Zero Trust
Über Vertrauen und Kontrolle
Fortsetzung des Artikels von Teil 1
Eckpfeiler des Erfolgs
Der Start mit „Zero Trust“ fällt einem nicht in den Schoß. Mit ein paar Kniffen sind die ersten Schritte aber gut zu meistern. Zunächst muss man bei den Mitarbeitern/Beteiligten die Information verankern, dass die Firewall nicht mehr die Grenze zwischen „Gut und Böse“ ist. Dabei hat sich das bereits erwähnte Botschafter-Konzept bewährt: Personen, die sowohl die neuen Ansätze als auch die Auswirkungen auf die Organisation, das Geschäftsmodell, die Firma verstanden haben. Kurzum, es geht darum, die „neue Saat“ möglichst effektiv „in den Boden“ zu bringen, denn oft scheitern gute Veränderungen an Missverständnissen, fehlenden Informationen oder falscher Kommunikation. Diese Ressourcen müssen nicht zwingend in der eigenen Organisation vorhanden sein. Wichtiger ist, dass diese Leute den „richtigen Draht“ zu den Beteiligten finden. Idealerweise sind das die Entscheidungsträger und informelle Führungspersonen.
Dafür haben sich Workshops, Trainings und offene Diskussionsrunden bewährt. Das Minimalziel ist das Verständnis und die Akzeptanz der neuen Ansätze. Im besten Fall aber erwachsen daraus neue Befürworter, Begeisterung und neue „Botschafter“. Denn wie so oft, steht und fällt der Erfolg mit dem Mensch. Software, Werkzeuge, Prozesse sind dabei unterstützend, aber nicht treibend. Die Frage lautet also: Wie lässt sich der neue Ansatz transportieren? IT-Sicherheit findet mit Zero Trust auf Nutzer- beziehungsweise Maschinen-Ebene statt. Es spielt keine Rolle mehr, ob sich das Konstrukt innerhalb des Netzwerkes befindet oder außerhalb. Es ist nicht relevant, ob und welche Firewalls auf dem Netzwerkpfad zum Einsatz kamen. Es spielt keine Rolle, wo der Dienst oder Nutzer in der IT-Topologie auftaucht. Das Anrecht auf Zugriff oder Berechtigung ist extra auszuweisen. Diese Überprüfung erfolgt dann oft zweiseitig. „Ich beweise Dir, wer ich bin und Du überzeugst mich, dass Du diese Überprüfung durchführen darfst.“ Einfach gesagt: gegenseitig authentisieren und prüfen. Damit geht eine viel dynamischer Verwaltung von Passwörtern und „Geheimnissen“ einher.
Der zweite wichtige Punkt für die erfolgreiche Umsetzung von „Zero Trust“ ist die Wahl geeigneter Tools und unterstützender Software. Folgendes ist zu beachten:
- Trennung von „Know-how“ und „Know-what“
- Tools sollten das Projekt- und des Tagesgeschäfts von Anwender beziehungsweise Entwickler auch wirklich erleichtern (nicht verschlimmbessern)
- Wiederverwendbarkeit von existierenden Prozessen und Arbeitsabläufen
Je nach Geschäftsmodell sind unterschiedliche Softwareprodukte die richtige Antwort auf diese Anforderungen. Neue Ansätze erfordern häufig neue Werkzeuge. Das heißt aber nicht, dass alles was „vorher richtig“ war, jetzt „falsch ist“. Wichtig ist: Welche der existierenden Gerüste, Prozeduren, Abläufe sind in der Lage, Zero Trust zu unterstützen? Was lässt sich einfach anpassen? Wo ist ein Austausch oder gar ein Neuanfang unumgänglich? Hier ist der Brückenschlag die wichtigste Komponente. Sie verbindet den menschlichen Faktor mit der Technik. Anders gesagt: oft genug lassen sich die Techies über die „vertraute“ Software abholen als umgekehrt.
Die dritte Komponente für einen erfolgreichen Start mit Zero Trust ist der Einstiegspunkt des neuen IT-Sicherheitskonzeptes. Idealerweise erfolgt die Umsetzung von „Zero Trust“ für eine einzelne Anwendung oder Dienstleistung. Eine Art Pilot-Projekt ist ebenfalls denkbar. Die Prämisse sollte auf jeden Fall sein: diese Software läuft in der „unsicheren“ öffentlichen Cloud. Die traditionellen Sicherheitsgarantien sind nicht mehr gültig. Tatsächlich ist dieser Ansatz sehr nah an der Realität. Die Grenzen zwischen der IT in den eigenen vier Wänden und öffentlichen Cloud-Dienstleistern ist längst sehr verschwommen oder gar nicht mehr nachvollziehbar. In jedem Fall erleichtert dies auch den Paradigmenwechsel in den Köpfen der Anwender, Entwickler und Entscheider.
In weiteren Schritten erarbeiten Experten neue Richtlinien und praktizierbare Ansätze für die Anwendung. Dann erfolgt eine Qualitätsprüfung. Funktioniert alles, lässt es sich praxistauglich umsetzen oder müssen Seiteneffekte beziehungsweise andere sekundäre Auswirkungen bedacht werden?
Spätestens bei den ersten Implementierungen muss Automatisierung und die Verwendung entsprechender Software-Werkzeuge eine Rolle spielen. Die bereits erwähnten Schlüsselwörter lauten Wiederholbarkeit, Nachvollziehbarkeit und Abstraktion. IT-Sicherheit – und da ist „Zero Trust“ nicht anders – soll dem Anwender oder dem Entwickler die Arbeit nicht schwerer machen. Das Minimalziel ist keine signifikante Auswirkung des neuen IT-Sicherheitsansatzes auf das Tagesgeschäft. Idealerweise erkennen Anwender und/oder Entwickler sogar Erleichterungen beziehungsweise Verbesserungen – entweder bei der eigenen Arbeit oder sogar darüber hinaus.
Lance Haig, Regional Manager Solutions Engineering DACH, Hashicorp
- Über Vertrauen und Kontrolle
- Eckpfeiler des Erfolgs
Lesen Sie mehr zum Thema
