Der Gartner Zero Trust Market Guide 2020 sagt voraus, dass in nur zwei Jahren 80 Prozent der Unternehmen über Zero Trust Network Access (ZTNA) adaptiert und so auf ihre internen Applikationen zugreifen werden. Nach dem Report werden darüber hinaus ZTNA-Sicherheitslösungen schon bald herkömmliche Sicherheitslösungen, wie Virtual Private Networks (VPN) verdrängen, die für Remote Mitarbeiter oder Drittparteien beim Fernzugriff eingesetzt werden.
ZTNA und andere Cloud-basierte Sicherheitsansätze rücken aus zwei Gründen in den Mittelpunkt der IT-Planungen:
- Herkömmliche Lösungen unterstützen Initiativen zur Transformation von Unternehmensnetzwerken nicht adäquat.
- Große, auf hardwarebasierte Sicherheit ist oft teuer und skaliert nicht, um dem zusätzlichen Datenverkehr Herr zu werden, der durch die Cloud entsteht.
Im vergangenen Januar hätte ich Gartners optimistischer Einschätzung der ZTNA-Akzeptanz zugestimmt. Dann kam die COVID 19-Krise. Unternehmen verlagerten ihre Anstrengungen auf die Aufrechterhaltung ihres Geschäftsbetriebs. In Zeiten großer Unsicherheit wurde dabei auf bekannte Technologien zurückgegriffen, so dass Unternehmen mit der Erweiterung bestehender VPN-Systeme auf die besondere Situation reagierten (auch wenn es sich dabei nicht unbedingt um den besten Lösungsansatz handelte). Aber als ganze Organisation zu Work-from-Home (WFH)-Szenarien übergingen, wurde die Umsetzung langfristiger und strategischer Sicherheitspläne zugunsten taktischer Initiativen ausgesetzt.
Nach dem „Tag eins“ der Krise nahmen die Business-Continuity-Pläne (BCP) im weiteren Verlauf drei verschiedene Wege: Unternehmen agierten entweder vorsichtig, bedächtig oder couragiert. Dabei möchten wir hier den Vergleich mit dem Sprungturm im Schwimmbad ziehen, bei dem sich die drei Kinder auf drei unterschiedlichen Ebenen des Sprungbretts wiederfinden: auf dem Ein-Meterbrett, auf drei und auf fünf Metern Höhe.
Vorsichtig
Das erste Kind auf der niedrigsten Höhe - dem Ein-Meterbrett - springt direkt ins Wasser: geringes Risiko, geringe Bedenken. Dies ist der „vorsichtige“ Ansatz. Im Kontext der Unternehmenssicherheit beinhaltet der Business-Continuity-Plan mit der Metapher des Sprungbretts die Aufstockung von VPN-Kapazität, um den aktuellen „Work-from-Home“-Anforderungen gerecht zu werden. Solange auf die erforderliche Kapazität aufgestockt wurde, können konsistent agierende Unternehmen mit geringen Einschränkungen im laufenden Betrieb oder auf die Produktivität wie bisher weiteroperieren.
Der vorsichtige Ansatz bietet unterbrochenen Anwendungszugriff ohne neue Tools oder Systeme. Längerfristige Pläne zur Umgestaltung des Netzwerks werden nicht beeinträchtigt, und der Geschäftsbetrieb läuft weiter wie bisher. Es gibt nicht genug (oder gar keine) Schmerzen, um einen Wechsel zu einer Zero Trust-Strategie einzuleiten.
Im Hinblick auf die Sicherheit verlieren diese Unternehmen allerdings, denn die inhärenten VPN-Risiken steigen exponentiell an. WFH erhöht das Risiko für das Netzwerk. Eine größere Anzahl von VPN-Usern erhöht die Angriffsfläche des Netzwerks: Perimeter-basierte Sicherheit muss jede einzelne Remote-Netzwerkverbindung umschließen (Jeder Remote-Mitarbeiter kann quasi als neue Zweigstelle betrachtet werden). Diese erweiterte Angriffsfläche bleibt so lange bestehen, bis sich die Umstände ändern. Und Bedrohungsakteure setzen genau dort an, wie beispielsweise der REvil-Angriff auf ungepatchte VPN-Server belegt.
Wenn es um den Schutz der „Kronjuwelen“ eines Unternehmens geht, können weiterhin Legacy-Lösungen wie Virtual Routing and Forwarding (VRF), Firewalls oder Network Access Control (NAC) eingesetzt werden, um zu kontrollieren, wer auf was im Netzwerk zugreift. Unternehmen sollten sich jedoch darüber im Klaren sein, dass diese Legacy-Lösungen teuer in der Implementierung und komplex in der Verwaltung sind.
Alles in allem ein Ansatz, welcher die Problematik (durch Corona ausgelöst) gelöst, allerdings nicht gemeistert hat, geschweige denn ist das Unternehmen IT-technisch in der Umsetzung neuer Modelle weitergekommen. Die Unternehmen liegen eher zurück und binden sich durch Legacy Modelle vertraglich für die nächsten Jahre. Hohe Kosten und Komplexität sind die Folge.
Bedächtig
Das nächste Kind klettert auf das Drei-Meterbrett: höheres Risiko, und etwas mehr Bedenken. Dies ist vergleichbar mit einem bedachten Unternehmenskurs. Organisatorisch stellen sich solche Unternehmen schnell auf die neue Krisenrealität ein. Die Erweiterung der Kapazität von Legacy-Systemen, um Remote-Mitarbeiter funktionsfähig zu machen, würde intensive (und wahrscheinlich kostspielige) Anstrengungen erforderlich machen. Bei der Evaluierung erkennt die Unternehmensführung, dass veraltete Netzwerksicherheitstechnologien eine Einschränkung für die Flexibilität bedeuten. In diesem Fall stellt die Pandemie ein Anwendungsszenario dar, um Zero Trust als Lösung für die Netzwerktransformation auf den Prüfstand zu stellen. Es bietet sich die Chance für Testgruppen, um die Funktionalität von ZTNA mit VPNs zu vergleichen. (Für die Einführung einer ZTNA-Lösung empfiehlt Gartner Research den Einsatz einer Pilotgruppe, um Transformationslösungen im Vergleich zu Legacy-Netzwerken zu evaluieren.)
Die Unternehmung entscheidet sich für eine kurzfristige Beantwortung der Krisenrealität auf Basis von Legacy, hat allerdings sich strategisch mittel bis langfristig auf Zero Trust festgelegt.
An einer ganzheitlichen Transformation sind in der Regel zahlreiche Interessengruppen im Unternehmen beteiligt. Das bedeutet, dass Unternehmen vielfältige architektonische Risiken und Bedenken berücksichtigen müssen. Während die Pandemie den Adoptionsprozess vermutlich beschleunigte, hängt das Fortfahren mit einem Zero Trust-Ansatz auch von dem Erkennen der damit einhergehenden Vorteile ab. Außerdem wurden durch einen Testlauf weitere (z.B. vertragliche oder finanzielle) Verpflichtungen deutlich, die mit Legacy-Architekturen verbunden sind.
Jetzt ist es an der Zeit, Auswertungen des Tests von Zero Trust gegenüber Legacy-Lösungen zu evaluieren. Durch diese Erkenntnisse kann das Interesse anderer Teams und Geschäftseinheiten im Unternehmen geweckt werden. Unternehmen sollten sich dafür Unterstützung von Zero Trust-Anbietern oder vertrauenswürdigen Beratern und internen Champions holen.
Couragiert
Das dritte Kind klettert bis auf das Fünf Meter-Sprungbrett: hohes Risiko, große Bedenken vor dem Sprung. Das Fünf-Meterbrett mag auf den ersten Blick Respekt-einflösend wirken und dadurch Unsicherheit oder sogar Angst auslösen. Bei dieser Option ist Courage gefragt. Das couragierte Unternehmen hält nicht an überkommenen Architekturen fest oder nimmt die Transformation halbherzig vor, sondern startet sofort mit seiner Transformationsstrategie durch. Dieser Ansatz birgt ein Risiko in sich. Die Einführung einer neuen Transformationstechnologie bei gleichzeitiger Bewältigung der Pandemie geht mit Herausforderungen in Bezug auf Ressourcen, Kosten und Reaktionsfähigkeit einher.
Der Ersatz von Legacy-VPN-Systemen durch eine Zero Trust-Lösung ist dennoch ein geeigneter erster Schritt. Das IT-Team ermöglicht daher erst einmal Zugriff zu Anwendungen auf welche die Benutzer zugreifen (ähnlich wie mit dem Legacy VPN). Hierdurch erfährt man die Sichtbarkeit wo sich die Anwendungen befinden (in einem internen Rechenzentrum oder in einer Cloud-Umgebung). Die schiere Anzahl von Anwendungen mag IT-Administratoren angesichts der Verbreitung von Schatten-IT überraschen (und oft überrascht ebenso der fehlende vorhandene Überblick in den Datenverkehr der User zu diesen Apps). Sobald die Sichtbarkeit gewonnen ist, kann der Kontext hergestellt werden und die IT kann die Richtlinien festlegen, welche Benutzer auf welche interne und externe Anwendungen zugreifen dürfen. Ein umfassendes Audit zu den Datenströmen und zum Applikationsinventar bringt einen guten Einblick sowohl in den Netzwerkverkehr des Unternehmens als auch in das Verhalten der User im Netzwerk.
Das Festlegen von Richtlinien in einer Zero Trust-Architektur kann - zumindest am Anfang - wie eine entmutigende Aufgabe erscheinen. Aus diesem Grund entscheiden sich viele Unternehmen dafür, von einem niedrigeren Sprungbrett aus in den Transformationspool zu springen. Sie befürchten, dass die Richtlinien die Produktivität der Mitarbeiter behindern (zu restriktiv) oder die Angriffsfläche des Netzwerks vergrößern (zu freizügig).
Aber mit dem höheren Risiko kommt auch die größere Belohnung: couragierte Unternehmen profitieren von den unmittelbaren Vorteilen einer Zero Trust-Lösung, wie höhere Sicherheit und bessere Leistungsfähigkeit, und schaffen eine agile Konnektivitätsumgebung, die sich an Veränderungen anpassen kann. Zero Trust unterstützt die Art der Netzwerktransformation, die Unternehmen Wettbewerbsvorteile und bessere Kundenerfahrungen verschafft. (Und diese Auswirkungen werden wichtig sein, wenn wir die aktuelle Krise überwunden haben).
Eintauchen in Zero Trust
Die drei Antwortstrategien auf die Pandemie sind wie unsere drei Turmspringer: Sie können alle einen sauberen und sicheren Sprung in den Transformationspool hinlegen, ohne harten Aufprall. Die Geschäftskontinuität während der Pandemie erforderte einen Herkules-artigen Kraftakt, egal welchen Weg ein Unternehmen wählte. Der Unterschied liegt darin, wie die Unternehmen aufgestellt sind, wenn die Krise überwunden ist.
„Vorsichtige“ Unternehmen werden letztlich genauso weitermachen wie bisher. Dabei hinken sie in ihrer Transformation allerding der Konkurrenz einen Schritt hinterher. „Bedächtige“ Unternehmen werden über aussagekräftige Daten verfügen, die sie für die Weiterentwicklung ihrer Strategiepläne nutzen können. Und „couragierte“ Unternehmen werden die Nase vorn haben, da die Vorteile einer ganzheitlich umgesetzten Transformation ihre Geschäftsziele voranbringen.
Es gibt viele Diskussionen über die Frage, was nach der Pandemie passieren wird. Werden wir jemals zu einem Normalzustand zurückkehren oder hatte die Pandemie Katalysatorfunktion? Meiner Meinung nach werden WFH-Richtlinien und -Praktiken ein fester Bestandteil der Unternehmenskultur werden, eine „Go-to“-Strategie als Teil der Business Continuity-Planung und letztlich ein Einstiegspunkt für die Netzwerktransformation selbst. Der Bedarf an flexiblem, skalierbarem und sicherem Anwendungszugriff bleibt bestehen. Deshalb ist jetzt ein guter Zeitpunkt mit der Netzwerktransformation zu beginnen und auf das höchste Sprungbrett zu klettern.
