Ich stehe gerade vor einer Entscheidung bei der Absicherung unserer internen Tools und bin mir unsicher, was der richtige Weg ist. Wir haben ein kleines Entwicklerteam und bisher lief alles über einfache Passwortlogins. Jetzt, wo wir mehr Remote-Arbeit haben, drängt mein Kollege auf eine Zero-Trust-Architektur für den Zugriff. Das klingt erstmal gut, aber ich frage mich, ob das für unsere Größe nicht übertrieben ist und ob der Verwaltungsaufwand den tatsächlichen Nutzen übersteigt. Irgendwie habe ich das Gefühl, dass wir damit vielleicht mehr Komplexität einführen, als wir aktuell bewältigen können.
Ich fühle mich bei der Idee Zero Trust gerade überfordert und frage mich ob wir damit wirklich schneller sicher arbeiten oder nur mehr Dinge parallel verwalten.
Aus analytischer Sicht braucht Zero Trust klare Identitätspflege MFA adaptive Regeln und ein System zum Prüfen von Geräten und Verbindungswegen.
Vielleicht verstehe ich das Prinzip zu streng und denke es ginge nur um Passwortwechsel doch es geht auch um Kontext und automatische Entscheidungen.
Ich bleibe skeptisch und frage ob der Aufwand den Nutzen für unser kleines Team wirklich trägt oder ob wir lieber den bestehenden Zugriff besser absichern.
Statt sofort Zero Trust könnte man einen sanften schrittweisen Ansatz wählen MFA bei externen Zugriffen und rollenbasierte Freigaben.
Was wäre wenn wir das Thema neu rahmen und es eher als Lernprojekt sehen statt als finalen Sicherheitsstandard und damit zuerst testen?
