„Vorne Fort Knox und hinten Tag der offenen Tür“

Auch der dritte ChannelPartner-Workshop im Jahr 2021 fand nur digital statt. Dieses Mal ging es um das derzeit viel beachtete Thema "Zero Trust". Eigentlich ein alter Hut - zum ersten Mal taucht diese Umschreibung der Perimeter-losen IT-Sicherheitsarchitektur bereit Mitte der 1990er Jahre in der Fachliteratur auf - aber seit knapp zwei Jahren beschäftigen sich immer mehr Security-Hersteller damit.

Laut Ingo Schubert, Global Cloud Identity Architect bei RSA, ist "Zero Trust" keine Wunderwaffe, auch wenn das manche IT-Security-Hersteller und Dienstleister behaupten. Für ihn ist das lediglich eine von vielen Möglichkeiten, eine IT-Security-Architektur aufzubauen. Viel wichtiger ist es, herauszufinden, was man eigentlich mit einem "Zero Trust"-Ansatz überhaupt erreichen möchte. "Das ist für den Dienstleister eine ausgezeichnete Gelegenheit, den Kunden für die richtige Balance zwischen möglichen Risiken und Vertrauen zu sensibilisieren. Um das Thema Risiko-Management kommt man dabei nicht herum", so Schubert in seinem Eröffnungsplädoyer.

Hierbei geht es seiner Ansicht nach vor allem um die Rollen- und Rechtevergabe sowie um die richtige Authentifizierung. Bei Zero Trust verweist der Manager auf das von RSA entwickelte SecureID-Sicherheitssystem: "Hier gibt es eine breite Auswahl an flexibel handhabbaren Authentifikatoren."

Für Martin Zeitler, Direktor Systems Engineering bei Palo Alto Networks Zentraleuropa, bedeutet "Zero Trust" einen Strategiewechsel: "Bis dato wurde meist für jedes neue Security-Problem eine neue Lösung angeschafft, was bei vielen Kunden den Eindruck erweckt, die Security wäre vollständig aus den Fugen geraten". Zeitler spricht gar von Konstrukt "Vorne Fort Knox und hinten Tag der offenen Tür - vorne haben wir den Perimeter-Schutz maximal hochgefahren und hinten das Data Center offengelassen."

Aus der Sicht von Palo Alto Networks braucht man für eine vollständige Zero Trust-Strategie drei Bausteine: die Sicherung der digitalen Identitäten und Messpunkte im gesamten Netzwerk samt ausgefeilter Kontrollmechanismen. Hier plädiert Zeitler für eine radikale Konsolidierung der Security-Architekturen bei Kunden. Die bestehenden Richtlinien gehören auf den Prüfstand und alle Security-Bausteine müssen integriert sein, eine Security-Policy solle immer konsistent sein.

Und wenn zwei gerade fusionierende Unternehmen beide eine Zero Trust-Strategie verfolgen, dann können sie sich langsam öffnen und sichere Kommunikationsstrukturen aufbauen. "Zero Trust hilft auch beim Onboarding von neuen Mitarbeitern", argumentiert Zeitler.

Simon Bilek von BlackBerry stellte in seinem Vortrag das Security-Portfolio und die Zero Trust-Philosophie des ehemaligen Smartphone-Herstellers vor. In einer eindrucksvollen Demo präsentierte der Senior Channel Sales Engineer EMEA, wie Endgeräte (PC oder Smartphones) sehr sensitiv auf verändertes Userverhalten reagieren. Es gibt verschiedene Bewertungskriterien wie Geo-Location, Netzwerk und Userverhalten, die das Risikolevel einstufen und dadurch Veränderungen am Endpoint vornehmen. Verwendet ein User die PC-Tastatur oder die Maus anders als bisher oder ändern sich plötzlich der Neigungswinkel des Smartphones oder die Scroll-Geschwindigkeit, dann geht die BlackBerry Security-Software davon aus, dass ein nicht autorisierter User das Endgerät nutzt. Die Software verwendet somit die bewährte Verhaltensanalyse sowie verhaltensbasierte Machine-Learning-Modelle und ermittelt so die Vertrauenswürdigkeit des Gerätenutzers. Die Vertrauenswürdigkeit kann von Single Sign-on und keine Einschränkung am Gerät bis zu Zwei-Faktor-Authentifizierung, Sperren von Applikationen und Zuweisung anderer Policies alles beinhalten.

Zero Trust-Erfahrungen der IT-Security-Dienstleister

Im Anschluss an die Präsentationen der drei Hersteller BlackBerry, Palo Alto Networks und RSA haben wir die an der Diskussionsrunde teilnehmenden IT-Security-Dienstleister nach ihren Erfahrungen im Zero Trust-Umfeld gefragt.

Für Rainer Funk, IT-Security Solution Manager bei Controlware, ist Zero Trust ein Mindset, ein konzeptioneller Shift: "Bisher war alles in meinem Perimeter-Bereich vertrauenswürdig, aber dieser Ansatz wird zunehmend in Frage gestellt - vor allem in letzter Zeit immer stärker." Laut Funk hat die Coronapandemie zu einer viel schnelleren und höheren Cloud-Akzeptanz geführt. Und in der Cloud oder im Homeoffice wird die Notwendigkeit eines Zero-Trust-Ansatzes überdeutlich.

"Jetzt müssen wir unsere Kunden an die Hand nehmen und sie davon überzeugen, ihr bisheriges Risikomanagement an die neuen Gegebenheiten anzupassen. Und dann kommt Zero Trust ins Spiel", so Funk.

Michael Weller, Principal Security Solutions Architect bei NTT, ergänzt: "In der Tat, der Begriff Zero Trust ist derzeit in aller Munde. Kunden kommen mit dem Wunsch nach Zero Trust zu uns und wollen diesbezüglich beraten werden." Gut, dass NTT im Laufe der Jahre umfangreiche Fragenkataloge herausgearbeitet hat, um so die Risiken bei Kunden quantitativ zu bewerten. "Dabei müssen wir stets gemeinsam herausfinden, ob die Kosten für die zusätzlichen Sicherheitsmaßnahmen immer gerechtfertigt sind", so Weller weiter. Da kommt es auch immer darauf an, welche Infrastruktur vor Angriffen geschützt werden muss, die von einer Bank oder von einer Medienagentur.

Der freie IT-Security-Berater Torsten Hupe betrachtet Zero Trust mehr als eine Philosophie denn als ein Produkt. Für ihn ist es dabei das Ziel, die überkommenen Perimeter-Konstrukte abzubauen und durch eine effizientere und verschlankte IT-Security-Architektur abzulösen: "Der Nutzen muss unmittelbar sichtbar sein."

Thomas Liebeck, IT-Security Architect bei Accenture, betrachtet diese ganze Thematik aus der Sicht der internen IT-Abteilung, die bereits Zero Trust-Produkte "entdeckt" hat und diese gerne von einem externen Dienstleister in die eigene IT-Infrastruktur hineingeschraubt bekommen möchte.

Seiner Erfahrung nach wird derzeit die klassische Perimeter-Infrastruktur nicht abgebaut, weil es eben keine übergeordneten Gesamtstrategien gibt. "Die echten Zero Trust-Projekte werden sich über Jahre hinziehen, das alles ist höchstkompliziert", so der Accenture-Manager weiter. Aber erste Lichtblicke für Zero Trust-Konzepte gibt seiner Meinung nach schon, zum Beispiel beim Rückbau von VPN-Systemen.

Zero Trust ist ein Strategiewechsel

Das bestätigt auch Martin Zeitler von Palo Alto Networks: "Zero Trust ist kein Produkt, das man so einfach der IT-Security-Business-Unit des Kunden verkaufen könnte, hierfür ist ein Strategiewechsel nötig." Und deswegen sollten Reseller die Person identifizieren, die bei dem Kunden die IT-Security-Strategie bestimmt. "Die wenigsten Unternehmen haben ihre IT-Security-Budgets erhöht, hier geht es als um eine anderweitige Nutzung der existierenden Budgets", so Zeitler weiter.

Seiner Erfahrung nach möchte der Kunde die Anzahl der eingesetzten Technologie und damit auch der Menge der Vendoren reduzieren, denn oft werden mehrere AV-Systeme, Firewalls, ein IDS und mehrere Filter nebeneinander betrieben. Mit dem Zero-Trust-Ansatz könnte man all diese Systeme konsolidieren und dem Unternehmen zu einer höheren Agilität verhelfen.

"Ja, das Ganze ist sehr prozessgetrieben", meint der Security-Berater Hupe. "Die Technologie spielt da keine so große Rolle." Und deswegen sollten seiner Meinung nach die externen IT-Security-Dienstleiter tief in die Prozesswelt ihrer Kunden "eintauchen".

Dem stimmt auch Ingo Schubert von RSA Security zu: "Die Technologie ist das eine, aber Zero Trust bedeutet noch viel mehr: Das ist ein Konzept auf Basis von bestimmter Architektur. Und deshalb sind hier die Hersteller sehr stark auf Partner angewiesen", so die feste Überzeugung des RSA-Managers. Damit Partner aber ihre Kunden in Bezug auf Zero Trust kompetent beraten können, sollten sie sich selbst schon umfassend mit diesem Thema befasst und im Idealfall Zero-Trust-Konzepte bereits selbst im eigenen Unternehmen umgesetzt haben, empfiehlt Martin Zeitler von Palo Alto Networks.

Ein guter Einstieg ins Zero-Trust-Geschäft ist die Messung der Qualität des Risikomanagements beim Kunden: "Wenn ich bei Kunden diesen Aspekt genauer unter die Lupe nehmen, dann trennt sich die Spreu superschnell vom Weizen", ergänzt Schubert. Erst wenn alle Risiken gut erfasst sind, könnte die Einführung von Zero Trust der nächste logische Schritt sein. "Aber es gibt immer noch Kunden ohne eine ordentliche Firewall-Umgebung, ohne eine Testumgebung oder starke Authentifizierung", stellt der RSA-Mann fest. Es fehle also an grundlegenden Voraussetzungen für Zero Trust-Architekturen.

Das kann Rainer Funk aus eigener Erfahrung bestätigen: "Gerade während der Pandemie haben wir gesehen, wie wenig Firmen auf den Umzug ins Homeoffice vorbereitet waren." Einmalpasswort-Generatoren ("Tokens") waren plötzlich heiß begehrt, VPNs mussten eingerichtet werden. "Viele Kunden nahmen zum ersten Mal bewusst wahr, dass sie über kein funktionierendes Risikomanagement verfügen", erinnert sich der Controlware-Manager. Hinzu kam die Erkenntnis, dass auch die digitale Kommunikation mit den Partnern in den gesamten Lieferketten gesichert werden muss. Die Pandemie half schon beträchtlich, diese Themen wieder auf die Tagesordnung zu bringen.

Zero Trust als Voraussetzung zu SASE

Im weiteren Lauf der Diskussion kam der Begriff "SASE" (Secure Access Service Edge) ins Spiel. Dabei handelt es sich um eine Netzwerkarchitektur, die VPNs und SD-WANs mit in die Cloud verlagerten Security-Devices wie sicheren Web-Gateways, Cloud Access-Vorrichtung und Firewalls verknüpft. Aber ist ein Zero Trust-Konzept die Voraussetzung für SASE? "Das ist das alte Henne-Ei-Dilemma", meint Martin Zeitler von Palo Alto Networks. Seiner Meinung nach ist SASE "nur" ein Formfaktor, der vor allem für Unternehmen mit verteilten Arbeitsplätzen geeignet ist. Im Zuge der SASE-Einführung ließen sich aber auch sehr gut Zero Trust-Konzepte etablieren. "Aus meiner Sicht wäre die umgekehrte Reihenfolge passender, aber besser so als gar nicht", meint Zeitler. "Die Pandemie war der Motor des sicheren Netzwerkzugangs".

"Zero Trust ist ein Game Changer", ergänzt Torsten Hupe. "Damit können wir proaktiv eine neues Sicherheitskonzept einführen, hier bestimmen wir die Agenda", so der Berater weiter. "Und hierbei ist es unsere Aufgabe, den Kunden als Navigator durch diese neuen Security-Landschaften zu führen und mit ihm gemeinsam die für ihn passende Lösung zu finden", umreißt Michael Weller sein Tätigkeitsprofil. "Und da müssen die Hersteller sehr eng mit ihren Vertriebspartner kooperieren", fordert Ingo Schubert. Seiner Meinung nach reicht es hier nicht, das Produkt zu verkaufen. Der Post-Sales-Support durch Partner und Hersteller ist bei Zero Trust zwingend notwendig.

IoT und OT im Fokus

Einen weiteren Grund, auf Zero Trust zu setzen, nennt Michael Weller von NTT: "IoT- und OT-Systeme, also die Produktionsnetzwerke, zu schützen, ist deutlich schwieriger, weil diese Geräte meist isoliert dastehen, nicht direkt bedient werden und dennoch sicher authentifiziert werden müssen". Ist das nicht der Fall, werden IoT- und OT-Devices angegriffen, gehackt und missbraucht. Hier bringt nun Thomas Christel vom schwäbischen Cloud-Systemhaus IT-Kompass das Problem der oft fehlenden Interoperabilität der unterschiedlichen Systeme in Industrienetzwerken ins Spiel.

Dem stimmt Martin Zeitler von Palo Alto Networks zu: "Hier steht unsere Industrie erst ganz am Anfang. Die Enterprise-IoT-Devices im Netzwerk sind in der Regel komplett ungemanagt, unsichtbar und mit keiner Risiko-Klassifizierung versehen." Erschwerend komme hinzu, dass die OT-Infrastruktur immer stärker in die IP-Welt eingebunden werde und es weitere Devices gibt, etwa Kerspintomographen, die immer mehr Daten produzieren. "Es wäre sträflich, diese Devices aus der Betrachtung herauszulassen", warnt Zeitler.

"Die unterschiedlichen IT-Systeme müssen sich alle miteinander verständigen können", fordert Thomas Liebeck von Accenture. "Wir finden ja bei unseren Kunden nie eine 'grüne Wiese', sondern eine mit vielen Security-Devices besiedelte Landschaft vor." Trotz aller Standardisierungsbemühungen ist eine 100-prozentiger Interoperabilität aber kaum realisierbar, und deshalb müsse man sich fokussieren. "Hier gibt es keinen Königsweg, jeder Anwender hat andere Systeme im Einsatz und die Prioritäten variieren stark von Kunde zu Kunde - genauso wie die Budgets."

Unterschiede zwischen Mittelständlern und Konzernen

Viele größere Kunden sind nach Ansicht der Diskutanten eher Compliance-getrieben, wohingegen kleinere Firmen eher taktisch mit Security-Lösungen versorgt werden möchten. "Hier gilt es, funktionierende Verknüpfungen zu den Bestandssystemen herzustellen, ohne die betrieblichen Abläufe zu stören", glaubt Torsten Hupe. Erst danach kann es um die Umsetzung des Projekts gehen, also um Technologien und Produkt-Features.

"Die Bereitschaft in Security zu investieren, variiert stark", meint Martin Zeitler von Palo Alto Networks. "Zwar haben Mittelständler im Prinzip gleich hohe Anforderungen an ihre IT-Security wie die Großunternehmen, sie verfügen aber nicht über die gleichen Netzwerke, über die sie sich austauschen können, wie die Konzerne". Und dann fehle es ihnen eben an Kenntnissen darüber, welche Gefahren ihnen drohen und wie sie sich dagegen wappnen können. Genau hier könnten aber unabhängige Berater ansetzen, die durchaus bereit sind, ihre Erfahrungen mit ihren Kunden zu teilen. "Genau an dem Punkt setzen wir seit Februar 2021 an. Wir gehen mit unseren Nextwave-Partnern in eine weitere Spezialisierungsebene, um die Kundenanforderungen mit mehr Wissenstransfer und Spezial-Knowhow zu adressieren."

Kostenpflichtige Beratung im Vorfeld oder diese Services in der Projektpauschale einpreisen?

Auf jeden Fall ist der Beratungsaufwand in der Pre-Sales-Phase relativ hoch, etwa bei der Risikoermittlung, aber könnte man diese nicht-Produkt-bezogene Dienstleistung dem Kunden als reine "Service-Pauschale" in Rechnung stellen? "Das komme auf den Kunden an", antwortet Ingo Schubert, RSA. Manche wollen nur ein Produkt kaufen und setzen voraus, dass die Beratung - etwa im Bereich Risiko-Management - im Preis inbegriffen ist. Budgets für grundlegende Beratung ließe sich unter Umständen aber herausschlagen, wenn man mit der Geschäftsleitung spricht.

Michael Weller hat ähnliche Erfahrungen gemacht: "Ja, es gibt Anwender, die nur ein 'Stück' Firewall kaufen wollen. Aber wir haben auch Kunden mit einem gewissen Reifegrad, die durchaus bereit sind, unsere kostenpflichte Beratung in Anspruch zu nehmen", so der NTT-Manager. Durch die steigende Zahl von Cyber-Angriffen ist die Nachfrage nach Schutz und Absicherung der Infrastruktur gestiegen. Das inkludiere auch Zero Trust-Projekte, so die Erfahrung von Simon Bilek von BlackBerry.

Controlware geht in diesem Umfeld proaktiv auf potentielle Kunden zu: "In Webcasts informieren wir Interessenten umfassend über die aktuelle Sicherheitslage und geben ihnen praxisbezogene Tipps und Lösungsansätze in die Hand", erklärt Rainer Funk. "Gerade unsere Beratungsleistungen werden sehr gut aufgenommen, da diese auf jahrelanger Erfahrung rund um Projekte jeder Größenordnung basieren. Um hier auf die Wünsche unserer Kunden individuell eingehen zu können, haben wir spezielle Consulting Pakete entwickelt."

Denn Kunden aus unterschiedlichen Marktsegmenten haben in der Regel unterschiedliche Anforderungen an ihre IT-Security: "Und deswegen ist es auch im Segment IT-Security so essenziell, sich auf bestimmte Branchen zu spezialisieren. Beispielsweise der Finanzsektor - dort gibt es konkrete Compliance-Vorgaben", argumentiert der Controlware-Manager. Andere Diskutanten führten hier noch die vertikalen Märkte Schule und Bildung, öffentlicher Dienst, Healthcare sowie Industrie ins Feld.

Aussichten für die Zeit nach der Corona-Pandemie

"Die Pandemie hat den Trend zur Remote-Arbeit beschleunigt", bemerkt Simon Bilek. "Und es ist wahrscheinlich, dass der Trend zum Homeoffice anhält. Unserer Lösungen bieten bei der Remote-Arbeit umfassenden Schutz der Anwender und Endgeräte - das umfasst auch BYOD-Laptops und Smartphones - durch KI-gesteuerte Endpoint Detection and Response (EDR), User & Entity Behavior Analysis (UEBA) sowie Mobile Threat Defense (MTD) der nächsten Generation", so der BlackBerry-Manager.

"Genau für die Remote-Arbeit sind Zero Trust-Konzepte bestens geeignet", meint auch Michael Weller. Seiner Ansicht nach hat die Pandemie dem Übergang zu komplett digitalen Arbeitsplätzen den nötigen Schub verpasst. "Unsere Kunden fragen uns nun, wie sie ihre modernen Workplaces wirksam absichern können, ohne die Endgeräte ihrer Mitarbeiter anzufassen", berichtetet der Security Solutions Architect bei NTT. Martin Zeitler geht gar von einer Zeitenwende aus: "Die Ära der hierarchischen Strukturen in den Unternehmen neigt sich dem Ende zu. In Zukunft wird viel Wert auf Vertrauen gelegt: keine Unterschriften, kein Anwesenheitspflicht, alles wird sich an Zielen orientieren", so der Palo Alto Networks-Manager.

Für Thomas Liebeck ist Zero Trust ein Anker, der die bisher bunt verteilten IT-Security-Budgets in eine strategische Richtung bündeln wird: "Es wird noch länger als ein Jahr dauern, bis sich das Zero Trust-Konzept auf breiter Front durchsetzen wird." Dann aber stünde der noch intensiveren Nutzung von Cloud-Diensten nichts mehr im Wege, hofft der IT-Security Architect bei Accenture. Eine änhliche Entwicklung für Zero Trust prognostiziert Torsten Hupe: "Es ist kein Strohfeuer. Es hat das Potenzial zum Langläufer." Beim Einsatz von IT-Security sieht der Berater sieht immense Vorteile durch die höhere Effizienz: "Die Ausgaben für IT-Security werden radikal sinken."

Rainer Funk betrachtet Zero Trust als Enabler der Digitalisierung in Schulen, Behörden sowie im Gesundheitsbereich und in der Industrie: "Die vergangenen 18 Monate haben uns sehr deutlich vor Augen geführt, was passiert, wenn wir nicht konsequent in die Digitalisierung investieren", so der IT-Security Solution Manager von Controlware.

"Zero Trust wird zum Sicherheitsstandard", meint Henning van der Linde. Das bedeutet für den Senior Channel Account Manager bei BlackBerry, dass sich der Beratungsbedarf auf Kundenseite massiv erhöhen wird. Seine zertifizierten BlackBerry Partner sind startbereit für die neuen Herausforderungen, um die Rolle der "Trusted Advisors" für ihre Kunden erfüllen zu können.

Weitere Channel-Workshops:
Cyber-Resilienz und der Channel
Cyber-Resilienz und die Corona-Krise
Beyond Office 365
Managed Print Services
Schutz der digitalen Identitäten
SASE/ZTNA