03.08.2023

ISD 2023: Drei Fragen an Dr. Silvia Knittl (PwC) zum Zero-Trust-Ansatz

Dr. Silvia Knittl ist Director im Bereich Cyber & Privacy bei PwC Deutschland und Leiterin des Teams Enterprise Security Architekten. Sie unterst√ľtzt Kund:innen bei der Aktivierung ihrer Cyber-F√§higkeiten und betreut Sicherheitstransformationsprojekte. Bei den diesj√§hrigen Internet Security Days (ISD) wird sie einen Vortrag zum Thema Zero-Trust halten und gibt im eco Interview einen ersten Einblick.

Welche potenziellen Risiken und Herausforderungen k√∂nnten entstehen, wenn Unternehmen oder Organisationen den Zero-Trust-Ansatz aufgeben und zu einem traditionelleren Sicherheitsmodell zur√ľckkehren?

Wenn Organisationen zum traditionellen Sicherheitsmodellen zur√ľckkehren, w√ľrde das zu einem erh√∂hten Risiko von Cyberangriffen f√ľhren: Der Zero-Trust-Ansatz basiert ja auf der Idee, dass kein Netz, Ger√§t oder Benutzer automatisch als vertrauensw√ľrdig angesehen wird. Wenn dieser Ansatz aufgegeben wird, erh√∂ht sich das Risiko, dass Angreifer leichter in das Unternehmensnetz eindringen und sensible Daten stehlen k√∂nnen.

Zudem w√§ren die Zugriffskontrollen schw√§cher, da Zero Trust einen gro√üen Wert auf eine strikte Zugriffskontrolle basierend auf Identit√§t und Kontext legt. Solche Kontextinformationen, die f√ľr Zugriffsentscheidungen herangezogen werden, sind etwa der Ger√§testatus, die Art der gew√ľnschten Transaktion oder der Ort, von dem aus zugegriffen werden soll. Ein herk√∂mmlicher Ansatz k√∂nnte zu lockereren Zugriffskontrollen f√ľhren, was es Angreifern erm√∂glichen k√∂nnte, leichter unberechtigten Zugriff auf Systeme oder Daten zu erhalten.

Dar√ľber hinaus besteht das Risiko der schlechteren Erkennung von Insider-Bedrohungen. Zero Trust betrachtet explizit auch die M√∂glichkeit von Insider-Bedrohungen, bei denen bereits autorisierte Benutzer b√∂swillige Absichten haben k√∂nnten. Traditionelle Ans√§tze k√∂nnten die Erkennung solcher Bedrohungen erschweren und die Reaktionszeit auf solche Vorf√§lle verlangsamen.

Welche Auswirkungen hätte die Abschaffung von Zero Trust auf die Compliance-Anforderungen und die Einhaltung von Datenschutzbestimmungen? Gibt es spezifische Regelungen oder Standards, die durch die Beibehaltung des Zero-Trust-Modells erleichtert werden?

Zero Trust betont die Notwendigkeit von strengen Kontrollen, z.B. im Rahmen einer  umfassenden Identitätsverwaltung. Dadurch wird sichergestellt, dass nur berechtigte Personen oder Anwendungen Zugriff auf sensible oder personenbezogene Daten haben. Wenn dieses Modell aufgegeben wird, könnte es schwieriger werden, die Anforderungen von Datenschutzbestimmungen einzuhalten.

Zudem k√∂nnte die Abschaffung von Zero Trust zu lockereren Sicherheitsma√ünahmen f√ľhren, was es Angreifern m√∂glicherweise leichter macht, Gesch√§ftsgeheimnisse oder geistiges Eigentum zu stehlen. Dies kann nicht nur zu Compliance-Verletzungen f√ľhren, sondern auch das Unternehmen finanziell und wettbewerbsf√§hig sch√§digen.

Die Beibehaltung des Zero-Trust-Modells kann dazu beitragen, die Einhaltung bestimmter Regelungen und Standards zu erleichtern, wie etwa die Regelungen der Datenschutz-Grundverordnung durch Betonung von strikten Zugriffskontrollen, Datenschutz und -sicherheit im Zero-Trust-Modell. In den USA hat das National Institute of Standards and Technology (NIST) ein Cybersecurity Framework entwickelt, das bew√§hrte Praktiken f√ľr die Verbesserung der Cybersicherheit enth√§lt. Das Framework f√∂rdert unter anderem die Implementierung von Zero-Trust-Sicherheitspraktiken, um den Schutz von Ressourcen zu verbessern. Im digitale Gesundheitswesen hat die gematik im Rahmen der Aktualisierung der Vorgaben zur Telematikinfrastruktur (TI) den Zero-Trust-Ansatz als modernen Ansatz gew√§hlt.

Welche Rolle spielen die zunehmende Digitalisierung und die Verlagerung von Ressourcen in die Cloud bei der Bedeutung des Zero-Trust-Ansatzes? Sind herkömmliche Sicherheitsmodelle ausreichend, um mit den aktuellen Entwicklungen und Angriffstechniken Schritt zu halten, oder ist Zero Trust hier die bessere Wahl?

Die zunehmende Digitalisierung und die Verlagerung von Ressourcen in die Cloud haben die Bedeutung des Zero-Trust-Ansatzes verst√§rkt. Herk√∂mmliche Sicherheitsmodelle waren in der Vergangenheit oft darauf ausgerichtet, das eigene Unternehmensnetz zu sch√ľtzen, indem sie eine innere Perimeterverteidigung errichteten und die Benutzer, Ger√§te oder Anwendungen innerhalb dieses Netzwerks als vertrauensw√ľrdig betrachteten. Dieser Ansatz wurde jedoch durch die Entwicklung neuer Technologien und die sich ver√§ndernde Bedrohungslandschaft herausgefordert.

Daher ist der Zero-Trust-Ansatz in der heutigen digitalen Welt besonders relevant. Gerade durch die zunehmende Verlagerung von Ressourcen in die Cloud und die Einf√ľhrung von mobilen Ger√§ten und IoT-Ger√§ten f√ľhrt dazu, dass traditionelle Netzgrenzen verschwimmen. Ein Zero-Trust-Modell kann sicherstellen, dass nur Autorisierte Zugriff auf bestimmte Ressourcen erhalten ‚ąí unabh√§ngig davon, wo sie sich befinden.

Die moderne Arbeitswelt erfordert zunehmend flexible Arbeitsplatzmodelle, bei denen Mitarbeitende von verschiedenen Standorten und Geräten aus arbeiten können. Ein traditionelles Sicherheitsmodell, das stark auf einem physischen Perimeter basiert, ist möglicherweise nicht in der Lage, mit dieser Dynamik Schritt zu halten, während Zero Trust sich besser an solche Veränderungen anpassen kann.

Wir sehen, dass sich die Bedrohungslandschaft st√§ndig weiterentwickelt und Angreifer nach neuen Schwachstellen suchen und immer raffiniertere Angriffstechniken anwenden. Zero Trust, das auf einer ‚ÄěVertrauen ist gut, Kontrolle ist besser“-Mentalit√§t basiert, kann meiner Meinung nach daher besser in der Lage sein, sich an diese sich ver√§ndernden Bedrohungen anzupassen und potenzielle Schwachstellen zu minimieren.

Obwohl herk√∂mmliche Sicherheitsmodelle bestimmte Sicherheitsvorkehrungen bieten k√∂nnen, ist es zunehmend schwierig, mit den sich rasch entwickelnden Bedrohungen und Angriffstechniken Schritt zu halten. Zero Trust bietet eine proaktive und granulare Sicherheitsstrategie, die auf Prinzipien wie kontinuierlicher √úberwachung, strikter Zugriffskontrolle und geringen Privilegien basiert. In der heutigen digitalen √Ąra, in der ausgelagerte Dienste, dezentrale Netze und ortsunabh√§ngige Mitarbeit:innen die Regel sind, kann Zero Trust eine effektive Wahl sein, um die Sicherheitsanforderungen zu erf√ľllen und sensible Daten zu sch√ľtzen.

Vielen Dank f√ľr das Interview, Frau Dr. Knittl!

Mehr Informationen zu den Internet Security Days 2023 gibt es hier.

ISD 2023: Drei Fragen an Dr. Silvia Knittl (PwC) zum Zero-Trust-Ansatz