In der heutigen digitalen und speziell durch auch Cybercrime, KI und Desinformation durchwachsenen Welt ist «Zero Trust, always verify» nicht mehr nur eine Option, sondern eine Notwendigkeit um als Gewinner und nicht als Verlierer aus der zunehmend hohen Dynamik der Cybersecurity Evolution und KI Revolution herauszugehen für die nächsten Jahren.
Zero Trust und Eliminierung des «alten Zopfes» vom impliziten Vertrauen als essentieller Teil der Cybersecurity & KI Readiness
In der heutigen digitalen Welt ist eine umfassende Cybersecurity nicht mehr nur eine Option, sondern eine betriebskritische Notwendigkeit. Ein zentrales Prinzip von Zero Trust ist die vollständige Eliminierung von implizitem Vertrauen. Solche «alten Zöpfe» und Paradigmen sind nebst technischen Massnahmen auch nur mittels einem umfassend trainierten und angepassten Mindset der betroffenen Benutzer eliminierbar. Die Zero Trust-Strategie stellt sicher, dass keinem Benutzer, Gerät, Software, App, Zugriff, Berechtigung, System aber auch Information und Medieninhalten generell automatisch vertraut wird, unabhängig davon, ob sie sich innerhalb oder außerhalb des vertrauten technischen oder sozialen Netzwerks befinden – auch wenn das bisher der Fall war. Diese Strategie basiert auf dem Prinzip “niemals vertrauen, immer verifizieren” (Zero trust, always verify) und erfordert eine kontinuierliche Überprüfung, Monitoring und Validierung aller entsprechende Zugriffe, Berechtigungen, Zustände und Aktivitäten.
Mehr Philosophie als Technologie
Zero Trust ist nicht nur eine technologische Lösung, sondern eine umfassende Sicherheitsphilosophie. Es erfordert eine Kombination aus Technologie, Prozessen und Menschen, um effektiv zu sein. Die Implementierung von Zero Trust bedeutet, dass Unternehmen nebst den vielen technischen Anpassungen vorallem auch ihre Sicherheitskultur fundamental ändern und sicherstellen müssen, dass alle Mitarbeiter die Bedeutung von Sicherheit verstehen und entsprechend handeln.
Technische und organisatorische Massnahmen (TOM), MFA, CA, PAM, PIM, XDR
Technische und organisatorische Maßnahmen (TOM) sind entscheidend für die Umsetzung von Zero Trust Architekturen (ZTA). Dazu gehören Maßnahmen wie z.B. Multi-Faktor-Authentifizierung (MFA), bedingter Zugriff («conditional access»), Management aller Endpunkte / Geräte mittels «extended entpoint detection & response»-Lösungen (XDR, EDR) , Privileged Access & Identity Management (PAM, PIM), Verschlüsselung, spezielle erzwungene Sicherheitsrichtlinien (Policy Enforcement), Netzwerk-/Ressourcen-Segmentierung, Secure Remote Access und kontinuierliches Monitoring. Diese Maßnahmen helfen, die Angriffsfläche zu minimieren und sicherzustellen, dass nur sicher autorisierte Benutzer und Geräte einen auch nur zeitlich begrenzten Zugriff auf sensible Daten und Systeme haben. Mittels weiteren organisatorischen Massnahmen wie z.B. der Cybersecurity Sensibilisierung und spezieller Aufklärung der Arbeitsweise mittels «Zero Trust»-Prinzipien werden zudem interne, kritisch mitdenkende und entsprechend adäquat handelnde «Mitstreiter gegen Cybercrime» herantrainiert.
Kontinuierliche Verifizierung in der dynamischen Bedrohungslage
Zero Trust erfordert im weiteren eine kontinuierliche Verifizierung und Monitoring aller Zugriffe, Berechtigungen und Aktivitäten. Dies bedeutet, dass Benutzer und Geräte regelmäßig überprüft und validiert werden müssen, um sicherzustellen, dass sie weiterhin autorisiert sind. Diese kontinuierliche Verifizierung hilft, potenzielle Bedrohungen im Rahmen von erweitertem Monitoring frühzeitig zu erkennen und zu verhindern.
4 Prinzipien – explizite Verifizierung, geringstmögliche Berechtigung, Bewusstsein von Zero Trust und Annehmen eines aktiven Breaches
Die vier Prinzipien von Zero Trust sind explizite Verifizierung, geringstmögliche Berechtigung («need to know»-Prinzip), kritisches Bewusstsein von Zero Trust bzw. dessen organisatorischen / technischen Auswirkungen und das Annehmen eines aktiven Breaches. Explizite Verifizierung stellt sicher, dass jeder Zugriff überprüft und jedes mal und zeitlich / örtlich eben nicht mehr unbeschränkt validiert wird. Geringstmögliche Berechtigung stellt sicher, dass Benutzer nur die minimal notwendigen Zugriffsrechte haben. Das zu trainierende Bewusstsein von «Zero Trust» bedeutet, dass alle Mitarbeiter die Bedeutung von «zero trust»-unterstützter Sicherheit verstehen und entsprechend handeln in dieser angepassten Arbeitsweise.
Das Konzept des Annehmens eines aktiven Breaches (“Assume Breach”) bedeutet, dass Unternehmen bewusst szenarisch davon ausgehen, dass ihre Systeme bereits kompromittiert sind. Dies führt zu einer anders zu gestaltenden und proaktiveren Sicherheitsstrategie, angepasst an der dynamischen Bedrohungslage, bei der kontinuierlich nach bereits bestehenden oder potenziellen Bedrohungen gesucht und Maßnahmen ergriffen werden, um diese besser zu erkennen und zu verhindern.
Laufendes Inventar, auch gegen «Shadow IT»
Ein laufendes Inventar von Hardware, Software, Cloudservices, Apps, Nutzern, Keyusern, personenbezogenen Daten, Auftragsdatenverarbeiter und Berechtigungen ist entscheidend für die Umsetzung von Zero Trust. Dieses Inventar mit vielen erhobenen, relevanten Details hilft, die Angriffsfläche zu minimieren und sicherzustellen, dass nur autorisierte Benutzer und Geräte Zugriff auf sensible Daten und Systeme haben – speziell auch bei Systemänderungen oder Anpassungen. Ein solches Inventar kann kombiniert und optimiert werden mit einer Datenschuftzfolgenabschätzung, Auftragsdatenverarbeiterverzeichnis bis hin zu einem Business Continuity Management und Incident Response Management im Rahmen des ICT Risk / Compliance Management und dem kontinuierlichem Reporting speziell. Durch die umfassende Dokumentation über mehrere relevante «Hausaufgaben in der IT» und deren Kontrolle entsteht auch ein Hilfsmittel zur laufenden Optimierung und hoffentlich Zurückerlangen der Kontrolle («take back control») über risikobehaftete Elemente und gar «alte Relikte», «alte Zöpfe» der Schatten-Informatik («Shadow IT»).
Kombinierter Ansatz verschiedener Elemente / Kategorien im Sinne von “Best of Breed”
Zero Trust erfordert einen kombinierten Ansatz verschiedener Elemente und Kategorien im Sinne von “Best of Breed”. Dies bedeutet, dass Unternehmen die besten verfügbaren Technologien und Lösungen kombinieren, um eine möglichst umfassende und breit abgestützte Sicherheitsstrategie zu entwickeln. Dieser kombinierte Ansatz hilft, die Angriffsfläche gegenüber Cybercrime zu minimieren und sicherzustellen, dass wirklich nur autorisierte Benutzer und Geräte Zugriff angeboten kriegen und auch nur effektiv dann auf sensible Daten und Systeme haben.
Zero Trust ist ein fortwährender Transformations-Prozess mit auch möglichem kleinen Schritten zur Verbesserung
Zero Trust ist ein fortwährender Transformationsprozess, der kontinuierliche Verbesserungen erfordert. Unternehmen müssen regelmäßig ihre Sicherheitsstrategien und -maßnahmen überprüfen und anpassen, um sicherzustellen, dass sie den sich ständig ändernden Bedrohungen und Herausforderungen gerecht werden. Kleine Schritte zur Verbesserung können einen großen Unterschied machen und helfen, die Sicherheitslage kontinuierlich zu verbessern.
Cybersecurity und KI Sensibilisierung der Mitarbeiter
Ein wichtiger Bestandteil der Zero Trust-Strategie ist die Sensibilisierung der Mitarbeiter für Cybersecurity und auch KI. Dies umfasst Schulungen und Workshops, die das Bewusstsein (z.B. «start thinking, stop clicking!» für Sicherheitsrisiken schärfen und die Mitarbeiter dazu befähigen, sicherheitsbewusst zu handeln. Die Mitarbeiter müssen die Risiken und Anforderungen der ICT- und speziell von KI-Lösungen verstehen und die Wichtigkeit der Informations-Sicherheit / -Integrität erkennen.
Kritisches Denken und kontextbasierte Fragen stellen
«Kritisches Denken» und das Stellen kontextbasierter Fragen sind essenziell, um die Sicherheit in einem Zero Trust- und auch KI Deepfake / KI Universum Umfeld zu gewährleisten. Mitarbeiter sollten ermutigt und befähigt werden, kritisch zu denken und kontextbasierte Fragen zu stellen, um potenzielle Sicherheitslücken und auch falsche Systemausgaben / Resultate / Inhalte / Informationen zu identifizieren und zu reduzieren. Dies hilft, die gefährliche Systemgläubigkeit – auch speziell bei der kontextbasierten Anwendung von Prompting mit KI Tools («context-based KI prompting») und deren Resultate / Aktionen – zu reduzieren und die Gesamt-Sicherheit im «KI durchwachsenden» Informationsuniversum zu erhöhen.
Eine transparente Informationspolitik und neue Lernkultur ist wichtig, um die Mitarbeiter zu sensibilisieren, zu befähigen und auf ein höheres Niveau im Bereich deren auch persönlichen «digitalen Souveränität und Reifegrad» zu bringen.
KI Readiness auch zugunsten von Sicherheitsmassnahmen
Die Integration von Künstlicher Intelligenz (KI) / KI Readiness in die ICT Gesamtstrategie ist ein weiterer wichtiger Aspekt auch mitunter für «Zero Trust». Unternehmen sollten sicherstellen, dass sie bereit sind, KI-Technologien zu nutzen, um ihre Effizienz, Automatisierung und auch deren Sicherheitsmaßnahmen zu verbessern. Dies umfasst die Schulung der Mitarbeiter im kritischen und kontextkorrekten Umgang mit KI («context-based AI prompting») und die Implementierung von KI-basierten Sicherheitslösungen.
KI Deepfake und Desinformation
KI Deepfake-Technologien und Desinformation generell stellen eine zunehmende Bedrohung für die Sicherheit von Organisationen und Menschen dar. Unternehmen müssen sich dieser Bedrohung (z.B. speziell auch KI-unterstützte Social Engineering- und Phishing-Kampagnen) bewusst sein und Maßnahmen ergreifen, um sich davor zu schützen. Dies umfasst die Implementierung von Technologien und Prozessen zur Erkennung und Verhinderung von Deepfakes / Desinformation / Social Engineering / Phishing Angriffen sowie die Sensibilisierung der Mitarbeiter für diese Bedrohung, inkl. auch gegenüber der gefährlichen Systemgläubigkeit speziell.
Fridel Rickenbacher ist ehemaliger Mitgründer, Co-CEO, Partner, Verwaltungsrat und nun beteiligter «Unternehmer im Unternehmen» / «Senior Consultant» bei der Swiss IT Security AG / Swiss IT Security Group. Auf Bundesebene ist er als Experte und Akteur vertreten bei «Digital Dialog Schweiz» + «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken NCS». Er ist in seiner Mission «sh@re to evolve» seit Jahren als Redaktionsmitglied, Experten-Gruppen-und Verbands-Aktivist tätig bei z. B. SwissICT, swissinformatics.org, isss.ch, isaca.ch, bauen-digital.ch rund um Digitalisierung, Engineering, Clouds, ICT-Architektur, Security, Privacy, Datenschutz, Audit, Compliance, Controlling, Information Ethics, in entsprechenden Gesetzes-Vernehmlassungen und auch in Aus- und Weiterbildung (CAS, eidg. dipl.).
Dieser Artikel wurde erstmals im Dezember 2024 in der Zeitschrift Schwyzer Gewerbe veröffentlicht und wird hier mit Genehmigung des Autors wiedergegeben.
Photo: AI generated.
