Was bei der Umsetzung von Zero Trust oft übersehen wird

Der Einstieg in Zero Trust gelingt nicht von heute auf morgen, selbst erfahrene IT-Verantwortliche unterschätzen immer wieder den Aufwand für Zero Trust. Wir erklären deshalb, welche Punkte in der Praxis besonders häufig übersehen werden.

Viele IT-Entscheider und Sicherheitsexperten sind überzeugt, dass das Zero-Trust-Sicherheitsmodell eine wirksame, wenn nicht sogar die beste Antwort auf die aktuellen Herausforderungen in der IT-Security ist. Für Unternehmen bietet es auch zahlreiche Vorteile, das bestreitet kaum jemand. In der Praxis übersehen Planer und Umsetzer jedoch oft einige wichtige Punkte bei der Konzeption und Umsetzung des Konzepts.

Warum die Benutzerakzeptanz so wichtig ist

Aus Sicht vieler Anwender verschlechtert sich durch die Einführung von Zero Trust häufig die Benutzerfreundlichkeit im Arbeitsalltag. Ohne spezialisierte Lösungen wie Single-Sign-On (SSO) führt die Umsetzung unter anderem dazu, dass sich die Nutzer mehrfach an den verschiedenen Systemen, die sie für ihre Aufgaben benötigen, an- und abmelden müssen. In einer Zero-Trust-Umgebung müssen sich die Beschäftigten häufiger als bisher authentifizieren. Viele von ihnen empfinden das als lästig und zeitraubend. Dieses Problem sollte thematisiert und zum Beispiel durch gezielte Schulungen angegangen werden.

Die Einführung von Zero Trust verändert außerdem die Arbeitsabläufe und die Arbeitsumgebung, auch das müssen die User erst einmal akzeptieren. Deshalb ist es wichtig, dass Unternehmen die Bedürfnisse ihrer Angestellten rechtzeitig berücksichtigen, sie bei der Umstellung einbeziehen und auch danach noch unterstützen. Der erhöhte Aufwand führt in einigen Fällen auch zu einer Verschlechterung der Performance. So kann es durch die notwendige kontinuierliche Überprüfung der Zugriffsanforderungen zu Verzögerungen und langsameren Systemreaktionen kommen. Das betrifft in erster Linie ältere und schwächere Systeme, die unter den zusätzlichen Anforderungen eine verminderte Performance zeigen.

Wie Legacy-Systeme oft Probleme bereiten

Zusätzliche Herausforderungen entstehen durch die Einbindung der weiterhin verwendeten Altsysteme in die neue Zero-Trust-Infrastruktur eines Unternehmens. In den meisten Fällen ist es notwendig, diese Systeme zu modernisieren oder neu zu strukturieren. Ebenso unterschätzen viele den Aufwand, der für echte Interoperabilität und Kompatibilität erforderlich ist. Schließlich sollen die verschiedenen Systeme und Anwendungen ja auch in Zukunft miteinander kommunizieren und Daten austauschen können.

Ein weiterer unterschätzter Punkt ist sowohl der finanzielle als auch der personelle Ressourcenaufwand bei einer Umstellung auf Zero Trust. Hinzu kommt, dass es zu Problemen kommen kann, wenn nicht das gesamte Unternehmen involviert ist. Insbesondere die Leitungs- und Vorstandsebene muss voll und ganz hinter der Umstellung stehen.

Weshalb der Aufwand der Zero-Trust-Umsetzung oft unterschätzt wird

Jedem Praktiker sollte inzwischen klar sein, dass die Umsetzung des Zero-Trust-Konzeptes nicht im Handumdrehen klappt. Erfahrungsgemäß dauert die Einführung in kleinen und mittleren Firmen mindestens sechs bis zwölf Monate, manchmal auch länger. Bei größeren Unternehmen kann die Umsetzung sogar bis zu drei Jahre in Anspruch nehmen, da diese in der Regel über umfangreichere und komplexere IT-Landschaften verfügen.

Wie lange es dann tatsächlich dauert, lässt sich nicht pauschal sagen. Die Dauer der Maßnahmen hängt stark von der vorhandenen Infrastruktur und der jeweiligen Situation des Unternehmens ab. So spielt es beispielsweise eine Rolle, wie viele Altsysteme noch vorhanden sind, was sich in der Regel verlängernd auswirkt. Schneller geht es zum Beispiel, wenn bereits cloudbasierte Lösungen existieren.

Wo für Unternehmen die zukünftigen Herausforderungen liegen

Mit der erfolgreichen und allgemein akzeptierten Einführung von Zero Trust im Unternehmen ist es jedoch noch nicht getan, die Implementierung endet nicht an einem bestimmten Zeitpunkt. Vielmehr erfordert Zero Trust auch in Zukunft eine kontinuierliche Überwachung und Anpassung der Maßnahmen durch ein striktes Monitoring. Deshalb zählt es zum Pflichtprogramm, dass Firmen und Behörden ihre Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen, um die aktuellen Bedrohungslagen zu berücksichtigen. Nur auf diese Weise kann die Umsetzung von Zero Trust auch langfristig erfolgreich bleiben.

Phasen und Dauer einer größeren Zero-Trust-Umsetzung

Jede Zero-Trust-Umsetzung verläuft ein wenig anders. Es ist daher nicht möglich, im Vorfeld eine hundertprozentig verlässliche Zeitvorgabe zu machen. Die folgenden Phasen haben sich in der Praxis bei größeren Unternehmen bewährt. Bei kleineren Firmen fällt der Aufwand entsprechend geringer aus.

  • Planung und Analyse: Diese Phase dauert in der Regel zwei bis vier Monate, in manchen Situationen aber auch wesentlich länger. Sie umfasst die Bewertung der aktuellen Sicherheitslage, die Festlegung der gewünschten Ziele und die Erstellung eines Umsetzungsplans.
  • Pilotprojekte: In den meisten Fällen empfiehlt es sich, ein oder mehrere Pilotprojekte durchzuführen, um die Maßnahmen zu testen. Ein solches Projekt dauert in der Regel drei bis sechs Monate. Die tatsächliche Dauer hängt von der Größe und Komplexität der getesteten Umgebungen ab.
  • Schrittweise Umsetzung: Die vollständige Implementierung in allen Abteilungen und Bereichen des Unternehmens nimmt in der Regel weitere sechs bis achtzehn Monate in Anspruch. Auch dieser Punkt hängt stark von der Größe und Beschaffenheit der Infrastruktur ab.
  • Laufende Anpassungen: Nach der Implementierung sind, wie bereits erwähnt, weitere Anpassungen und Optimierungen notwendig. Zero Trust ist ein kontinuierlicher Prozess und keine einmalige statische Maßnahme, die am Tag X abgeschlossen und dann abgehakt wird.

 

Vertrauen ist gut, Zero Trust Security ist besser! Und wir nehmen gerne den richtigen Platz in Ihrem Zero-Trust-Konzept ein. Sie möchten sich näher informieren?

Kontaktieren Sie uns!