Die Zero-Trust-Strategie ist ähnlich gedacht wie unser Grundgesetz. Grundsätzlich geht man von der Boshaftigkeit des Menschen aus und hat die entsprechenden Gesetze weitgehend so geschaffen, dass niemand ungestraft davonkommen kann, wenn er die Regeln verletzt. Aus demokratischen Erwägungen ist dies allerdings nicht 100% durchgängig und kontrollierbar. Dies zeigt auch schon auf, dass es sehr wohl möglich ist, die Regeln zu brechen und davon zu kommen.
Bedrohungen im Unternehmen und das Verletzen der Sicherheitskonzepte in einem Unternehmen sind inzwischen zu Schreckgespenstern geworden, welche oftmals gar nicht so gespenstisch sind, sondern sehr real vorhanden und ein tägliches Ringen um Schutz nötig macht.
Welche Strategie ist am wirksamsten?
Eines muss auch hier klar sein, einen 100% Schutz gibt es trotz aller Bemühungen nicht. Doch eine Strategie hat sich inzwischen am Wirksamsten erwiesen, das sogenannte „Zero Trust Concept“, zu Deutsch „Null Vertrauen Strategie“, hat sich bereits seit längerem bewährt.
Zero Trust heißt also auch 100% Misstrauen. Deshalb geht diese Strategie davon aus, dass Bedrohungen und die Auswirkungen von Datenverletzungen von einfach überall herkommen können. Es gibt keine Quelle, kein Gerät, kein System, keine Anwendung und auch kein Benutzer innerhalb und außerhalb des Firmennetzes, der von einer Bedrohung oder einem Angriff ausgenommen werden kann. Das heißt dann auch, dass jeglicher Datenverkehr überwacht werden muss und jedes Gerät, jeder Dienst oder Benutzer ohne mehrfache Authentifizierung keinen Zugang hat. Kein USB–Stick sollte das Unternehmen verlassen, ohne genaue Identifizierung der mitgenommenen Daten, einer Genehmigung der Mitnahme und deren Verwendung. Jedes Smartphone hat einen Speicher oder sogar die Möglichkeit, Daten in eine Cloud zu verschieben, die dann von überall und jedem abgerufen werden können, denen der Zugang vom Uploader ermöglicht wurde. Es ist ein beinahe unmögliches Unterfangen, Daten zu 100% zu schützen, wer wirklich kriminelle Energie in den Datenraub steckt, wird immer einen Weg finden.
Wie bewerten Sie Ihre IT in Bezug auf diese Anforderung an die Sicherheit?
Die heutigen Arbeitsumgebungen bieten die Möglichkeit, dass sich die Sicherheitsbedrohungen von vielen Seiten ermöglichen. Ein IT-Team wird in Bezug auf den Schutz der Daten große Mühe haben diesen durchzusetzen. Ein weiterer Faktor ist der Druck durch Befürchtungen, man könne eine Datenschutzverletzung unter der neuen DSVG übersehen oder sogar durch fehlenden Schutz fördern. Doch wie weit kann man Mitarbeiter beim Arbeitsfluss behindern, gängeln oder ständig und offensichtlich kontrollieren. Das offene Scheunentor für Missbrauch ist gleichzeitig die Grundlage der modernen Arbeit, die auf Vertrauen basiert, dass die vorhandene mobile Cloud-Umgebung nicht missbraucht wird, traditionelle Sicherheitskontrollen können hier nicht mehr greifen.
Wie steht es um Ihre Sicherheit?
Um Ihre eigene IT zu bewerten und das dahinterstehende Sicherheitskonzept zu evaluieren, sollten Sie eine tiefgreifende und grundsätzliche Analyse des Datenflusses in Ihrem Unternehmen durchführen.
Da das Zero-Trust-Konzept auf einem Grundsatz des Misstrauens basiert, ist die Einführung äußerst sensibel durchzuführen. Bei unzureichender Kommunikation führt dies mit großer Wahrscheinlichkeit zu Kulturproblemen im Unternehmen.
