Dr. Silvia Knittl ist Director im Bereich Cyber & Privacy bei PwC Deutschland und Leiterin des Teams Enterprise Security Architekten. Sie unterstützt Kund:innen bei der Aktivierung ihrer Cyber-Fähigkeiten und betreut Sicherheitstransformationsprojekte. Bei den diesjährigen Internet Security Days (ISD) wird sie einen Vortrag zum Thema Zero-Trust halten und gibt im eco Interview einen ersten Einblick.
Welche potenziellen Risiken und Herausforderungen könnten entstehen, wenn Unternehmen oder Organisationen den Zero-Trust-Ansatz aufgeben und zu einem traditionelleren Sicherheitsmodell zurückkehren?
Wenn Organisationen zum traditionellen Sicherheitsmodellen zurückkehren, würde das zu einem erhöhten Risiko von Cyberangriffen führen: Der Zero-Trust-Ansatz basiert ja auf der Idee, dass kein Netz, Gerät oder Benutzer automatisch als vertrauenswürdig angesehen wird. Wenn dieser Ansatz aufgegeben wird, erhöht sich das Risiko, dass Angreifer leichter in das Unternehmensnetz eindringen und sensible Daten stehlen können.
Zudem wären die Zugriffskontrollen schwächer, da Zero Trust einen großen Wert auf eine strikte Zugriffskontrolle basierend auf Identität und Kontext legt. Solche Kontextinformationen, die für Zugriffsentscheidungen herangezogen werden, sind etwa der Gerätestatus, die Art der gewünschten Transaktion oder der Ort, von dem aus zugegriffen werden soll. Ein herkömmlicher Ansatz könnte zu lockereren Zugriffskontrollen führen, was es Angreifern ermöglichen könnte, leichter unberechtigten Zugriff auf Systeme oder Daten zu erhalten.
Darüber hinaus besteht das Risiko der schlechteren Erkennung von Insider-Bedrohungen. Zero Trust betrachtet explizit auch die Möglichkeit von Insider-Bedrohungen, bei denen bereits autorisierte Benutzer böswillige Absichten haben könnten. Traditionelle Ansätze könnten die Erkennung solcher Bedrohungen erschweren und die Reaktionszeit auf solche Vorfälle verlangsamen.
Welche Auswirkungen hätte die Abschaffung von Zero Trust auf die Compliance-Anforderungen und die Einhaltung von Datenschutzbestimmungen? Gibt es spezifische Regelungen oder Standards, die durch die Beibehaltung des Zero-Trust-Modells erleichtert werden?
Zero Trust betont die Notwendigkeit von strengen Kontrollen, z.B. im Rahmen einer umfassenden Identitätsverwaltung. Dadurch wird sichergestellt, dass nur berechtigte Personen oder Anwendungen Zugriff auf sensible oder personenbezogene Daten haben. Wenn dieses Modell aufgegeben wird, könnte es schwieriger werden, die Anforderungen von Datenschutzbestimmungen einzuhalten.
Zudem könnte die Abschaffung von Zero Trust zu lockereren Sicherheitsmaßnahmen führen, was es Angreifern möglicherweise leichter macht, Geschäftsgeheimnisse oder geistiges Eigentum zu stehlen. Dies kann nicht nur zu Compliance-Verletzungen führen, sondern auch das Unternehmen finanziell und wettbewerbsfähig schädigen.
Die Beibehaltung des Zero-Trust-Modells kann dazu beitragen, die Einhaltung bestimmter Regelungen und Standards zu erleichtern, wie etwa die Regelungen der Datenschutz-Grundverordnung durch Betonung von strikten Zugriffskontrollen, Datenschutz und -sicherheit im Zero-Trust-Modell. In den USA hat das National Institute of Standards and Technology (NIST) ein Cybersecurity Framework entwickelt, das bewährte Praktiken für die Verbesserung der Cybersicherheit enthält. Das Framework fördert unter anderem die Implementierung von Zero-Trust-Sicherheitspraktiken, um den Schutz von Ressourcen zu verbessern. Im digitale Gesundheitswesen hat die gematik im Rahmen der Aktualisierung der Vorgaben zur Telematikinfrastruktur (TI) den Zero-Trust-Ansatz als modernen Ansatz gewählt.
Welche Rolle spielen die zunehmende Digitalisierung und die Verlagerung von Ressourcen in die Cloud bei der Bedeutung des Zero-Trust-Ansatzes? Sind herkömmliche Sicherheitsmodelle ausreichend, um mit den aktuellen Entwicklungen und Angriffstechniken Schritt zu halten, oder ist Zero Trust hier die bessere Wahl?
Die zunehmende Digitalisierung und die Verlagerung von Ressourcen in die Cloud haben die Bedeutung des Zero-Trust-Ansatzes verstärkt. Herkömmliche Sicherheitsmodelle waren in der Vergangenheit oft darauf ausgerichtet, das eigene Unternehmensnetz zu schützen, indem sie eine innere Perimeterverteidigung errichteten und die Benutzer, Geräte oder Anwendungen innerhalb dieses Netzwerks als vertrauenswürdig betrachteten. Dieser Ansatz wurde jedoch durch die Entwicklung neuer Technologien und die sich verändernde Bedrohungslandschaft herausgefordert.
Daher ist der Zero-Trust-Ansatz in der heutigen digitalen Welt besonders relevant. Gerade durch die zunehmende Verlagerung von Ressourcen in die Cloud und die Einführung von mobilen Geräten und IoT-Geräten führt dazu, dass traditionelle Netzgrenzen verschwimmen. Ein Zero-Trust-Modell kann sicherstellen, dass nur Autorisierte Zugriff auf bestimmte Ressourcen erhalten − unabhängig davon, wo sie sich befinden.
Die moderne Arbeitswelt erfordert zunehmend flexible Arbeitsplatzmodelle, bei denen Mitarbeitende von verschiedenen Standorten und Geräten aus arbeiten können. Ein traditionelles Sicherheitsmodell, das stark auf einem physischen Perimeter basiert, ist möglicherweise nicht in der Lage, mit dieser Dynamik Schritt zu halten, während Zero Trust sich besser an solche Veränderungen anpassen kann.
Wir sehen, dass sich die Bedrohungslandschaft ständig weiterentwickelt und Angreifer nach neuen Schwachstellen suchen und immer raffiniertere Angriffstechniken anwenden. Zero Trust, das auf einer „Vertrauen ist gut, Kontrolle ist besser“-Mentalität basiert, kann meiner Meinung nach daher besser in der Lage sein, sich an diese sich verändernden Bedrohungen anzupassen und potenzielle Schwachstellen zu minimieren.
Obwohl herkömmliche Sicherheitsmodelle bestimmte Sicherheitsvorkehrungen bieten können, ist es zunehmend schwierig, mit den sich rasch entwickelnden Bedrohungen und Angriffstechniken Schritt zu halten. Zero Trust bietet eine proaktive und granulare Sicherheitsstrategie, die auf Prinzipien wie kontinuierlicher Überwachung, strikter Zugriffskontrolle und geringen Privilegien basiert. In der heutigen digitalen Ära, in der ausgelagerte Dienste, dezentrale Netze und ortsunabhängige Mitarbeit:innen die Regel sind, kann Zero Trust eine effektive Wahl sein, um die Sicherheitsanforderungen zu erfüllen und sensible Daten zu schützen.
Vielen Dank für das Interview, Frau Dr. Knittl!
Mehr Informationen zu den Internet Security Days 2023 gibt es hier.
