Immer mehr Unternehmen setzen auf eine Zero-Trust-Architektur, um ihre IT-Umgebungen vor Angriffen und Missbrauch zu schützen. Der Zero-Trust-Ansatz bringt gegenüber klassischer Perimetersicherheit und mehrstufiger Abwehr einige Vorteile, aber auch Unzulänglichkeiten und Risiken mit sich. Ein Risiko besteht darin, dass die laufende Überwachung der Nutzeraktivitäten – ein Kernbaustein von Zero Trust – die Privatsphäre der Belegschaft beeinträchtigen könnte. Hier sind Maßnahmen für eine sinnvolle Balance gefragt.
Mit Blick auf die Nutzerschaft kommen in Sachen Zero Trust vorrangig fünf Verfahren zum Einsatz:
1. Nachweis der Nutzeridentität mittels starker Authentifizierung (Mehrfaktor-Authentifizierung, Biometrie).
2. Laufende Kontrolle des Endgeräts (idealerweise mit proaktiven Schutzfunktionen, also Endpoint Detection and Response, EDR).
Mit Blick auf die Nutzerschaft kommen in Sachen Zero Trust vorrangig fünf Verfahren zum Einsatz:
1. Nachweis der Nutzeridentität mittels starker Authentifizierung (Mehrfaktor-Authentifizierung, Biometrie).
2. Laufende Kontrolle des Endgeräts (idealerweise mit proaktiven Schutzfunktionen, also Endpoint Detection and Response, EDR).
3. Auf das Notwendige begrenzte Zugriffsrechte (Least-Privilege-Prinzip).
4. Kontinuierliche Analyse des Benutzerverhaltens (genauer: des Benutzerkontos und Endgeräts, damit auch der dort laufenden Prozesse und Applikationen).
5. Betrachtung des Risikokontexts (inklusive Informationen zur Bedrohungslage, also Threat Intelligence).
Die kontinuierliche Verhaltensanalyse deckt erstens Regelverstöße auf, etwa wenn der Nutzer versucht, sich an Datenquellen anzumelden, die seine Berechtigungen überschreiten. Zweitens vergleicht sie das aktuelle Verhaltensmuster mit dessen Historie im Hinblick auf auffällige Ausreißer und ungewöhnliche Häufungen, etwa fehlgeschlagener Anmeldeversuche.
Für die zweite Analysevariante kommt gerne künstliche Intelligenz (KI) in Form von maschinellem Lernen (ML) zum Einsatz. Schließlich geht es hier recht schnell um enorme Datenmengen, die auszuwerten sind. Die anfallenden Massen an Informationshäppchen wollen protokolliert und zum Nachweis sowie für Training und Inferenz der KI-Algorithmen in einem riesigen Datensee gespeichert sein. Ohne KI bräuchten viele Unternehmen heute einen wahren James Bond, um Angreifer aufzuspüren.
Vertraue niemandem
Der Grund für all den Aufwand: Etablierte Verfahren, um die Goldfingers und Blofelds der Cybercrime-Welt von Unternehmensdaten fernzuhalten, entpuppen sich oft als eher mittelwirksam. Die IT-Sicherheit leidet nicht nur an historisch gewachsenen (sprich: völlig unübersichtlichen) IT-Landschaften, einem Flickenteppich an Security-Tools, Personalnotstand und zu knappen Security-Budgets. Oft kommt erschwerend hinzu, dass Vertrauen zu Nutzern eher lieblos etabliert wird, nämlich einmalig beim Zugang zum Unternehmensnetz.
Dies beruht auf der allzu menschlichen Grundannahme, dass Angreifer von außen kommen. Der Neandertaler in unserem Stammhirn sagt uns: "Die hier drinnen bei mir in der Höhle sind die Guten (klar, sind ja alle mit mir verwandt), da draußen aber lauern der Säbelzahntiger, der böse Wolf und die noch bösere Nachbarhorde." Die Konsequenz: Sicherheit ist gefühlt vor allem Perimetersicherheit, also der Schutz der Außengrenze. Wie schnell dies bei findigen Angreifern schiefgehen kann, zeigt der Untergang Trojas in der Odyssee.
In der digitalen Welt hat sich "Schutz = Perimetersicherheit" als Mythos geradezu trojanischen Ausmaßes erwiesen. Deshalb raten Security-Fachleute schon seit Langem zu mehrschichtigen Verteidigungsmaßnahmen (Defense in Depth). Das Zero-Trust-Konzept spinnt diesen Gedanken weiter und ergänzt ihn durch einen strukturierten Ansatz, der Vertrauensbeziehungen, Zugriffsrichtlinien, kontinuierliche Überwachung und Risikoanalysen in den Mittelpunkt stellt.
Zero-Trust-Historie im Schnelldurchlauf
Werfen wir kurz einen Blick auf die frühen Sean-Connery-Jahre des Zero-Trust-Gedankens. 2009 griff Forrester-Analyst John Kindervag die Ideen von Fachleuten wie etwa des Jericho Forums, einer Gruppe von CISOs, rund um das Wegfallen des Perimeters in modernen Unternehmen und die Notwendigkeit von Defense in Depth auf. In einem Whitepaper [1] goss er dies in ein "Zero Trust" genanntes Modell für Informationssicherheit. Kurz darauf startete Google ein Projekt für eine Zero-Trust-Architektur.
Aston-Martin-Tempo erreichte das Konzept aber erst ein gutes Jahrzehnt später. Nach einer Angriffswelle auf US-amerikanische Unternehmen und kritische Infrastruktur forderte US-Präsident Biden 2021 per Executive Order 14028 [2] von US-Behörden, eine Zero-Trust-Strategie einzuführen. Seither gewinnt der Ansatz an Momentum, auch in Deutschland. So beschrieb das BSI (Bundesamt für Sicherheit in der Informationstechnik) letztes Jahr in seinem "Positionspapier Zero Trust 2023" [3] das Konzept und dessen Umsetzung. Auch die EU-Cybersicherheitsrichtlinie NIS 2 nennt Zero Trust als angestrebtes Maßnahmenpaket [4].
Zero Trust: Architektur, nicht Produkt
Auch wenn diverse Anbieter ihre Produkte als "Zero-Trust-Lösungen" vermarkten: Fachleute werden nicht müde zu betonen, dass Zero Trust kein Produkt ist, sondern eine Sicherheitsarchitektur. Anders gesagt: ein Bündel an Zielen und Maßnahmen, um die verschiedenen Segmente der IT-Sicherheit zu einem integrierten Modell der Informationssicherheit zusammenzuführen. In Anlehnung an das Zero-Trust-Reifegradmodell der US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) nennt das BSI fünf Bereiche: Identität, Gerät, Netz, Anwendung und Daten.
Jeder erfordert eigene Maßnahmen, um die beiden Schutzziele Datenintegrität und -vertraulichkeit zu erreichen – das dritte Schutzziel Datenverfügbarkeit spielt im Zero-Trust-Konzept keine Rolle. Für die Umsetzung definiert das BSI-Papier die drei Reifegrade "klassisch", "fortschrittlich" und "ideal". Die Maßnahmen reichen vom Identity- und Access-Management (IAM) über Netzwerksegmentierung und Perimeterschutz – die Firewall bleibt auch in dieser Architektur wichtig – bis hin zur Zugriffsanalyse, um zu vermeiden, dass Angreifer oder Nutzer interne Daten exfiltrieren. Kurz: In vielen Fällen sind die geforderten Maßnahmen altbekannt.
Zero-Trust-Marketiers werben beispielsweise gerne damit, dass ihre Lösungen "Impossible Travel" (unmögliches Reiseverhalten) aufdecken. Gemeint sind aufeinanderfolgende Logins eines Nutzers mit einem Ortswechsel, den kein Mensch so schnell schaffen würde – ein klassisches Indiz für gekaperte Credentials. In dieser Hinsicht gleicht die digitale Welt der des Kinos: Plötzlich aus dem Nichts ins Bild zu springen und loszuschlagen bleibt Schurken und Monstern vorbehalten. Um solche Umtriebe aufzudecken, muss ein Unternehmen allerdings keine schicke neue "Zero-Trust-Software" beschaffen: Auch IAM-Systeme erkennen bereits monströse Mobilität.
Sicherheitsarchitektur mit Vor- und Nachteilen
Viele Security-Anbieter – vor allem aus den USA – sind auf den Zero-Trust-Zug aufgesprungen und feiern das Konzept als großen Fortschritt: Zero Trust ist die Sau, die derzeit durchs Dorf der sieben Geißlein getrieben wird. Laut Security-Fachleuten ist es durchaus sinnvoll, die Informationssicherheit über alle fünf genannten IT-Bereiche hinweg mit Fokus auf Vertrauensbeziehungen, Identitäts- und Gerätekontrolle, Verhaltensanalyse sowie Risikoauswertungen zu vereinheitlichen. Doch das Konzept birgt Vor- und Nachteile.
Dass Zero Trust, wie stets betont, kein Produkt ist, erweist sich zunächst als Vorteil: Kaum ein Unternehmen wäre bereit, seine gesamte Security-Infrastruktur auszurangieren, nur weil irgendein (US-)Anbieter behauptet, endlich die allein selig machende Abwehrlösung entwickelt zu haben – derlei Wunderwaffen überlassen wir lieber Q in der Forschungsabteilung des MI6. Doch als Architekturkonzept bedeutet Zero Trust zugleich: Die fünf IT-Bereiche nähern sich mit unterschiedlichsten Tools und in unterschiedlichen Geschwindigkeiten dem Zero-Trust-Ziel. Dies sorgt auf absehbare Zeit geradezu zwangsläufig für Lücken und Inkonsistenzen beim Versuch, Security-Silos zu synchronisieren.
Schließlich kann es vorkommen, dass beteiligte Security-Anwendungen die Vertrauenswürdigkeit des Nutzers oder die Risikolage unterschiedlich einschätzen. Was dann? Hinzu kommt, dass die schicken neuen Zero-Trust-Angebote oft Cloudservices US-amerikanischer Anbieter sind. Sollte ein Unternehmen die Entscheidung über den Zugang zum eigenen Netzwerk an einen Clouddienst auslagern, was diesen zum Flaschenhals für die Zugriffssicherheit macht? Cloudprovider Microsoft zum Beispiel hat sich letzthin in puncto Sicherheit nicht gerade mit Ruhm bekleckert.
Vor dem Aston Martin der Zero-Trust-Sicherheit liegt eine weitere Schotterpiste: der Datenschutz. Denn der originäre Wertbeitrag vieler Zero-Trust-Angebote liegt wie erwähnt darin, eine kontinuierliche Analyse des Nutzerverhaltens zu erstellen und dies per KI mit historischen Verhaltensmustern und Risikoindikatoren abzugleichen. Ganz abgesehen davon, dass ein enormer Datenbestand aufläuft, damit dies dauerhaft über die gesamte Belegschaft hinweg funktioniert: Sofort steht die Frage im Raum, wie sich in Zero-Trust-Umgebungen die Privatsphäre der Belegschaft wahren lässt.
Zero Trust und die Privatsphäre der Beschäftigten
"Betreibt ein Unternehmen eine Zero-Trust-Lösung unter eigener Kontrolle im Haus, stellt dies meist kein Privacy-Problem dar", berichtet Steffen Ullrich. Der Technology Fellow beim Security-Anbieter Genua hat an der Zero-Trust-Architektur der Gematik mitgearbeitet, die die Telematikinfrastruktur des deutschen Gesundheitswesens betreibt. Er sieht hier keine Probleme, denn das Unternehmen nutzt wahrscheinlich längst ein Intrusion-Detection-System, und dieses verarbeitet Netzwerkdaten. Damit müsste also die Datenverarbeitung für Security-Zwecke bereits geregelt sein.
Allerdings sind die meisten der unter dem Label "Zero Trust" vermarkteten Security-Angebote mangels einheimischer Konkurrenzangebote Cloudservices von US-Anbietern. Hier ist laut Ullrich darauf zu achten, dass über die Auftragsdatenverarbeitung der Speicherort und der Umfang der Datenerfassung ausreichend beschränkt sind. Dies gilt umso mehr, als die Anbieter KI-gestützter Security-Dienste die Telemetriedaten ihrer Kundenbasis dazu nutzen, um ihre KI-Modelle fortlaufend zu trainieren.
Vor allem aber geht die KI-gestützte Analyse des Benutzerverhaltens (User Behavior Analytics, UBA), wie sie manche US-amerikanische Zero-Trust-Produkte betreiben, über traditionelle Logdatensammlung weit hinaus. Es entsteht also ein Spannungsfeld: einerseits die gesetzlich verbriefte Privatsphäre der Belegschaft, andererseits die nicht minder gesetzlich vorgeschriebene Notwendigkeit, Unternehmensdaten zu schützen – sensible Interna, Kundendaten und nicht zuletzt Informationen über die Beschäftigten. Diese Konstellation birgt laut Juristen durchaus Sprengstoff.
"Unternehmen, die auf eine Zero-Trust-Architektur setzen, können schnell in Konflikt mit gesetzlichen Vorgaben geraten", warnt zum Beispiel Stefan Hessel, Rechtsanwalt und Head of Digital Business bei der Reusch Rechtsanwaltsgesellschaft (reuschlaw), mit Blick auf DSGVO und BDSG (Datenschutz-Grundverordnung, Bundesdatenschutzgesetz). Ein Unternehmen muss laut dem Juristen zunächst prüfen, auf welcher Rechtsgrundlage es personenbezogene Daten verarbeitet, um seine IT-Sicherheit zu gewährleisten. In Betracht kommt hier die rechtliche Verpflichtung, für IT-Sicherheit zu sorgen (wie etwa in NIS 2 und diversen Branchenregularien gefordert), ebenso ein "berechtigtes Interesse". Von diesem ist beispielsweise auch in der DSGVO die Rede.
Juristen mahnen: Unternehmen sind verpflichtet, Daten sparsam und zweckgebunden zu erheben und zu speichern. Im Rahmen einer Zero-Trust-Architektur darf ein Unternehmen also nicht mehr Daten über seine Beschäftigten sammeln als nötig, und es darf diese auch nur zum Zweck der Cybersicherheit verarbeiten. Dabei muss es die Sicherheit der Datenverarbeitung gewährleisten und die Belegschaft über diese informieren. Je nach Umgebung sind laut Hessel auch "exotischere Anforderungen" wie das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) zu berücksichtigen.
Entscheidend ist laut Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, letztlich die Frage, ob eine Überwachung geeignet ist, das Verhalten des Mitarbeiters zu beurteilen und damit auch seine Leistung zu bewerten. Je intensiver die Überwachung, desto mehr sei davon auszugehen. Neben der DSGVO könnten dann laut Kipker auch Fragen der betrieblichen Mitbestimmung durch den Betriebsrat zu beachten sein.
Unterliegt das Unternehmen wie etwa ein Betreiber kritischer Infrastruktur einer gesetzlichen Pflicht, bestimmte IT-Sicherheitsmaßnahmen umzusetzen, stelle dies aber eine Ausnahme vom Mitbestimmungsrecht dar. Von Betriebsvereinbarungen zum Thema hält er hingegen nichts: Es sei "riskant, Cybersecurity-Maßnahmen auf die datenschutzrechtliche Einwilligung der Mitarbeiter zu stützen" – zumal es gesetzliche Grundlagen gibt, um die Verarbeitung personenbezogener Daten zu Zwecken der IT-Sicherheit zu legitimieren, auch ohne dass die Betroffenen einwilligen.
Datensparsamkeit und lokale Datenhaltung
Eine Zero-Trust-Architektur muss, wie Experte Steffen Ullrich betont, dem Schutzbedarf des Unternehmens entsprechen. Ein Unternehmen muss also immer zuerst evaluieren: Welche Nutzer-, Verhaltens- und Gerätedaten brauche ich tatsächlich, wie lange brauche ich sie und wo speichere ich sie?
Als Beispiel für diese Forderungen nach Zweckbindung und Datensparsamkeit zieht er den erwähnten Fall der "unmöglichen Reisen" heran: Um Anomalien aufzudecken, kann eine Zero-Trust-Komponente die IP-Adresse des Nutzers erfassen. Sind genauere Angaben gewünscht, muss das Security-Team per GPS auf dem Endgerät die Standortdaten ermitteln und diese zentral verarbeiten – also deutlich invasiver vorgehen. Verantwortliche sollten sich laut Ullrich deshalb fragen, ob diese Zusatzinformation wirklich nötig ist.
Zugleich warnt er: Je mehr solcher Daten das Unternehmen an einer Stelle vorhält, desto attraktiver macht dies den Datenpool wiederum als Angriffsziel. Als Alternative verweist er auf die Möglichkeit, die gerätespezifische Datensammlung dezentral und signiert auf den Endgeräten zu speichern.
Datenschutz-Folgenabschätzung
Ein Konflikt mit dem Gesetz lässt sich laut Rechtsanwalt Stefan Hessel am besten vermeiden, wenn das Unternehmen die rechtlichen Anforderungen von Anfang an mitdenkt und in der Zero-Trust-Architektur konsequent umsetzt. In der Praxis sehr hilfreich und bei einem hohem Datenschutzrisiko sogar gesetzlich vorgeschrieben ist laut dem Juristen die Durchführung einer Datenschutz-Folgenabschätzung (DSFA).
Mit einer DSFA analysiert das Projektteam die Risiken, die mit einer Zero-Trust-Architektur verbunden sind, systematisch aus Datenschutzsicht. Die DSFA beschreibt die geplanten Verarbeitungsvorgänge und deren Zweck. Auf dieser Basis bewertet das Projektteam, ob die jeweilige Datenverarbeitung notwendig und verhältnismäßig ist und evaluiert die Risiken für die Betroffenen. Abschließend beschreibt eine DSFA die technischen und organisatorischen Abhilfemaßnahmen, die erforderlich sind, um die personenbezogenen Daten zu schützen. Die DSFA ist damit laut Hessel der Schlüssel, um weitere Maßnahmen effektiv umzusetzen und zu dokumentieren, darunter Pseudonymisierung, Vier-Augen-Prinzip, Rollen- und Rechtekonzept, Sensibilisierungsmaßnahmen oder regelmäßige Audits.
Anonymisierung und Pseudonymisierung
Erfasst eine Organisation personenbezogene Daten, so gibt es ein Hauptinstrument, um die Privatsphäre der betroffenen Personen zu schützen: die Anonymisierung der Daten. Was bei Meinungs- oder Wahlumfragen wunderbar klappt, funktioniert allerdings im Zero-Trust-Umfeld nicht. Denn im Ernstfall muss das Security-Team ermitteln können: Wer ist dieser Nutzer mit der Nummer 007, der – offenbar zu Spionagezwecken – klammheimlich Daten exfiltriert?
Echte Anonymisierung scheidet damit aus. Deshalb nutzt die Security-Branche das Mittel einer Anonymisierung "zweiter Klasse": Pseudonymisierung. Hier zeigt eine Security-Anwendung relevante Informationen zunächst ohne direkten Bezug zu einer Person an, also beispielsweise mit verschleierter E-Mail-Adresse. Im Ernstfall – und eben nur dann – lässt sich der Nutzer aber doch ermitteln: Nach Freigabe per Vier- oder Sechs-Augen-Prinzip reichern die Zuständigen die verdächtigen Daten um die im System hinterlegten personenbezogenen Informationen an und heben so die Pseudonymisierung wieder auf. Dies sorgt für sehr weitgehenden Schutz der Privatsphäre.
Allerdings berichtet Stefan Strobel, Inhaber des Security-Beratungshauses Cirosec: "Von großen Unternehmen, die über Pseudonymisierungsfunktionen verfügen, höre ich eher, dass sie das gar nicht anwenden." Hier habe vielmehr das Security-Team mit dem Betriebsrat gesprochen und aufgeklärt: Warum ergreifen wir welche Maßnahmen, warum ist das wichtig? Und dass sowieso nur bei einem Anfangsverdacht eine Meldung kommt. Denn dadurch kann das Security-Team im Notfall schneller reagieren. Verliert dieses einen halben Tag, bis die Zustimmung vorliegt, um die Pseudonymisierung aufzuheben, könnte das Unternehmen schließlich schon vollständig verschlüsselt sein und einen Millionenschaden erleiden. Laut Angaben von IBM kann ein Ransomware-Angriff bis zu 1,7 TByte Daten pro Minute verschlüsseln. Innerhalb von nur 24 Stunden sind damit rund 2,5 PByte Daten nicht mehr nutzbar [5].
Kein echter Zielkonflikt
Verzicht auf Pseudonymisierung bedeutet jedoch: Das Security-Team erhält die Telemetriedaten der kontinuierlichen Mitarbeiterüberwachung im Klartext. "Abstrakt formuliert kann das nach einem riesigen Zielkonflikt klingen", sagt Strobel, "aber in der Praxis ist es das gar nicht."
Den größten Wert, um gefährliche Aktivitäten zu erkennen, haben laut seiner Einschätzung derzeit EDR- und XDR-Produkte (XDR: Extended – also netzwerkweite – Detection and Response). EDR-Tools arbeiten mit Agenten auf den Endgeräten, die das gesamte Prozessverhalten überwachen. Dies sind allerdings nur Softwareagenten, nicht Geheimagenten des Chefs. Events entstehen, wenn ein Prozess startet, auf die Registry zugreift, eine Datei öffnet, einen Domainnamen auflöst, Server im Internet kontaktiert et cetera. Die Software bewertet das im Gesamtbild mit KI und Regeln. Sieht der Agent, dass etwa ein aus dem Internet geladenes Objekt eine Verbindung nach Russland aufbaut und den Autostart-Bereich der Registry manipuliert, dann löst er Alarm aus. "Dies hat also nichts damit zu tun, ob der Mitarbeiter zur Arbeitszeit bei Amazon shoppt – das interessiert solch ein System nicht", beschwichtigt Strobel. "Der Zielkonflikt ist also viel theoretischer, als es auf der abstrakten Ebene erscheinen mag."
Zwar dienen EDR/XDR-Systeme dazu, ungewöhnliches Verhalten zu entdecken, aber auf rein technischer Ebene: Sieht das Verhalten aus wie das einer Schadsoftware, die versucht, Systeme zu kompromittieren und vertrauliche Daten zu exfiltrieren? Das hat laut Strobel somit nichts oder zumindest kaum etwas mit Persönlichkeitsrechten zu tun und müsste sogar im Interesse der Belegschaft sein: "Wenn mein Account gehackt wird und in meinem Namen Unternehmensdaten ausgeschleust werden, ist es mir doch eigentlich recht, dass eine Security-Software den großen Schaden für das Unternehmen verhindert."
Dem Misstrauen entgegenwirken
Dennoch wird so mancher Betriebsrat wohl erst einmal in schönster Sean-Connery-Manier stirnrunzelnd die Augenbraue heben. Dies liegt nicht zuletzt am unglücklich gewählten Anglizismus "Zero Trust". Denn der Begriff legt aus Sicht der Beschäftigten nahe: "Mein Arbeitgeber vertraut mir nicht und will deshalb all meine Aktivitäten überwachen!" Dieser Verdacht steht natürlich erst recht im Raum, wenn eine vollumfängliche UBA-Nutzung geplant ist.
Doch UBA kommt laut Fachleuten erst dann zum Einsatz, wenn das Unternehmen bereits ein SOC (Security Operations Center) samt SIEM-System (Security Information and Event Management) betreibt. Dorthin wandert also schon jede Anmeldung, jede ein- oder ausgehende E-Mail et cetera. UBA wertet lediglich die vorliegenden Daten maschinell aus. Der KI-Einsatz ist damit laut Experten ein Fortschritt nicht nur für die Angriffserkennung, sondern auch für die Privatsphäre der Beschäftigten: Hier sichtet kein IT-Mitarbeiter die Alarme manuell; vielmehr spült eine KI – zumindest in der Theorie – nur Vorgänge nach oben, wenn korrelierte Daten einen Missbrauch des Nutzerkontos nahelegen. Events ohne begründeten Anfangsverdacht tauchen im UBA-Interface gar nicht erst auf. Mitarbeiter können in Leerlaufzeiten also ruhig im Internet shoppen – solange sie keine Schadsoftware herunterladen.
Das alles will einer Belegschaft und ihrem Betriebsrat aber erst einmal vermittelt sein. Hier sind Geschäftsleitung und Projektteam gefordert, die Beschäftigten schon im Vorfeld über eine geplante Zero-Trust-Einführung aufzuklären – über die Bedrohungslage, die eine Zero-Trust-Architektur überhaupt erst erforderlich macht, wie auch über das, was die Software an Daten sammelt, auswertet und anzeigt oder eben nicht anzeigt.
Dem Change-Management kommt deshalb laut dem Experten Ullrich große Bedeutung zu, um die Beschäftigten "mitzunehmen" und den Verdacht zu vermeiden, das Unternehmen wolle der Belegschaft etwas überstülpen. Optimal ist es seiner Ansicht nach, wenn die Mitarbeitenden in der Zero-Trust-Umgebung ihren eigenen Vorteil entdecken. Sein Tipp: "Es kann sinnvoll sein, zeitgleich Single Sign-on einzuführen, damit die Beschäftigten sehen: Die Anmeldung geht jetzt viel bequemer!"
Fazit
Plant ein Unternehmen, seine Security-Infrastruktur auf eine Zero-Trust-Basis – insbesondere eine mit KI-Unterstützung – zu stellen, ist es ratsam, die Strategie klar zu formulieren und den Beschäftigten frühzeitig, ausführlich und gegebenenfalls im Dialog zu vermitteln. Nur so lässt sich die Notwendigkeit der Maßnahmen erklären und der Verdacht ausräumen, der Arbeitgeber wolle der Belegschaft nachspionieren.