In der heutigen digitalen Welt sind Unternehmen einem noch nie dagewesenen Maß an Cyberrisiken ausgesetzt. Im Mai veröffentlichten wir ein Whitepaper mit dem Titel „Neue digitale Welt mit Zero-Trust absichern: Wie Zero-Trust-Cybersicherheit die IoT-Industrie (Internet der Dinge) verändert“ veröffentlicht. Darin führten wir aus, wie Sie Ihre Daten, Anlagen, Anwender und das Internet der Dinge vor böswilligen Hackerangriffen mit Hilfe des Zero-Trust-Frameworks schützen können, das alle Netzwerkaktivitäten als potenziell schädlich betrachtet, bis das Gegenteil bewiesen ist. Nachdem wir nun den technischen Teil besprochen haben, lassen Sie uns einen Blick auf die Best Practices für die Abstimmung mit der Unternehmensführung auf dem Weg zu Zero-Trust werfen.
Wenn man die Vorteile von Zero-Trust bei der Abwehr von Cyberrisiken mithilfe von robusten, gegen böswillige Angreifer gerichteten Schutzmaßnahmen, Protokollen und Sicherheitspraktiken betrachtet, liegt der Schluss nahe, dass es einfacher ist, Unternehmen auf das perimeterlose Modell auszurichten. Allerdings sind viele Firmen noch weit davon entfernt. Aus einer Studie von Okta aus dem Jahr 2020 geht hervor, dass etwa 40 % der Unternehmen weltweit an Zero-Trust-Projekten arbeiten. In diesem Blogbeitrag werden wir Strategien erörtern, mit denen Sie Zero-Trust als ein wichtiges Cybersicherheits-Framework den Entscheidungsträgern in Ihrem Unternehmen vorstellen können.
Sich für Zero-Trust vor den Führungskräften in Ihrer Organisation einsetzen
Zero-Trust erfordert in der Regel die Zustimmung vieler Ebenen und Abteilungen im Unternehmen, darunter häufig von der IT, dem Management und dem Betrieb. Um die Zustimmung von der IT und den Geschäftsentscheidern für den Weg zum Zero-Trust einzuholen, sollten Sie die Ziele und Bedürfnisse der jeweiligen Abteilungen berücksichtigen und ihre Sprache sprechen. Einige Geschäftsbereiche sind vielleicht eher an der Verringerung des Cyber-Risikos interessiert, während andere sich um die Beeinträchtigung der Arbeitsabläufe der Benutzer Sorgen machen oder einfach nur nicht gewillt sind, am Status quo zu rühren. Die Implementierung von Zero-Trust kann manchmal wie ein komplexer Verkaufsvorgang vorkommen. Um für das Cybersicherheits-Framework erfolgreich zu werben, müssen Sie mitunter gegenüber allen beteiligten Interessengruppen (Management, IT, Betrieb) individuell argumentieren, um deren Zustimmung zu erhalten.
Verschiedene Führungskräfte reagieren auf unterschiedliche Geschäftsszenarien für Zero-Trust. Bei Kunden oder Partnern, die verstärkte Sicherheitsanforderungen haben, können Sie mit einer besseren Einhaltung von Vorschriften durch Zero-Trust argumentieren. Bei anderen können Sie die Vorteile der Skalierbarkeit unterstreichen und erwähnen, dass bestimmte Zero-Trust-Architekturen die Skalierung von Anwendungen ermöglichen und für den Cloud-Zugang geringere Investitionen als herkömmliche, weniger effektive Sicherheitsmaßnahmen erfordern. Und schließlich ist die geringere Anfälligkeit für Cyber-Bedrohungen ein klarer Anreiz. Nutzen Sie Daten und Fakten, um Ihre Argumente für eine Risikominderung zu untermauern. Externe Experten, die Ihr Unternehmen in Bezug auf Best Practices beraten und die Argumente für Zero-Trust darlegen können, sind ebenfalls eine große Hilfe. Wenn Sie sich für diese Option entscheiden, vergewissern Sie sich, dass sich Ihre externen Partner mit Ihrer Branche bestens auskennen und die Geschäftssprache Ihrer Führung sprechen.
Die praktischen Aspekte der Zero-Trust-Implementierung verstehen
Unternehmen sollten sich auch darüber im Klaren sein, wie sich die Implementierung der Cybersicherheit auf den Endnutzer auswirkt. Welche Auswirkungen werden Maßnahmen wie Multi-Faktor-Authentifizierung, Passwortsicherheitsrichtlinien und neue Sicherheitslösungen auf die Fähigkeit der Anwender haben, auf Daten zuzugreifen und tägliche Arbeit zu erledigen? Werden die Sicherheitspraktiken als zu übertrieben empfunden, können die Nutzer versucht sein, die Richtlinien zu umgehen oder zu ignorieren, indem sie z. B. Logins teilen oder sensible Daten offline speichern. Diese Faktoren sollten von Anfang an berücksichtigt werden. Informelle Gespräche mit internen Interessengruppen vor der Einführung neuer Anbietersysteme und Cyberlösungen können dazu beitragen. Des Weiteren kann die frühzeitige Identifizierung potenzieller Hindernisse dabei helfen, Gespräche mit dem Management, dem Betrieb und der IT über die konkrete Umsetzung von Zero-Trust-Praktiken realistischer zu machen.
Auf dem Weg zur Implementierung von Zero-Trust sollten Sie proaktiv vorgehen und neben den Anforderungen Ihres Unternehmens in Bezug auf den Anlagen- und Datenschutz auch die Reaktion der Endbenutzer auf neue Sicherheitsprotokolle bedenken. Wenn Sie befürchten, dass die Benutzer den unbequemen Sicherheitsänderungen skeptisch gegenüberstehen werden, sollten Sie überlegen, mit welchen Strategien Sie dieses Problem durch bessere Kommunikation lösen könnten. Eine Lösung besteht darin, die Mitarbeiter und Endnutzer über die direkten Vorteile der Sicherheitspraktiken aufzuklären. Das ist vor allem sinnvoll, wenn sie für sich durch einen eingeschränkten Zugang, neue Sicherheitsprotokolle wie automatische Abmeldungen und Sperren sowie höhere Anforderungen an die Zwei-Faktor-Authentifizierung Unannehmlichkeiten befürchten. Indem Sie die Benutzer darüber aufklären, wie Zero-Trust-Protokolle sie und das Unternehmen schützen, sorgen Sie dafür, dass sich die Anwender mit höherer Wahrscheinlichkeit an die Sicherheitsprotokolle halten werden.
Zero Trust als ein kommerzielles Unterscheidungsmerkmal
Immer mehr Kunden sind loyaler gegenüber Unternehmen mit einer starken Cybersicherheit. Partner vertrauen eher Unternehmen mit Priorität für Best Practices im Bereich der Cybersicherheit. Für Investoren sind Best Practices der Cybersicherheit unverzichtbar. Für die meisten Kunden klafft jedoch eine große Lücke zwischen den Erwartungen und der Realität. Laut einer Studie aus dem Jahr 2020 glauben 70 % der Verbraucher in Nordamerika, dem Vereinigten Königreich, Frankreich und Deutschland, dass sich Unternehmen nicht genug um den Schutz ihrer persönlichen Daten kümmern. Dieselbe Studie ergab, dass 59 % der Verbraucher es wahrscheinlich vermeiden würden, mit einem Unternehmen Geschäfte zu machen, das in den letzten 12 Monaten von einem Cyberangriff betroffen war.
Unternehmen, die der Cybersicherheit einen hohen Stellenwert einräumen, sind besser für den Geschäftsbetrieb gerüstet. Auch wenn die Verringerung des Risikos von Cyberangriffen in der Regel das wichtigste Ziel ist, können Unternehmen mit einer stärkeren Cybersicherheit auch kommerzielle Vorteile in Form einer stärkeren Kundenbindung sowie vertrauensvolleren Partnerschaften und Stakeholder-Beziehungen genießen. Wenn Sie intern für Zero Trust werben, sollten Sie auch die kommerziellen Vorteile von Best Practices im Bereich der Cybersicherheit für die Wachstumsaussichten Ihres Unternehmens sowie den langfristigen Mehrwert für Kunden und Aktionäre unterstreichen.
Der Weg zum Zero-Trust ist lang und erfordert oft die Zustimmung der Beteiligten aus vielen verschiedenen Geschäftsbereichen Ihres Unternehmens. Um dies zu erreichen, sollten Sie daran denken, neben der Verringerung des Cyberrisikos auch die geschäftlichen Vorteile hervorzuheben.
Erfahren Sie mehr über Zero Trust in unserem Whitepaper, das Ihnen hier zur Verfügung steht: „Neue digitale Welt mit Zero-Trust absichern.“