Mit Digital Employee Experience einfacher zu Zero-TrustEs gibt keine grundsätzliche Vertrauensstellung mehr
14. September 2022Zero-Trust-Konzepte beruhen auf der Erkenntnis, dass die Sicherheit auf Endnutzerebene gestärkt werden muss, da es keine grundsätzliche Vertrauensstellung mehr gibt. Mit der Verlagerung der Endgeräte heraus aus dem vermeintlich geschützten Unternehmensnetzwerk entsteht ein mehr oder weniger blinder Fleck im IT-Management. Hier gilt es, sich die Automatisierungs- und Analytics-Funktionen von Digital Employee Experience Management (DEX Management) zunutze zu machen, um Produktivität, Akzeptanz und Sicherheit gleichzeitig sicherzustellen.
Zero Trust-Konzepte können auf unterschiedliche Weise um- und durchgesetzt werden, je nach bestehenden Infrastrukturen und Organisation der IT. Klar ist in jedem Fall, dass sie hochgradig automatisiert werden müssen.
Typischerweise definiert ein Sicherheitsteam das Zero-Trust-Framework und stellt dessen Umsetzung sicher. Netzwerkteams kümmern sich um die Bereitstellung, Konfiguration und das Management der einzelnen Security-Komponenten. Das IT Service Management steht letztlich vor der Anforderung, insbesondere das Geschehen bis zu den Endgeräten bzw. Endanwendern im Blick zu behalten. Hier treffen vielschichtige Risikofaktoren aufeinander.
- Konsolidierte Sicht auf alle Endgeräte: Klingt zunächst trivial, ist es aber nicht. Geeignete DEX-Plattformen schaffen erstmals eine Gesamtsicht auf die Konfiguration, Rechte und Softwareinstallationen aller Endgeräte, die Zugriff auf das Unternehmensnetz bzw. dessen Ressourcen haben. Auf dieser Grundlage können die nötigen Zero-Trust-Maßnahmen lückenlos für alle Endgeräte definiert und von zentraler Stelle aus ausgerollt bzw. in den Konfigurationen umgesetzt werden.
- Automatisiertes Patch-Management: Die Zeiten nachlässiger Updates und verzögerter Installationen von Sicherheits-Patches sind vorbei. Endgeräte und die darauf installierte Software müssen kontinuierlich auf dem aktuellen Stand gehalten und auf Funktionalität der Security- und Compliance-Tools geprüft werden können.
- Echtzeit-Telemetriedaten in der Gesamtsicht: Die Telemetriedaten aller Endgeräte müssen in der nötigen Qualität und automatisiert in Echtzeit erfasst werden, um Risiken proaktiv und vorausschauend zu begegnen.
- Korrelation von möglichen Risikofaktoren: Die Gesamtsicht auf die Telemetriedaten schafft – und das ist entscheidend – Kontext. Dann greift Predictive Analytics, um neben akuten Bedrohungen auch potenzielle Sicherheitslücken auf Geräte-, Netzwerk- und Applikationsebene vorausschauend zu erkennen und zu beheben.
- Hinterlegte Lösungsverfahren: Für möglichst kurze Reaktionszeiten müssen bei Risikoszenarien für die IT-Teams Prozesse hinterlegt sein, die maximal automatisiert im akuten Fall abgearbeitet werden.
- Endanwender-Support: Anwender brauchen umfassende und zeitnahe Unterstützung, um in Zero-Trust-Umgebungen produktiv und sicher arbeiten zu können. Dabei geht es nicht nur um technische Fragen. Wichtig ist, Akzeptanz und Verständnis für die Zero-Trust-Maßnahmen zu schaffen.
In der Konsequenz dieser Anforderungen sind Zero-Trust-Umgebungen nicht umsetzbar, wenn das IT Service Management Team mit der häufig üblichen verteilten Sicht auf das Unternehmensnetz konfrontiert ist, die teils noch überlappende Verantwortlichkeiten aufweist.
Das Client-Management kümmert sich um Endgeräte und gemeinsam mit dem Network Monitoring um die Navigation im Unternehmensnetz. Das Network Monitoring hat in der Regel noch Public und Private Networks im Blick, teilweise auch lokale Infrastrukturen. Anbieter aus den Bereichen Application Performance Management (APM) und Software-as-a-Service (SaaS) liefern ihrerseits Daten zum Geschehen auf Netz- und Endanwenderebene.
Diese vielschichtigen, teils isolierten Sichten, gepaart mit sporadischen E-Mail-Umfragen bei Endanwendern zu ihren Erfahrungen mit dem digitalen Arbeitsplatz, bergen mehrere Risikofaktoren:
- Es bleibt zu viel Raum für Interpretationen in der Sicherheit.
- Compliance-Probleme werden übersehen, wenn Monitoring- und Performancedaten nicht übergreifend korreliert werden können.
- Sicherheitsmaßnahmen können nicht lückenlos automatisiert ausgerollt und überprüft werden.
- Fehlkonfigurierte Schutzmechanismen können die Produktivität des Arbeitsplatzes beeinträchtigen.
Um Zero-Trust mithilfe von Plattformen für das End-User Experience Management (EUEM) bzw. Digital Employee Experience (DEX) zu unterstützen, sind folgende Kriterien relevant:
- Konsolidierte Sicht auf Endgeräte: Vom Grundsatz her muss die DEX-Plattform auf eine ganzheitliche Sicht der digitalen Arbeitsumgebung ausgerichtet sein. Für eine schnelle und zielgerichtete Reaktion auf Störungen und Sicherheitsproblematiken sollten Prozesse für Entstörungen automatisiert werden können. Anwender proaktiv zu schulen, zu informieren und deren Feedback einholen zu können, ist wichtig. Entscheidend ist aber, die direkte Mitarbeiterkommunikation und Feedback-Daten mit den technischen Informationen korrelieren zu können.
- Zustandsanalyse der Endgeräte – Client Health: Fundamentale Daten zur Geräte- und Software-Performance, Informationen zu Netzwerkaktivitäten, Security-Funktionen wie Überprüfungen auf auslaufende Zertifikate oder Passwörter und Group Policies: DEX-Plattformen zeigen in Echtzeit in einer einheitlichen Übersicht, ob Endgeräte „gesund“ sind und den Compliance-Vorgaben entsprechen. Hinterlegte Key-Metriken machen dabei nicht nur deutlich, wo es Probleme gibt und welche Anwender betroffen sind. Die intelligente Korrelation von verschiedenen Daten lassen Rückschlüsse auf drohende Ausfälle zu und vereinfachen es, deren Ursachen zu identifizieren.
- Netzwerkanalyse mit Kontext: Mit der Erfassung und Analyse von Dutzenden von Netzwerkdaten schaffen DEX-Plattformen ein besseres Verständnis zur Qualität des Unternehmensnetzes aus Sicht von Endgeräten. Nach Region, Standort oder Gebäude kategorisiert ermöglichen es die konsolidierten Netzwerkdaten, hunderte von Endpunkten zu korrelieren, Leistungsschwankungen zu erkennen und Benchmarks für künftige Abweichungen zu etablieren.
- Vorausschauendes Sicherheitsmanagement mit intelligenter Mustererkennung: Mustererkennung bei der Nutzung von Applikationen, Telemetriedaten von erwarteten und unerwarteten Zugriffen auf Unternehmensanwendungen und Web-Applikationen sowie die Identifizierung von Schatten-Anwendungen: Diese Informationen auf Endgeräte-Ebene bilden die Basis, um die IT-Sicherheit im Sinne von Zero Trust zu gewährleisten. Analysen über DEX-Plattformen zeigen kritische Abweichungen und ungewöhnliche Aktivitäten, um vorausschauend Security-Maßnahmen zu ergreifen.
- Kontext-bezogener Endanwender-Support: Abgesehen von Schulungen und dokumentierten Sicherheitsregelungen: Effizient sind Security-Hinweise für Endanwender dann, wenn sie automatisiert aufgrund sicherheitskritischer Aktivitäten auf dem Bildschirm eingeblendet werden. Dies stellt sicher, dass die Produktivität nicht unnötig gestört wird und auch weniger technikaffine Anwender die nötige Unterstützung erfahren.
Zero Trust und Digital Employee Experience haben das gleiche Ziel: Endanwendern eine produktive und gleichzeitig sichere digitale Arbeitsumgebung zu gewährleisten. Worauf es dabei ankommt, sind drei Dinge: Client- und Netzwerkteams müssen eng verzahnt zusammenarbeiten können mithilfe der Integration von geeigneten DEX- und Netzwerkmonitoring-Plattformen.
Das Client-Management muss aufholen im Hinblick auf Automatisierung und Analytics – Dinge, die im Netzwerkmanagement seit langem Standard sind. Und drittens, nicht weniger wichtig, brauchen Endanwender mehr und bessere Unterstützung – sporadische E-Mails und kryptische Support-Tickets genügen nicht, weder für Zero-Trust-Umgebungen noch für einen produktiven digitalen Arbeitsplatz.
Henning Ermert ist Senior Solution Consultant bei Nexthink.