Das Zero Trust Sicherheitsmodell ist ein Cybersicherheitsansatz, der den Zugriff auf die digitalen Ressourcen eines Unternehmens standardmäßig verweigert und authentifizierten Benutzern und Geräten einen maßgeschneiderten, isolierten Zugriff auf nur die Anwendungen, Daten, Dienste und Systeme gewährt, die sie für ihre Arbeit benötigen. Gartner hat vorausgesagt, dass bis 2025 60 % der Unternehmen eine Zero Trust-Sicherheitsstrategie verfolgen werden.
Dieser Leitfaden befasst sich eingehend mit den Ursprüngen des Modells, seinen Prinzipien, den Technologien und Produkten, die ein Zero Trust-Modell ermöglichen, sowie mit der Implementierung und Verwaltung dieses Modells.
Was ist Zero Trust?
In der Vergangenheit haben sich Unternehmen auf ein „Castle-and-Moat“-Cybersicherheitsmodell verlassen, bei dem jeder, der sich außerhalb des Unternehmensnetzwerks befindet, verdächtig ist und jeder, der sich innerhalb des Netzwerks befindet, im Zweifelsfall als vertrauenswürdig gilt. Die Annahme, dass interne Benutzer von Natur aus vertrauenswürdig sind – bekannt als implizites Vertrauen – hat zu vielen kostspieligen Datenschutzverletzungen geführt, da sich Angreifer seitlich im Netzwerk bewegen können, wenn sie den Netzwerkrand überwunden haben.
Anstatt sich auf den Standort von Benutzern und Geräten in Bezug auf den Perimeter zu konzentrieren – d. h. innerhalb oder außerhalb des privaten Netzwerks – gewährt das Modell Benutzern Zugriff auf Informationen auf der Grundlage ihrer Identitäten und Rollen, unabhängig davon, ob sie sich im Büro, zu Hause oder anderswo befinden.
Bei Zero Trust finden Autorisierung und Authentifizierung kontinuierlich im gesamten Netzwerk statt und nicht nur einmal am Rande. Dieses Modell schränkt unnötige Seitwärtsbewegungen zwischen Anwendungen, Diensten und Systemen ein und berücksichtigt sowohl Insider-Bedrohungen als auch die Möglichkeit, dass ein Angreifer ein legitimes Konto kompromittieren könnte. Durch die Einschränkung der Parteien, die privilegierten Zugriff auf sensible Daten haben, werden die Möglichkeiten für Hacker, diese zu stehlen, erheblich reduziert.
Das Konzept gibt es schon seit mehr als zehn Jahren, aber es wird ständig weiterentwickelt und ausgebaut. John Kindervag, ein damaliger Forrester-Analyst, stellte das revolutionäre Sicherheitsmodell 2010 vor. Kurz darauf übernahmen Anbieter wie Google und Akamai die Zero Trust Prinzipien intern, bevor sie schließlich kommerziell verfügbare Zero Trust Produkte und -Dienste auf den Markt brachten.
Warum ist ein Zero-Trust-Modell wichtig?
Das Interesse und die Akzeptanz des Modells sind in den letzten Jahren explodiert, da eine Vielzahl von öffentlichkeitswirksamen Datenschutzverletzungen den Bedarf an besserer Cybersicherheit erhöht hat und die globale COVID-19-Pandemie eine beispiellose Nachfrage nach sicheren Fernzugriffstechnologien ausgelöst hat.
Traditionell verließen sich Unternehmen auf Technologien wie Firewalls, um Unternehmensnetzwerke zu umzäunen. Bei diesem Modell kann ein Benutzer von außerhalb des Unternehmens auf Ressourcen zugreifen, indem er sich bei einem VPN anmeldet, das einen sicheren virtuellen Tunnel zum Netzwerk herstellt. Probleme entstehen jedoch, wenn die VPN-Anmeldedaten in die falschen Hände geraten, wie es bei der berüchtigten Datenpanne bei Colonial Pipeline der Fall war.
In der Vergangenheit benötigten relativ wenige Benutzer einen Fernzugriff, da die meisten Mitarbeiter vor Ort arbeiteten. Heute müssen Unternehmen jedoch einen sicheren Fernzugriff in großem Umfang unterstützen, wodurch sich die mit der VPN-Nutzung verbundenen Risiken erhöhen.
Darüber hinaus wurde das Perimeter-basierte Modell für eine Zeit entwickelt, in der die Ressourcen eines Unternehmens lokal in einem unternehmenseigenen Rechenzentrum angesiedelt waren. Heute sind die Ressourcen der meisten Unternehmen über private Rechenzentren und mehrere Clouds verstreut, so dass der traditionelle Perimeter nicht mehr ausreicht.
Kurz gesagt, der herkömmliche Ansatz zur Cybersicherheit wird immer weniger effektiv, weniger effizient und gefährlicher. Im Gegensatz zur perimeterbasierten Sicherheit ermöglicht Zero Trust Unternehmen eine sichere und selektive Eins-zu-eins-Verbindung zwischen Benutzern und Anwendungen, Daten, Diensten und Systemen, unabhängig davon, ob sich die Ressourcen vor Ort oder in der Cloud befinden und unabhängig davon, wo die Benutzer arbeiten.
Die Einführung von Zero Trust kann Unternehmen folgende Vorteile bieten:
- Schutz von sensiblen Daten
- Unterstützung bei der Prüfung der Einhaltung von Vorschriften
- Geringeres Risiko von Sicherheitsverletzungen und kürzere Erkennungszeiten
- Einblick in den Netzwerkverkehr
- bessere Kontrolle in Cloud-Umgebungen
Das Modell beinhaltet auch Mikrosegmentierung – ein grundlegendes Prinzip der Cybersicherheit. Die Mikrosegmentierung ermöglicht es der IT-Abteilung, Netzwerkressourcen in getrennten Zonen abzuschotten, um potenzielle Bedrohungen einzudämmen und zu verhindern, dass sie sich seitlich im Unternehmen ausbreiten. Mit der Mikrosegmentierung können Unternehmen granulare, rollenbasierte Zugriffsrichtlinien anwenden, um sensible Systeme und Daten zu schützen, einen unkontrollierten Zugriff zu verhindern und potenzielle Schäden zu begrenzen.
In einer Aktion aus dem Jahr 2021, die die Bundesregierung zum Vorreiter in Sachen Zero Trust Einführung machen könnte, erließ das Weiße Haus eine Durchführungsverordnung, in der die Bundesbehörden aufgefordert wurden, eine Zero Trust Sicherheitsstrategie einzuführen, und nannte die Cloud-Einführung und die Unvermeidbarkeit von Datenschutzverletzungen als Hauptgründe. Später im selben Jahr veröffentlichte das U.S. Office of Management and Budget (OMB) den Entwurf einer Strategie zur Umsetzung der präsidialen Direktive, und die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichte mit ihrer Cloud Security Technical Reference Architecture und dem Zero Trust Maturity Model (ZTMM) zusätzliche Leitlinien.
Wie funktioniert ZTNA?
Ein wichtiger Bestandteil des Zero Trust Modells ist der Zero Trust Netzzugang (ZTNA), der Zero Trust Konzepte auf eine Anwendungszugangsarchitektur anwendet.
Bei ZTNA setzt ein Controller oder Trust Broker die zuvor festgelegten Zugriffsrichtlinien eines Unternehmens durch, indem er Verbindungen zwischen Benutzern und Anwendungen ermöglicht oder verweigert, während der Standort des Netzwerks (d. h. die IP-Adresse) verborgen bleibt. Die Software authentifiziert Benutzer anhand ihrer Identitäten und Rollen sowie anhand von Kontextvariablen wie Gerätesicherheitsstatus, Tageszeit, geografischem Standort und Datensensibilität. Ein verdächtiger Kontext könnte einen ZTNA-Broker dazu veranlassen, selbst die Verbindungsanfrage eines autorisierten Benutzers abzulehnen.
Sobald der Benutzer authentifiziert und verbunden ist, kann er nur die Anwendungen sehen, für die er eine Zugriffsberechtigung hat – alle anderen Netzwerkressourcen bleiben verborgen.
Planung für Zero Trust
Experten sind sich einig, dass ein Zero Trust Ansatz in der Theorie wichtig, in der Praxis aber oft schwierig umzusetzen ist. Unternehmen, die ein dieses Modell einführen wollen, sollten die folgenden Herausforderungen bedenken:
- Eine stückweise Einführung kann zu Sicherheitslücken führen. Da implizites Vertrauen in der traditionellen IT-Umgebung so tief verwurzelt ist, ist es praktisch unmöglich, über Nacht zu einem Zero Trust Rahmenwerk überzugehen. Vielmehr erfolgt die Einführung fast immer stückweise, was zu Wachstumsschmerzen und Sicherheitslücken führen kann.
- Es kann zu Reibungen mit bestehenden Technologien kommen. Zero Trust-Tools lassen sich nicht immer problemlos mit älteren Technologien kombinieren, was zu technischen Problemen führen kann und möglicherweise eine umfassende Überarbeitung der Architektur, Hardware und Software erfordert.
- Es gibt keine einfachen Antworten. Da es sich bei Zero Trust nicht um ein einzelnes Produkt oder eine einzelne Technologie handelt, sondern um eine übergreifende Strategie, die die gesamte IT-Umgebung umfasst, gibt es keinen einfachen Weg zur vollständigen Übernahme.
- Sie ist nur so gut wie ihre Zugangskontrolle. Eine Zero Trust Strategie hängt von der Identitäts- und Zugriffskontrolle ab und erfordert nahezu ständige administrative Aktualisierungen von Benutzeridentitäten, Rollen und Berechtigungen, um effektiv zu sein.
- Das kann die Produktivität beeinträchtigen. Das Ziel von Zero Trust ist es, den Benutzerzugriff so weit wie möglich einzuschränken, ohne das Unternehmen übermäßig zu behindern. Übereifrige Richtlinien können jedoch Benutzer von Ressourcen abhalten, die sie benötigen, und so die Produktivität beeinträchtigen.
Erkunden Sie, wie Sie diese und andere Herausforderungen bewältigen können, indem Sie Versuche durchführen, klein anfangen und langsam skalieren.
Unternehmen, die Zero Trust Übergänge planen, sollten auch die Bildung spezieller, funktionsübergreifender Teams in Betracht ziehen, die Strategien entwickeln und die Umsetzung vorantreiben. Idealerweise besteht ein Zero Trust Team aus Mitgliedern mit Fachwissen in den folgenden Bereichen:
- Anwendungs- und Datensicherheit
- Netzwerk- und Infrastruktursicherheit
- Benutzer- und Geräteidentität
- Sicherheitsmaßnahmen
Teammitglieder können Wissenslücken schließen und spezielle Fachkenntnisse durch eine Vielzahl von Zero Trust Schulungen und Zertifizierungen von Organisationen wie Forrester, (ISC)2, SANS und der Cloud Security Alliance erwerben.
Zero-Trust-Anwendungsfälle
Wie bei jeder neuen Technologie sollten die Entscheidungen zur Einführung von Anwendungsfällen bestimmt werden. Im Folgenden finden Sie vier klare Beispiele dafür, wie Zero Trust zum Schutz des Unternehmens beitragen kann:
1. Sicherer Zugriff durch Dritte
2. Sicherer Multi-Cloud-Fernzugriff
3. IoT-Sicherheit und -Transparenz
4. Mikrosegmentierung des Rechenzentrums
Was sind die Grundsätze eines Zero-Trust-Modells?
Der Zero Trust Rahmen legt eine Reihe von Grundsätzen fest, um inhärentes Vertrauen zu beseitigen und Sicherheit durch kontinuierliche Überprüfung von Benutzern und Geräten zu gewährleisten.
Im Folgenden werden die fünf wichtigsten Grundsätze von Zero Trust erläutert:
1. Kennen Sie Ihre Schutzfläche
2. Verstehen Sie die bereits vorhandenen Sicherheitskontrollen
3. Neue Tools und moderne Architekturen einbeziehen
4. Wenden Sie detaillierte Richtlinien an
5. Überwachen und warnen
Der kontinuierliche Aspekt von Zero Trust gilt auch für die Grundsätze selbst. Es ist keine Strategie, bei der man etwas festlegt und es wieder vergisst. Die Grundsätze müssen in einem kontinuierlichen Prozessmodell angegangen werden, das wieder von vorne beginnt, sobald ein Grundsatz erreicht ist.
Zero Trust im Vergleich zu anderen Technologien
In der Cybersicherheitsbranche gibt es eine Vielzahl von Technologien, Strategien und Richtlinien. Es kann schwierig sein, den Überblick zu behalten. Dies gilt insbesondere für Zero Trust, das keine Technologie, sondern ein Rahmenwerk von Grundsätzen und Technologien ist, die diese Grundsätze anwenden.
Schauen wir uns an, wie Zero-Trust und andere Begriffe im Vergleich stehen:
Zero-Trust vs. SDP
Wie Zero Trust zielt auch ein softwaredefinierter Perimeter (SDP) darauf ab, die Sicherheit zu verbessern, indem streng kontrolliert wird, welche Benutzer und Geräte auf was zugreifen können. Im Gegensatz zu Zero Trust handelt es sich bei SDP um eine Architektur, die aus SDP-Controllern und -Hosts besteht, die die Kommunikation kontrollieren und erleichtern.
Viele Experten und Anbieter verwenden die Begriffe Zero Trust und SDP synonym. Die Begriffe entwickeln sich jedoch weiter, und einige bezeichnen ZTNA inzwischen als SDP 2.0.
Zero-Trust vs. VPN
Zero Trust und VPNs haben beide das Ziel, Sicherheit zu gewährleisten, aber die Wirksamkeit der herkömmlichen Sicherheitstechnologien am Netzwerkrand wurde in den letzten zehn Jahren auf den Prüfstand gestellt.
VPNs, die seit langem verwendet werden, um Remote-Benutzer und -Geräte mit Unternehmensnetzwerken zu verbinden, haben Schwierigkeiten, die wachsende Zahl von Remote-Mitarbeitern und Cloud-Diensten zu sichern, die in modernen Unternehmen verwendet werden. Es wird erwartet, dass Zero Trust die veraltete VPN-Technologie verdrängen wird, da sie Unternehmen ohne Perimeter besser absichern kann.
Die VPNs sollten jedoch noch nicht abgeschafft werden. Zero Trust und VPNs können gemeinsam eingesetzt werden. So kann beispielsweise eine Zero Trust Mikrosegmentierung in Verbindung mit einem VPN die Angriffsfläche eines Unternehmens reduzieren – wenn auch nicht so stark wie eine vollständige Zero Trust Initiative – und im Falle eines Einbruchs schädliche seitliche Bewegungen und Angriffe verhindern.
Zero-Trust vs. Zero-Knowledge Proof
Auch wenn sie gleich klingen, überschneiden sich Zero Trust und Zero-Knowledge Proof nur geringfügig in Bezug auf die Technologie.
Der Zero-Knowledge-Proof ist eine Methode, die verwendet werden kann, wenn eine Partei die Gültigkeit einer Information gegenüber einer zweiten Partei beweisen will, ohne die Information zu teilen. Kryptographische Algorithmen, die auf demZero-Knowledge Proof basieren, ermöglichen es der beweisenden Partei, mathematisch zu zeigen, dass die Information wahr ist.
Zero-Knowledge Proof können verwendet werden, um Benutzer zu authentifizieren, ohne ihre Identitäten preiszugeben. Einige Zwei-Faktor- (2FA) und Multi-Faktor-Authentifizierungsmethoden (MFA) verwenden Zero-Knowledge-Beweise. Die Überschneidung mit Zero Trust besteht darin, dass 2FA und MFA wichtige Technologien in einer Zero Trust-Strategie sind.
Zero-Trust vs. Prinzip der geringsten Privilegien
Das Prinzip der geringsten Privilegien (POLP) ist ein Sicherheitskonzept, das Benutzern und Geräten nur die Zugriffsrechte einräumt, die sie zur Erfüllung ihrer Aufgaben benötigen, und nicht mehr. Dazu gehört der Zugriff auf Daten, Anwendungen, Systeme und Prozesse. Wenn die Anmeldeinformationen eines Geräts oder eines Benutzers kompromittiert werden, stellt der Zugriff nach dem Prinzip der geringsten Privilegien sicher, dass ein böswilliger Akteur nur auf das zugreifen kann, wozu dieser Benutzer die Berechtigung hat, und nicht unbedingt auf das gesamte Netzwerk.
Zero Trust und POLP ähneln sich insofern, als sie beide den Zugriff von Benutzern und Geräten auf Ressourcen beschränken. Im Gegensatz zu POLP konzentriert sich Zero Trust auch auf die Authentifizierung und Autorisierung von Benutzern und Geräten. Zero Trust Richtlinien basieren häufig auf POLP, überprüfen jedoch kontinuierlich die Authentifizierung und Autorisierung.
Zero-Trust vs. Verteidigung in der Tiefe
Eine Sicherheitsstrategie mit Tiefenverteidigung umfasst mehrere Schichten von Prozessen, Menschen und Technologien zum Schutz von Daten und Systemen. Man geht davon aus, dass ein mehrschichtiger Sicherheitsansatz vor vom Menschen verursachten Fehlkonfigurationen schützt und sicherstellt, dass die meisten Lücken zwischen Tools und Richtlinien abgedeckt sind.
Defense in depth“ kann stärker sein als „Zero Trust“, da bei einem Ausfall einer Sicherheitsebene andere Schichten einspringen und das Netzwerk schützen. Zero Trust ist jedoch oft attraktiver, da die „Never-Trust, Always-Verify“-Methode sicherstellt, dass Angreifer, die in ein Netzwerk eindringen, nicht lange dort bleiben, bevor sie erneut verifiziert werden müssen, und dass die Zero Trust Mikrosegmentierung ihren Zugriff einschränkt.
Die Einbeziehung von Defense-in-Depth-Prinzipien in ein Zero Trust-Framework kann die Sicherheitsstrategie noch stärker machen.
Wie man Zero Trust „kaufen“ kann
Die Aussagen der Anbieter zum Thema Zero Trust können verwirrend sein – und sogar schlichtweg falsch. Es gibt kein einheitliches, sofort einsetzbares Zero Trust-Produkt oder eine Suite von Produkten. Vielmehr ist Zero Trust eine übergreifende Strategie, die eine Reihe von Tools, Richtlinien und Verfahren umfasst, die eine starke Barriere um Arbeitslasten herum aufbauen, um die Datensicherheit zu gewährleisten.
Allerdings gibt es bereits mehrere Zero Trust-fähige Produkte, die in eine Zero Trust Implementierung einbezogen werden können. Viele dieser Produkte sind ZTNA-Angebote. Um sich als echtes ZTNA-Produkt zu qualifizieren, muss es identitätszentriert sein, standardmäßige Ablehnungsantworten haben und kontextabhängig sein.
ZTNA hat zwei grundlegende Architekturen:
1. Endpunkt-initiierte ZTNA: Bei dieser auch als agentenbasierte ZTNA bezeichneten Methode werden Software-Agenten auf jedem Netzendpunkt eingesetzt. Ein Broker entscheidet auf der Grundlage von Richtlinien, ob ein Benutzer oder ein Gerät auf eine Ressource zugreifen darf, woraufhin ein Gateway eine Sitzung initiiert, um den Zugriff zu erlauben.
2. Dienst-initiierte ZTNA: Bei dieser auch als clientlose ZTNA bezeichneten Methode wird eine Connector-Appliance im privaten Netzwerk eines Unternehmens verwendet, die Verbindungen zur Cloud des ZTNA-Anbieters initiiert. Ein ZTNA-Controller initiiert eine Sitzung, wenn der Benutzer und das Gerät die Richtlinienanforderungen erfüllen.
Unternehmen können sich für As-as-Service-Angebote oder selbst gehostete ZTNA-Implementierungen entscheiden. ZTNA als Service ist aufgrund seiner Skalierbarkeit und Verwaltbarkeit beliebt. Andererseits bietet die selbst gehostete ZTNA Unternehmen eine größere Kontrolle.
Erfahren Sie mehr über den ZTNA-Markt, einschließlich der Fragen, die Sie bei der Bewertung potenzieller Anbieter stellen sollten, und einer Liste der heute verfügbaren Produkte.
Schritte zur Einführung von Zero-Trust
Eine erfolgreiche Zero Trust Implementierung erfordert Überlegungen zu dem, was das Forrester Zero Trust eXtended (ZTX)-Modell als die „sieben Säulen von Zero Trust“ bezeichnet hat:
1. Sicherheit der Arbeitskräfte
2. Sicherheit der Geräte
3. Sicherheit der Arbeitsbelastung
4. Sicherheit des Netzwerks
5. Sicherheit der Daten
6. Sichtbarkeit und Analytik
7. Automatisierung und Orchestrierung
Das OMB ergänzt in seinem Dokument von 2021 die Anordnung der Exekutive, die von den Bundesbehörden verlangt, bis Ende 2024 Zero Trust Ziele zu erreichen, und die CISA stimmt in ihrem ZTMM mit den ZTX-Säulen überein und fügt „Governance“ als achte Säule hinzu.
ZTX und ZTMM sind nur zwei Ansätze für die Einführung von Zero Trust. Beide zielen darauf ab, Organisationen dabei zu helfen, eine Zero Trust Strategie zu entwickeln und umzusetzen. Während ZTX für jede Organisation geeignet ist, wurde das ZTMM für Bundesbehörden entwickelt, obwohl jedes Unternehmen die Informationen zur Umsetzung einer Strategie nutzen kann.
In der CISA ZTMM werden auch die drei Ebenen der Zero Trust-Adoption beschrieben:
1. Traditionelle Zero Trust Architektur
2. Erweiterte Zero Trust Architektur
3. Optimale Zero Trust Architektur
Sobald eine Organisation bereit ist, Zero Trust einzuführen, ist es sehr vorteilhaft, dies in Phasen zu tun. Im Folgenden finden Sie sieben Schritte zur Einführung von Zero Trust:
1. Bilden Sie ein engagiertes Zero Trust Team
Zero Trust ist ein Mannschaftssport. Die Auswahl der richtigen Teammitglieder kann den Unterschied zwischen Erfolg und Schwierigkeiten ausmachen. Wenn Sie beispielsweise entscheiden, wer Zero Trust Einsätze verwaltet, sollten Sie darauf achten, wer über das meiste Fachwissen in diesem speziellen Bereich verfügt. Sicherheitsteams entwickeln und pflegen oft eine Zero Trust Strategie. Wenn die Zero Trust Implementierung jedoch netzwerkspezifische Bereiche betrifft – wie die Verwaltung und Konfiguration von Netzwerkinfrastruktur-Tools und -Diensten, einschließlich Switches, Routern, Firewalls, VPNs und Netzwerküberwachungs-Tools – dann sollte das Netzwerkteam die Verantwortung übernehmen.
2. Wählen Sie eine Zero-Trust-Implementierungsrampe
Ein Unternehmen nähert sich Zero Trust in der Regel über eine bestimmte Anlaufphase. Die drei Ansatzpunkte sind Benutzer- und Geräteidentität, Anwendungen und Daten sowie das Netzwerk.
3. Bewerten Sie die Umgebung
Überprüfen Sie die bereits vorhandenen Kontrollen, in denen Zero Trust eingesetzt wird, sowie den Grad des Vertrauens, den die Kontrollen bieten, und welche Lücken geschlossen werden müssen. Viele Unternehmen werden überrascht sein, wenn sie hören, dass Teile des Zero Trust Puzzles bereits vorhanden sind. Unternehmen sollten damit beginnen, ihre aktuelle Sicherheitsstrategie mit dieser Checkliste für ein Zero Trust Cybersicherheitsaudit zu vergleichen, die auf dem ZTMM basiert. Sie wird aufdecken, welche Zero Trust Prozesse bereits vorhanden sind und wo Lücken bestehen, die behoben werden müssen.
4. Überprüfung der verfügbaren Technologie
Überprüfung der Technologien und Methoden, die für den Aufbau der Zero Trust Strategie erforderlich sind.
5. Starten Sie wichtige Zero Trust Initiativen
Vergleichen Sie die Bewertung mit der Technologieüberprüfung und starten Sie dann die Zero Trust Einführung.
6. Definieren Sie betriebliche Änderungen
Dokumentieren und bewerten Sie alle Änderungen an den Abläufen. Ändern oder automatisieren Sie Prozesse, wo nötig.
7. Implementieren, ausspülen und wiederholen
Messen Sie bei der Einführung von Zero Trust Initiativen deren Wirksamkeit und passen Sie sie bei Bedarf an. Dann beginnen Sie den Prozess von vorne.
Denken Sie daran: Zero Trust ist eine Reise, kein Ziel. Führen Sie Versuche durch, fangen Sie klein an und erweitern Sie dann die Einsätze. Es erfordert viel Planung und Teamarbeit, aber am Ende ist ein Zero Trust Sicherheitsmodell eine der wichtigsten Initiativen, die ein Unternehmen ergreifen kann, auch wenn es auf dem Weg dorthin Hindernisse gibt.