wiederholung ist teuer.
Es ist wesentlich einfacher, ein Werkzeug zu kaufen, als die Arbeitsweise von Teams Tag für Tag zu verändern. Und es ist weitaus einfacher, ein Projekt zu genehmigen, als gleichzeitig Disziplin in den Bereichen Engineering, IT, Betrieb und Sicherheit durchzusetzen.
Zero Trust scheitert, wenn Organisationen den operativen Aufwand unterschätzen, der für dessen Aufrechterhaltung erforderlich ist.
Zero Trust ist ein Anreizproblem, kein Wissensproblem.
Sicherheitsteams werden dazu angereizt, Risiken zu minimieren. Die Entwicklerteams werden durch Anreize dazu motiviert, Code auszuliefern. IT-Teams werden dazu angehalten, Tickets schnell zu schließen. Vertriebsteams erhalten Anreize, um Abschlüsse zu erzielen.
Hier scheitert Zero Trust in der Praxis oft. Wir sagen gerne, dass Sicherheit jedermanns Aufgabe ist. Doch in Wirklichkeit ist das Sicherheitsteam das einzige, das anhand der Sicherheitsergebnisse gemessen wird.
Es ist unrealistisch zu erwarten, dass andere Teams Zero-Trust-Kontrollen von Natur aus Priorität einräumen, ohne dass dafür Anreize geschaffen werden.
Politische Maßnahmen allein lösen dieses Problem nicht. Tatsächlich schaffen sie oft mehr Ausnahmen als Durchsetzungsmaßnahmen.
Zero Trust ist dann erfolgreich, wenn Sicherheitsteams lernen, durch Einflussnahme zu führen. Sie bauen Beziehungen auf, erklären Kompromisse in betriebswirtschaftlichen Begriffen und stellen Kontrollen als Unterstützung statt als Hindernis dar.
Erfolg messen, wenn Verstöße unvermeidbar sind
Dies wirft auch die Frage auf, wie wir die Sicherheitsergebnisse innerhalb des Unternehmens messen. Laut Ross sind Organisationen darin oft nicht sehr gut.
Er bezog sich auf das Gedankenexperiment des Einhornproblems. Man kauft eine Box, die aufleuchtet, wenn sich ein Einhorn im Raum befindet, aber sie leuchtet nicht auf. Ist die Schachtel kaputt oder war da gar kein Einhorn? Das kann man nicht sagen.
Wenn es nicht zu einem Sicherheitsvorfall kommt, lag es dann daran, dass Ihre Kontrollmechanismen funktionierten oder daran, dass niemand genug unternommen hat?
Zero Trust löst dieses Messproblem nicht, aber es gibt ihm eine neue Perspektive.
Ziel der modernen Cybersicherheit ist es nicht, Sicherheitslücken um jeden Preis zu verhindern, sondern vielmehr deren Auswirkungen zu reduzieren, sie einzudämmen und die Widerstandsfähigkeit des Unternehmens zu erhalten.
Selbst Organisationen, die konsequent in fundamentale Kennzahlen investieren, können Opfer von Sicherheitslücken werden. Wenn sie es aber tun, wird die seitliche Bewegung eingeschränkt, die Erholung verläuft schneller, der Reputationsschaden ist geringer und die regulatorischen Gespräche sind rationaler.
Der Nachweis des ROI von Sicherheitsmaßnahmen macht Zero Trust zu einer unternehmerischen Entscheidung.
Der ROI von Sicherheitsmaßnahmen ist bekanntermaßen schwer zu quantifizieren, aber Ross bot einen pragmatischen Rahmen an, der gut mit dem Zero-Trust-Gedanken übereinstimmt:
- Wenn Kundenvertrauen mit Umsatz verbunden ist, wird Sicherheit zu einem Verkaufsförderer.
- Wenn Ausfallzeiten den Betrieb gefährden, wird Sicherheit zu einer Investition in die Resilienz.
- Wenn Compliance-Vorschriften Nachweise verlangen, wird Sicherheit zur Grundvoraussetzung.
In jedem Fall geht es bei Zero Trust darum, die Auswirkungen eines Sicherheitsverstoßes zu minimieren, wenn dieser unweigerlich eintritt. Das bedeutet, dass der ROI der Sicherheit nicht an der Vermeidung von Angriffen, sondern an der Aufrechterhaltung der Geschäftskontinuität gemessen wird.
Warum die Grundlagen von Zero Trust heute wichtiger sind denn je
Die Infrastruktur ist stärker vernetzt als je zuvor. Hybride Umgebungen verwischen traditionelle Grenzen. Cloud-, On-Premises- und Drittanbietersysteme fungieren als eine einzige, erweiterte Angriffsfläche.
In dieser Welt verstärkt Komplexität das Risiko.
Die Grundlagen von Zero Trust – einschließlich Asset-Transparenz, Zugriff nach dem Prinzip der minimalen Berechtigungen, Segmentierung und kontinuierliche Verifizierung – sind nicht nur bewährte Verfahren, sondern Überlebensmechanismen.
Angreifer brauchen keine Kreativität, wenn Organisationen ihnen Wege des geringsten Widerstands bieten. Sie nutzen das Vorhandene und setzen KI ein, um es nahezu mühelos zu gestalten.
Sich auf die Grundlagen zu konzentrieren bedeutet nicht, Innovationen abzulehnen, sondern sie in der Realität zu verankern.
Und wie beim Fitnesstraining ist die größte Herausforderung nicht zu wissen, was zu tun ist, sondern es morgen auch zu tun. Und am Tag darauf. Und jeden Tag danach.
Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.
%20(1).webp)
.webp)
.webp)
