Ihr Experte für Fragen
Dominik Bredel
Director, Cyber Resilience bei PwC Deutschland
Tel.: +49 1515 5635439
E-Mail
Warum Perimeter-basierte Sicherheitskonzepte in der heutigen Zeit nicht mehr ausreichend sind
Die traditionelle IT-Sicherheit wird durch die rasant fortschreitenden technologischen Entwicklungen und neuen Arbeitsweisen zunehmend geschwächt. So sind die bestehende Infrastruktur sowie die IT-Systeme oft nicht mehr zuverlässig und herkömmliche perimeter-basierte Sicherheitsstrategien bieten keinen umfassenden Schutz vor den heutigen Cyberbedrohungen. Der Wandel hinsichtlich der traditionellen IT-Sicherheit wird durch folgende Faktoren verursacht:
- Organisationen integrieren immer mehr Dienste, die im Internet verfügbar sind und die einen Zugang über ein nicht vertrauenswürdiges Netzwerk anbieten.
- Nutzer greifen immer öfters mittels unterschiedlicher Endgeräte auf die On-Premise-IT-Systeme und Cloud-Anwendungen von Unternehmen zu.
- Die verschiedenen Benutzergruppen – Mitarbeitende, Externe oder Dienstleister – arbeiten immer häufiger an unterschiedlichen Standorten.
- Daten liegen mittlerweile an verschiedensten Orten verteilt und es gibt keinen fest definierten Perimeter mehr.
- Von den 40.009 CVEs, die das NIST in 2024 identifiziert hat, erfordern 75 % keine Nutzerinteraktion.
Diese vielfältigen Anwendungsfälle vergrößern die potenzielle Angriffsfläche und resultieren in neuen Schwachstellen, die Angreifern neue Möglichkeiten bieten, wertvolle Daten abzugreifen oder kritische Unternehmensabläufe sowie Infrastrukturen zu stören. Damit wachsen die Security-Herausforderungen, mit denen Unternehmen konfrontiert werden, um kritische Vermögenswerte, Daten und Ressourcen zu schützen. Aus diesem Grund sollten IT- und Sicherheitsverantwortliche moderne, umfassende Lösungen für ihre Architektur suchen und einen grundlegenden Wandel in Betracht ziehen. Eine Herangehensweise? Zero Trust.
„Die Implementierung des Zero-Trust-Ansatzes ermöglicht den Aufbau einer robusten IT-Security-Architektur, die bereits heute in der Lage ist, auf die Bedrohungen von morgen zu reagieren.“
Ihre Vorteile mit Zero Trust
< Back
< Back
[+] Read More
Lernen Sie unser Team kennen
Kontaktieren Sie uns
Zero Trust – Essenzielle Security-Paradigmen für die heutige Zeit
Was ist Zero Trust?
Zero Trust beschreibt ein Cyber-Security-Konzept zur Sicherung von Daten und Infrastrukturen, die in Verbindung mit geeigneten Sicherheitswerkzeugen den Zustand der gesamten Architektur kontrollieren und überwachen sowie auf der Grundlage von Echtzeitinformationen intelligente Entscheidungen treffen. Das Zero-Trust-Modell basiert auf dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“ und misstraut grundsätzlich allen Diensten, Benutzern und Geräten innerhalb und außerhalb eines Netzwerks. Ziel ist es, Risiken zu minimieren sowie interne und externe Bedrohungen auszuschließen. Daher verlangt Zero Trust eine umfassende Authentifizierung und Autorisierung sowohl im internen also auch beim Zugriff auf externe Netzwerke. Somit adressiert das Zero-Trust-Modell die modernen Herausforderungen der digitalen Transformation der Geschäftswelt, einschließlich der Sicherung von Mitarbeitenden an entfernten Standorten, von personenbezogenen Daten, von hybriden Cloud-Umgebungen sowie den Schutz vor Cyber-Bedrohungen.
Warum Unternehmen Zero Trust implementieren
Für Unternehmen bedeutet die digitale Transformation insbesondere, dass die Zahl der kritischen Geschäftsprozesse und IT-Systeme, die wesentlich von einer funktionsfähigen IT-Infrastruktur abhängig sind, zunehmend steigen. Dabei fungiert das Netz (Intra- wie Internet) als Bindeglied, welches das Ökosystem aus Kunden, Geschäftspartnern, Mitarbeitenden, Anwendungen und Daten verbindet. Daraus resultiert der steigende Bedarf an Sicherheitslösungen, die gegebenenfalls auch über neue Servicemodelle wie etwa Cloud bereitgestellt werden können. Die Gründe, warum Kunden ihren aktuellen Sicherheitsansatz überdenken und Zero Trust implementieren, sind vielfältig.
Gründe für die Einführung von Zero Trust:
- Schutz verteilter Daten und Anwendungen
- Minimierung interner und externer Bedrohungen
- Optimierung der Nutzererfahrung und Geschäftsprozesse
- Reduzierung von Kosten und Tool-Wildwuchs
Das Zero-Trust-Modell umfasst die Einrichtung hochgradig widerstandsfähiger Netze bei gleichzeitiger Nutzung bereits vorhandener Technologien. Ein weiteres Argument, warum Unternehmen eine Zero-Trust-Sicherheitsstrategie in ihre Unternehmensarchitektur integrieren sollten, ist die Reduzierung des „Tool-Wildwuchs“ und der Kosten für Cyber Security. Somit wird die digitale Transformation vorangetrieben, die Nutzererfahrung optimiert und eine reibungslose Interaktion zur Verbesserung der Kundenbindung gefördert.
Wie verstehen wir eine moderne Zero-Trust-Architektur?
Unsere Zero-Trust-Architektur basiert auf dem Prinzip des „verify all“. Das bedeutet, dass Richtlinien beziehungsweise Policies bestimmen, wer wann welche Zugriffe haben darf. In der Architektur bilden Policy Decision und Enforcement Points die konzeptionelle Grundlage. Das kann ein Single Point Gateway sein, welches jeden Zugriffsversuch auf Ressourcen durch Geräte oder Personen (Identitäten) streng kontrolliert. Der sichere und standortunabhängige Zugriff auf Ressourcen und Daten basiert auf risikobezogenen Echtzeit-Entscheidungen. Die Entscheidung, ob ein Benutzer mit den angefragten Assets interagieren kann, wird für jede einzelne Anfrage individuell getroffen. Dabei werden alle Aktivitäten überwacht, um Abweichungen von einem sicheren Zustand festzustellen und Korrekturen zu ermöglichen. Dabei liegt der Fokus nicht wie bei herkömmlichen Sicherheitsmodellen ausschließlich auf den internen Rechenzentren eines Unternehmens, sondern auch auf der Zugangskontrolle und Überwachung des Datenverkehrs zu ausgelagerten Cloud-, Web- und IT-Diensten.
Sichere Anwendungsentwicklung und -gestaltung
- Tools für sichere Entwicklung (SAST, DAST usw.)
- Webanwendungs-Firewall
- Schutz von Anwendungsdaten
- Anwendungszugriffskontrolle
- Container Security
Schutz der Daten vor unbeabsichtigter Veröffentlichung
- Dateninventar und -katalog
- Datenklassifizierung und automatische Kennzeichnung
- Verhinderung von Datenverlusten
- Datenautorisierung
- Schlüsselverwaltung und PKI-Infrastruktur
Sichere Anwendungsentwicklung und –gestaltung
- Protokollverwaltung
- Verwaltung von Sicherheitslücken
- Echtzeit-Anomalieerkennung
- Incident Response
Härtung des (Edge)-Netzwerks
- Mikrosegmentierung
- Softwaredefiniertes Netzwerk (SDN)
- Fernzugriffskontrolle
- Firewall-Verwaltung
- Verschlüsselung des Netzwerkverkehrs
Härtung der Infrastruktur und Endpunkte
- Geräteinventar und -erkennung
- Gerätezustand
- Baseline-Hardening-Konfiguration
- Mobile Device Management (MDM)
- Schutz von Endgeräten
Schutz und Management von digitalen Identitäten
- Identity Assurance Level (IAL)
- Authentication Assurance Level (AAL)
- Privileged Identity Management
- Conditional Access
- Identity Governance and Administration (IGA)
Unser Ansatz zu Ihrer Zero-Trust-Sicherheitsarchitektur
- Zero-Trust-Strategie inkl. Reifegradbewertung & Roadmap
- Definition einer individuellen Zero-Trust-Architektur und Roadmap
Zero-Trust-Strategie inkl. Reifegradbewertung & Roadmap
Gemeinsam mit Ihnen bewerten wir den aktuellen Reifegrad und die Fähigkeiten Ihres Unternehmens in Bezug auf eine Zero-Trust-Strategie. Wir identifizieren aktuelle Herausforderungen und Lücken durch die technologische Analyse der gegenwärtig eingesetzten Fähigkeiten und bewerten ihre Umgebung durch Sammlung und Überprüfung von Informationen sowie Unterlagen.
Auf dieser Basis definieren wir einen individuellen Implementierungsplan für Zero Trust unter Berücksichtigung bereits etablierter Technologien, aktueller Projekte und dem individuellen Zielbild Ihrer Organisation
1. ZT-Strategie und Roadmap
- Entwicklung eines umfassenden Zero-Trust-Programmplans, der die Validierung des Ist-Zustands, eine Lückenanalyse, ein hochrangiges Architekturdesign und eine Matrix der Governance-Verantwortlichkeiten umfasst.
- Definieren Sie Arbeitsabläufe und Abhängigkeiten und ordnen Sie diese in einer Reihenfolge an, um eine allgemeine Roadmap zu erstellen.
- Erstellen Sie einen überzeugenden Business Case, in dem die wichtigsten Annahmen, der strategische Wert und Investitionsüberlegungen für die Einführung von Zero Trust dargelegt werden.
2. ZT-Implementierung und -Integration
- Implementierung von Zero-Trust-Prinzipien, -Technologien und -Richtlinien in verschiedenen Bereichen wie Netzwerk, Daten, Identität, Geräte, Anwendungen, Betrieb und Architektur.
- Integrieren Sie Zero-Trust-Funktionen in den täglichen Betrieb der gesamten IT-Umgebung des Unternehmens.
- Sicherstellung kontinuierlicher Schulungen und Sensibilisierung, damit die Beteiligten die Veränderungen in ihren täglichen Abläufen verstehen
3. Kontinuierliche ZT-Verbesserung
- Kontinuierliche Überwachung und Bewertung der Wirksamkeit von Zero-Trust-Funktionen durch regelmäßige Sicherheitsbewertungen
- Erfassen Sie das Feedback der Stakeholder, um Herausforderungen, Schwachstellen und Optimierungsmöglichkeiten zu identifizieren.
- Nutzen und verfeinern Sie Orchestrierungstools, um die Effizienz der Sicherheitsabläufe zu verbessern
- Kontinuierliche Optimierung und Verbesserung der Zero-Trust-Leistung, einschließlich der Reduzierung von Latenzzeiten und der Verbesserung der Reaktionsfähigkeit
- Bleiben Sie über neue Sicherheitstechnologien und -trends auf dem Laufenden, um das Zero-Trust-Framework proaktiv weiterzuentwickeln
Definition einer individuellen Zero-Trust-Architektur und Roadmap
Bereitstellung und Auswahl einer Reihe von Technologie- und Architekturentwürfe, die auf die Herausforderungen und Bedürfnisse Ihres Unternehmens individuell zugeschnitten werden können, um eine passende Zielarchitektur zu entwerfen.
Auf Basis dieser Vorgehensweise kommen wir im Zeitrahmen von ca. drei Monaten zu einer individuellen Roadmap zur Implementierung von Zero Trust in ihrer Organisation.
Durch unser interdisziplinäres Know-how, einen PwC-Zero-Trust-Capability-Katalog sowie wichtige Technologiepartnerschaften und langjährige Erfahrung bei der Definition von Zielbetriebsmodellen für Unternehmen sind wir in der Lage, ein für Sie passendes Zero-Trust-Modell auszuwählen und bei der Implementierung zu unterstützen.
FAQ: Zero Trust auf einen Blick
Case Studies – Zero Trust
Im Rahmen von zahlreichen Zero-Trust-Implementierungen hat PwC wichtige Erfahrungswerte gesammelt, auf was es bei der erfolgreichen Implementierung von Zero-Trust-Architekturen ankommt. Lesen Sie anhand von ausgewählten Fallbeispielen, wie wir Unternehmen verschiedener Branchen bei Zero Trust unterstützt haben.
Zero Trust Case Study – Pharma
Ein weltweit führendes Unternehmen der Pharma-Branche befand sich in einer Phase rasanten Wachstums. Die gestiegene internationale Sichtbarkeit rückte das Unternehmen verstärkt in den Fokus der öffentlichen Aufmerksamkeit und erhöhte die Anfälligkeit gegenüber Cyberangriffen. Gleichzeitig war der Reifegrad im Bereich Cybersicherheit noch nicht ausreichend, um das notwendige Schutzniveau zu erreichen. PwC war beauftragt, eine umfassende IT-Sicherheitsgrundlage aufzubauen, die dem dynamischen und risikobehafteten Wachstumsumfeld gerecht wird.
Zero Trust Case Study – Chemie
Ein global tätiger Chemiekonzern bewegte sich in einem herausfordernden Umfeld mit einer sich ständig wandelnden Bedrohungslage. Gleichzeitig vergrößerte der schnell fortschreitende Einsatz von Künstlicher Intelligenz und digitalen Tools die Angriffsfläche. Ziel war es deshalb, das lückenhafte Cyber-Security-Betriebsmodell zu modernisieren.
Zero Trust Case Study – Retail
Ein global tätiger Großhandelskonzern wurde Opfer eines Cyberangriffs. Das Unternehmen nahm den Vorfall zum Anlass, seine globale Sicherheitsstrategie grundlegend zu transformieren, und sich an den Zero-Trust-Prinzipien zu orientieren. PwC wurde damit beauftragt, eine moderne Cyberarchitektur und ein Informationssicherheits-Managementsystem (ISMS) zu konzipieren und die Implementierung zu begleiten.
Follow us
Contact us
