Das Thema Cybersicherheit dominiert mittlerweile die Diskussionen in den Vorstandsetagen. Durch die derzeitigen geopolitischen Spannungen und die wirtschaftliche Instabilität sind Unternehmen auf der ganzen Welt und in allen Branchen verstärkt von Cyberangriffen betroffen. Die Risiken, zu denen auch schwerwiegende Ransomware-Angriffe und Datenschutzverletzungen gehören, bei denen wichtige Kundendaten offengelegt werden könnten, sind real und potenziell verheerend. Infolgedessen werden sich die Unternehmen zunehmend der Bedeutung einer verbesserten Ausfallsicherheit und umfangreicher Vorkehrungen für Cybersicherheit bewusst. Unternehmen müssen von der bloßen Reaktion auf auftretende Angriffe dazu übergehen, in ihrer Cybersicherheitsstrategie proaktiv für das Unvermeidliche zu planen.
In den letzten Jahren hat die Zero-Trust-Sicherheitsstrategie stark an Bedeutung gewonnen. Ihr Grundprinzip ist einfach: Traue nichts und niemandem und überprüfe alles. Herkömmliche, am Netzwerkperimeter basierende Ansätze zur Cybersicherheit sind in der heutigen digital verteilten Landschaft nicht mehr ausreichend. Dies hat zur Einführung von modernen Zero-Trust-Architekturen geführt. Um die Sicherheit zu gewährleisten, müssen Unternehmen die Identität und Vertrauenswürdigkeit aller Benutzer, Geräte und Systeme, die auf ihre Netzwerke und Daten zugreifen, überprüfen.
Geschäftsführer und Vorstandsmitglieder haben das Zero Trust-Thema schon seit einiger Zeit auf dem Radar. Cloudflare veröffentlichte die Studie „The Journey to Zero Trust“ („Der Weg zu Zero Trust“), aus der hervorging, dass 86 Prozent der Befragten Zero Trust bereits kannten. Zero Trust ist nicht mehr nur ein Konzept, sondern eine Voraussetzung. Da Remote- oder Hybridarbeit die Norm ist und Cyberangriffe zunehmen, erkennen Unternehmen, dass sie einen völlig neuen Cybersicherheitsansatz wählen müssen. Die Umsetzung solcher strategischen Veränderungen könnte sich als schwierig erweisen. Obwohl viele Unternehmen damit begonnen haben, Zero-Trust-Prozesse und -Technologien einzuführen, haben nur wenige diese vollständig in alle Bereiche integriert. Die Erhebungen von Cloudflare zeigen, dass 65 Prozent der Unternehmen mit der Implementierung von Zero Trust-Methoden und -Technologien begonnen haben. Es gibt noch viele Möglichkeiten, Zero Trust als festen Bestandteil eines Unternehmens zu etablieren.
Mehrere multinationale Unternehmen stehen in der Umsetzungsphase ihrer Zero-Trust-Programme vor Herausforderungen. Probleme entstehen häufig durch unklare Führung und Verantwortlichkeiten. Wer genau ist für die Einführung und Umsetzung von Zero Trust innerhalb des Unternehmens verantwortlich? Hier kann die Position eines „Chief Zero Trust Officer“ (CZTO) einen Unterschied machen.
Große Organisationen benötigen kompetente Führungspersönlichkeiten, die das Schiff steuern und für einen reibungslosen Geschäftsbetrieb sorgen. Unternehmen übertragen solche Führungsaufgaben an Personen mit Jobtiteln der Geschäftsleitung („C-Level“ bzw. „die C-Ebene“), wie Chief Executive Officer (CEO) oder Chief Financial Officer (CFO). Diese Positionen sind dafür da, die Richtung vorzugeben, eine Strategie festzulegen, wichtige Entscheidungen zu treffen und das Tagesgeschäft zu überwachen. Sie werden häufig gegenüber dem Vorstand für die allgemeine Performance und den Erfolg verantwortlich gemacht.
Ebenso benötigen große Organisationen und Unternehmen eine einzige Person, die für die Leitung der Zero-Trust-Umstellung verantwortlich ist. Diese Führungspersönlichkeit sollte über eine unermüdliche Konzentration verfügen und mit der Vollmacht ausgestattet sein, Zero Trust im gesamten Unternehmen umzusetzen. So entstand das Konzept des Chief Zero Trust Officer. Beim „Chief Zero Trust Officer“ mag es sich nur um einen Titel handeln, aber diese Rolle ist von großer Bedeutung. Der Titel erregt Aufmerksamkeit und hat das Potenzial, zahlreiche Hindernisse zu überwinden, die bei der Umsetzung von Zero Trust zu bewältigen sind.
Chief Zero Trust Officers können Unternehmen bei der Bewältigung verschiedener technologischer Herausforderungen helfen, die bei der Einführung von Zero Trust auftreten können. Es kann einige Zeit dauern, die komplizierte Architektur bestimmter Anbieter zu verstehen und auszuführen, umfangreiche Schulungen zu absolvieren oder professionelle Dienstleistungen in Anspruch zu nehmen, um das erforderliche Fachwissen zu erwerben. In einer Zero-Trust-Umgebung kann die Identifizierung und Authentifizierung von Benutzern und Geräten schwierig sein. Sie erfordert eine genaue Bestandsaufnahme der Nutzerbasis des Unternehmens, der Gruppen, denen sie angehören, sowie ihrer Anwendungen und Geräte.
Auf der organisatorischen Seite ist die Koordination zwischen verschiedenen Teams entscheidend für die effektive Umsetzung von Zero Trust. Der Abbau der Trennlinien zwischen IT-, Cybersicherheits- und Netzwerkabteilungen sowie die Einrichtung klarer Kommunikationskanäle und häufiger Teambesprechungen können zu einer einheitlichen Sicherheitsstrategie beitragen. Auch der Widerstand gegen Veränderungen kann ein erhebliches Hindernis darstellen. Führungskräfte sollten auf Methoden wie die Führung durch Vorbild, transparente Kommunikation und die Einbeziehung der Mitarbeitenden in den Veränderungsprozess setzen, um mehr Bereitschaft für die Umstellung zu schaffen. Um den Übergang zu erleichtern, kann es hilfreich sein, Bedenken im Vorfeld auszuräumen, Unterstützung anzubieten und Schulungsmöglichkeiten für das Personal zu schaffen.
Benötigen Organisationen einen CZTO? Kann jemand aus dem CTO- oder CISO-Büro, der derzeit für die Sicherheit zuständig ist, mit dieser Position betraut werden? Die Unternehmen sollten einen Titel vergeben, der sich nach dem Grad der strategischen Bedeutung des Unternehmens richtet. Ob man nun eine Bezeichnung wie den Chief Zero Trust Officer, Head of Zero Trust, VP of Zero Trust oder eine andere wählt, der Titel muss Aufmerksamkeit erregen und mit der Kompetenz verbunden sein, Silos aufzubrechen und Bürokratie zu überwinden.
Neue C-Level-Positionen gibt es immer wieder. Chief Digital Transformation Officer, Chief Experience Officer, Chief Customer Officer und Chief Data Scientist sind nur einige der neuen Positionen, die in den letzten Jahren entstanden sind. Die Position des Chief Zero Trust Officer ist wahrscheinlich nicht einmal eine dauerhafte Funktion. Die verantwortliche Person wird jedoch die Macht und die Vision haben, die Zero-Trust-Initiative mit Unterstützung der Geschäftsleitung und des Vorstands voranzutreiben.
Die Umstellung auf Zero-Trust-Sicherheit ist für viele Unternehmen mittlerweile ein Muss, da die herkömmliche, perimeterbasierte Sicherheitsstrategie nicht mehr ausreicht, um die ausgefeilten Cyberangriffe von heute abzuwehren. Die Leitung durch einen CZTO ist entscheidend für die Bewältigung der technischen und organisatorischen Hürden, die bei der Umsetzung von Zero Trust auftreten. Der CZTO wird die Zero-Trust-Initiative leiten, Teams zusammenbringen und Barrieren abbauen, um eine nahtlose Einführung zu erreichen. Die Rolle des CZTO unterstreicht die Bedeutung von Zero Trust im Unternehmen. Sie stellt sicher, dass die Zero-Trust-Initiative die nötige Aufmerksamkeit und die notwendigen Ressourcen erhält, um erfolgreich sein zu können. Unternehmen, die jetzt einen CZTO ernennen, werden in Zukunft erfolgreich sein.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Dieser Artikel wurde ursprünglich für CEO Insights Asia verfasst.
John Engates — @jengates
Field CTO, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Wie man die Hindernisse zur
Zero Trust-Einführung überwindet
Warum ein CZTO den Erfolg einer Organisation sichern wird