IDC Experte Chris Weston über Zero Trust und die 40-Prozent-Challenge

von Katja Schmalen

IDC CIO Advisor Chris Weston teilt in seinem neusten Beitrag seine Gedanken zu Zero Trust und verrät, warum die Balance zwischen Geschwindigkeit, Effizienz und Sicherheit so essentiell wichtig für Unternehmen ist.

In der letztjährigen IDC FutureScape-Studie haben wir viele spannende Ergebnisse von zahlreichen befragen Unternehmen aufgedeckt, von denen jedeoch eines ganz klar herausstach:

70 % der Vorstandsvorsitzenden großer europäischer Unternehmen werden dazu angehalten, bis 2025 mindestens 40 % ihres Umsatzes im digitalen Bereich zu erwirtschaften, was zu einer Brutto-Wertschöpfung von mehr als 4 Billionen Euro in Europa führen wird.

Diese Zahl spricht für einen grundlegenden Wandel in den Erwartungen von Vorständen und Investoren an die Geschäftsmodelle, mit denen sie sich in Zukunft beschäftigen werden. Möglicherweise halten Sie 40 % jetzt wahlweise für zu hoch oder zu niedrig. Ich weiß auch gar nicht, ob das jetzt wirklich so entscheidend ist. Denn auch wenn 25 % oder 50 % der Einnahmen aus digitalen Angeboten stammen, ist das noch immer ein gewaltiger Umbruch.

Angesichts der Tatsache, dass der Wandel bereits im Gange ist, werden die Auswirkungen auf viele Geschäftsbereiche tiefgreifend sein, und das gilt insbesondere für Cybersicherheit und Risikomanagement. Wenn Unternehmen heute schon Schwierigkeiten haben, Risiken und Kosten miteinander zu vereinbaren, und den Vorständen oft die Erfahrung und das Wissen fehlt, um fundierte Entscheidungen über Investitionen in die Cybersicherheit zu treffen, wie sieht es dann erst aus, wenn ein erheblicher Teil ihres Geschäfts vollständig von digitalen Dienstleistungen abhängt?

Bei IDC sprechen wir in diesem Zusammenhang von Trust, also Vertrauen. Unternehmen müssen in der Lage sein, anderen Organisationen und Einrichtungen zu vertrauen, um eine effiziente und effektive digitale Transformation zu erreichen. Wir sind in einem noch nie dagewesenen Ausmaß miteinander vernetzt, und diese Vernetzung wird in Bezug auf Komplexität, Umfang und Geschwindigkeit nur noch zunehmen.

Die Zukunft ist Zero Trust…

Eines der Werkzeuge, die wir heute in unserem Werkzeugkoffer haben, ist das Konzept des Zero Trust. In diesem Modell wird die technische Umgebung von der umfassendsten bis zur granularsten Ebene geschützt. Anstatt davon auszugehen, dass “Grenzkontrollen” ausreichen und dass Benutzer, die sich innerhalb interner Systeme bewegen, überprüft werden, wird Endanwendern oder Computer- oder Netzwerkressourcen automatisch überhaupt kein Maß an Vertrauen entgegengebracht.

Die “Grenzkontrollen” oder Perimeter-basierten Systeme, auf die wir uns in der Vergangenheit verlassen haben, wurden entwickelt, um zentralisierte Ressourcen zu schützen. Die Entwicklung von Netzwerken, Software- und Hardware-Tools sowie der Standorte, von denen aus wir auf diese zugreifen, hat jedoch dazu geführt, dass diese Systeme viel zu anfällig für eine Kompromittierung geworden sind.

Zero Trust entwickelt das Sicherheitsmodell weiter – es gibt kein “Innen” und “Außen” mehr, und Perimeter werden in viel kleinerem Maßstab verwendet, um Netzwerke und einzelne technische Komponenten zu trennen. Dies führt unweigerlich zu einer enormen Datenmenge, die es zu verwalten gilt, da potenzielle Angriffe und Bedrohungen von diesen vielen kleineren Perimetern aus gemeldet werden, so dass Investitionen in Tools erforderlich sind, die es den Sicherheitsteams ermöglichen, zu erkennen, was wichtig ist und was ignoriert werden kann. Es gibt jedoch auch Nachteile in Form von Latenzzeiten und Komplexität, die bei der Anwendung dieses Modells berücksichtigt werden müssen.

… aber die unüberschaubare Fülle von Tools macht es nicht einfacher

Neben diesem wichtigen Konzept gibt es spezifische Sicherheitsprobleme und -tools im Zusammenhang mit Cloud-Speicherung und -Backup, Mobil- und IoT-Geräten, Multifaktor-Authentifizierung, Social Engineering und Phishing – die Liste lässt sich beliebig fortsetzen. Natürlich hat sich eine riesige Industrie rund um dieses Thema entwickelt, und die Anzahl der Tools, aus denen man wählen kann, ist unüberschaubar. Gegenwärtig wächst die Zahl der so genannten XDR-Produkte (Extended Detection and Response), bei denen es sich – vereinfacht ausgedrückt – um Plattformen für eine Sammlung von Tools und Workflows handelt, die Sicherheitsteams und den Unternehmen, für die sie tätig sind, vereinfachte, einheitliche Daten zur Verfügung stellen, die sich leichter verwalten lassen. Es bleibt abzuwarten, ob dadurch die Vielzahl der Tools und Verfahren reduziert wird.

Neben der technischen Seite der Cybersicherheit müssen wir auch die Bereiche Datenschutz und Regulierung im Auge behalten. Je mehr Daten wir sammeln und weitergeben, desto interessanter werden wir für die Regulierungsbehörden, die die Verbraucher vor Schaden bewahren wollen, sei es durch die unbeabsichtigte Weitergabe sensibler Daten oder die unbefugte Nutzung von Daten durch Personen, die außerhalb des Gesetzes agieren.

Die Regulierung wird angepasst

Ein gutes Beispiel dafür, wie sich diese Landschaft entwickelt, wurde kürzlich von der unabhängigen französischen Aufsichtsbehörde CNIL bekannt, die einen Website-Betreiber anwies, Google Analytics aus seinen Systemen zu entfernen, um die Datenübermittlung in die Vereinigten Staaten zu verhindern. Dies ist eine klare Absichtserklärung in Zusammenarbeit mit den europäischen Partnern, dass das Schrems-II-Urteil zum Privacy Shield erhebliche Auswirkungen haben wird. Das Sammeln und Verwalten von Daten wird wahrscheinlich teurer werden, was natürlich einige der bestehenden oder auch geplanten Geschäftsmodelle in Frage stellen könnte, die in den oben erwähnten 40 % der Einnahmen vorgesehen sind. In der Welt des maschinellen Lernens und der künstlichen Intelligenz wird das geplante EU-Gesetz über KI einen neuen Rechtsrahmen für die Nutzung dieser Instrumente schaffen, dessen Auswirkungen aufmerksam verfolgt werden. Wie unsere Analysten bei IDC anmerken, werden KI-Systeme in dem Vorschlag recht breit definiert, mit Verpflichtungen für Anbieter von KI-Systemen und Nutzer.

Zusammengefasst

Für ein digitales Unternehmen ist Cybersicherheit eine Realität, die bewältigt werden muss, um erfolgreich zu sein. Die Herausforderungen werden sich mit der zunehmenden Vernetzung weiterentwickeln, und der digitale Marktführer muss ein Gleichgewicht zwischen Geschwindigkeit, Effizienz und Sicherheit finden.

Im Rahmen der Swiss IT Conference von IDC und der Schweizer Computerworld am 14. April in Zürich werden wir ausführlich über die Aspekte sprechen, die CIOs gerade auf den Nägeln brennen – die Themen Security & Zero Trust gehören selbstverständlich dazu.  Seien Sie unbedingt dabei und hören Sie von IDC, praxiserfahrenen Anbietern und Ihren Kollegen aus anderen Unternehmen, wie sie ihre Herausforderungen adressieren.


Zero Trust: Chris Weston, CIO Advisor bei IDC über Low-Code und No-CodeDer Autor dieses Beitrags ist Chris Weston, CIO Advisor bei IDC. Chris ist ein erfahrener IT-Leader und -Berater auf C-Level-Niveau. Die Umsetzung von Veränderungen in Unternehmen durch Technologie sind seine Passion. Der sympathische Brite hat mehr als 25 Jahre Erfahrung in der Auswahl und Implementierung von Technologielösungen in vielen Industriezweigen und beschäftigt sich in jüngster Zeit intensiv mit  Zukunftstechnologien und Themen wie IoT, KI und Blockchain.

Mehr über seine Arbeit als CIO Advisor lesen Sie in diesem Beitrag.

Das könnte Sie auch interessieren