Die globale Pandemie hat uns auf drastische und unerwartete Weise gezeigt, wie dringend wir ein neues Netzwerksicherheitsmodell benötigen. Zwar ist Zero-Trust-Sicherheit nichts grundlegend Neues, steht nunmehr aber im Mittelpunkt des Interesses. Sicherheitsverantwortliche sind sich einig: Zero Trust kann die Sicherheit erhöhen sowie den Sicherheitsprozess für verteilte Teams und hybride Netzwerke vereinfachen.
Aber die Einführung des Modells ist nicht so einfach, wie man annehmen könnte, und Organisationen erleben Erfolge ebenso wie Hindernisse.
Der breit angelegte Übergang zu Remote-Arbeit – und der dadurch notwendige bessere Schutz für remote arbeitende Angestellte – hat Investitionen in die Zero Trust-Sicherheit angekurbelt. Schließlich könnte man viele Sicherheitsrisiken reduzieren oder ganz eliminieren, wenn man den gesamten Traffic unabhängig von seiner Position innerhalb oder außerhalb eines Unternehmensnetzwerks authentifiziert und überwacht.
Trotzdem tun sich viele Unternehmen schwer, einen Zero Trust-Sicherheitsansatz zu implementieren. Das liegt vor allem daran, dass Zero Trust nicht nur eine technische, sondern auch eine logistische Herausforderung darstellt. Modernisierung in Sachen Sicherheit hängt oft von den Fortschritten bei der Konsolidierung der Nutzeridentität und der Cloud-Transformation ab – beides sind komplexe, langfristige Projekte.
Wie ist also der gegenwärtige Stand der Zero-Trust-Umsetzung und welchen Herausforderungen begegnen Organisationen auf ihrem Weg?
Um diese Fragen zu beantworten, hat Forrester Consulting während der Pandemie im Jahr 2020 eine Studie im Auftrag von Cloudflare durchgeführt. Dabei wurden mehr als 300 Sicherheitsverantwortliche auf der ganzen Welt zu den Erfolgen und Herausforderungen ihrer Unternehmen im Hinblick auf diese Veränderungen befragt. Die Studie lieferte folgende Ergebnisse:
die wichtigsten Geschäfts- und Technologietrends, die Zero Trust voranbringen
die am häufigsten geplanten Anwendungsfälle für Zero-Trust-Sicherheit
häufige Hindernisse, die der Implementierung von Zero Trust im Wege stehen
Der dramatische Wandel hin zur Remote-Arbeit brachte Veränderungen mit sich, auf die kein Unternehmen vorbereitet war. Zweiundfünfzig Prozent der befragten Sicherheitsverantwortlichen gaben an, dass Remote-Arbeit zu den wichtigsten Faktoren gehört, die ihre IT-Sicherheitsprogramme beeinflussen.
Aus der Umfrage ging hervor, dass Sicherheitsvorfälle im Zusammenhang mit Firmennetzwerken und vertraulichen Daten während der Pandemie zunahmen. 55 % der Sicherheitsverantwortlichen berichteten, dass ihr Unternehmen in diesem Jahr mehr Phishing-Angriffe erlebt hat. Darüber hinaus gaben weitere 58 % an, dass es in ihrer Firma in irgendeiner Form zu Datenschutzverletzungen gekommen ist.
Schon die Aufrechterhaltung der Vernetzung konnte zur Herausforderung werden. Viele Sicherheitsteams stellten fest, dass ihre veralteten VPN-Plattformen nicht den gesamten Traffic ihrer Remote-Mitarbeiter bewältigen konnten. 46 % berichteten von Latenzproblemen aufgrund verstärkter VPN-Nutzung.
Mit einem Zero-Trust-Sicherheitsframework kann man die wachsenden Risiken bewältigen, denn es bietet diese Funktionen:
Es stoppt Phishing-Angriffe. Dazu wird jede Anwendung mit zusätzlichen Maßnahmen zur Identitätsprüfung versehen.
Es hindert Angreifer, die sich Zugang zu einer Anwendung oder einem Dienst verschafft haben, am Zugriff auf das gesamte interne Netzwerk.
Es macht VPNs überflüssig, da für den Zugriff auf einzelne Anwendungen eine Identitätsprüfung erforderlich ist.
Zero Trust bietet Vorteile, die über Netzwerksicherheit hinausgehen. Der Ansatz vereinfacht Zugangsprozesse und ermöglicht es den Mitarbeitern, von verschiedenen Standorten und Geräten aus zu arbeiten – was sowohl die Produktivität erhöht als auch das Arbeitserlebnis der Mitarbeiter verbessert.
Unsere Umfrageergebnisse zeigen, wie vielfältig diese Vorteile sind. Als wir die Sicherheitsverantwortlichen fragten, welche Zero Trust-Einsatzmöglichkeiten auf ihrer Prioritätenliste ganz oben stehen, gab es einen klaren Favoriten: besserer Einblick in Cloud-Arbeitslasten – ein Punkt, der von 87 % der Teilnehmenden genannt wurde. Das ist nicht überraschend. Wenn man weiß, wie Mitarbeitende die Cloud nutzen, kann man intelligenter in die Cloud investieren und Daten standortunabhängig überwachen und schützen.
Die drei in der Beliebtheit folgenden Zero-Trust-Einsatzmöglichkeiten waren ähnlich vielfältig:
Sicherer und schneller Zugang für Entwickler (von 83 % der Befragten als wichtig genannt). Neben der höheren Sicherheit können Entwickler dadurch auch zuverlässiger auf Tools und Umgebungen zugreifen – ein erheblicher Produktivitätsschub.
Start oder Ausbau eines BYOD-Programms (Bring-your-own-Device) (von 81 % der Befragten genannt). Auch mit dieser Einsatzmöglichkeit lassen sich Kosten sparen, und IT-Teams müssen keine Unternehmensgeräte mehr verwalten und aktualisieren.
Ersatz überlasteter VPNs (von 71 % der Befragten genannt). Zero Trust ist nicht nur sicherer als VPNs, es bietet Mitarbeitern auch zuverlässigeren Zugriff auf Anwendungen, und IT-Teams müssen keine VPN-Clients mehr im Auge behalten.
Dieser Druck von außen und die vielfältigen Einsatzmöglichkeiten haben großes Interesse an Zero Trust-Sicherheit geweckt. 80 % der Sicherheitsverantwortlichen gaben an, dass ihr Unternehmen Zero Trust implementieren will. Darüber hinaus hat die Hälfte aller befragten Unternehmen in jüngster Zeit ihren Chief Information Security Officer auf die Vorstandsebene gehievt, weil Zero Trust und die Abwehr von Cyberbedrohungen für sie immer wichtiger werden.
Und dennoch hat dieses Interesse noch nicht zu einer konkreten Adoption geführt. Nur 39 % der befragten Unternehmen gaben an, in diesem Jahr an mindestens einem Zero Trust-Pilotprojekt teilgenommen zu haben.
Warum geht es nur so langsam voran?
Zu den Stolpersteinen gehören wohl auch Probleme mit der Cloud-Transformation im Allgemeinen. 80 % der Firmen beschleunigten die Umsetzung ihrer Pläne zur Einführung von Cloud-Lösungen im Jahr 2020, sie waren jedoch nicht ausreichend vorbereitet. Große Datenblöcke, die noch nicht von isolierten Rechenzentren in die Cloud verlagert wurden, kann man nur schwer mit einem einzigen Sicherheitstool schützen.
Als ein weiteres, ebenso großes Hindernis für die Einführung von Zero Trust erwies sich die Komplexität des Identitäts- und Zugriffsmanagements (Identity and Access Management – IAM). 76 % der befragten Sicherheitsverantwortlichen gaben an, dass sie sich aufgrund der komplexen Anforderungen an den Nutzerzugang in ihrer Firma schwertun, zu einem Zero Trust-Ansatz überzugehen. Zero Trust verlässt sich beim Identitätsmanagement auf eine Single Source of Truth. Doch insbesondere größere Organisationen haben im Laufe der Jahre oft mehrere inkompatible Identitätsanbieter angesammelt. Außerdem müssen sie die Zugriffsmuster über eine Vielzahl von Anwendungen hinweg verstehen – und die meisten dieser Anwendungen kann man nicht einmal für einen Moment abschalten und auf eine neue Identitätsplattform migrieren.
Wie können Sicherheitsverantwortliche diese Hindernisse überwinden? Hierfür kommen drei Vorgehensweisen in Frage:
Nehmen Sie eine Zero Trust-Plattform mit Selbstbedienungsfunktion. Wie die Cloud-Transformation selbst ist auch die Verwaltung von Nutzerzugriffsmustern immer eine anspruchsvolle Aufgabe. Um dieser wichtigen Arbeit genügend Zeit widmen zu können, sollten Sicherheitsverantwortliche sich nach Zero Trust-Tools umsehen, bei denen andere Maßnahmen zur Zugriffsverwaltung (z. B. Integration von Anwendungen, Anlegen von Rollen und rollenbasierten Berechtigungen) so einfach und selbstgesteuert wie möglich sind.
Reduzieren Sie allmählich die Abhängigkeit von einem VPN, angefangen mit Entwicklerapps. Sicherheitsexperten sind sich einig, dass VPNs in einer Remote-Arbeitsumgebung überfordert und ineffektiv sind. Plattformen für Zero-Trust-Netzwerkzugriff ersetzen die Latenz eines VPN durch identitätsbasierten Schutz auf einer anwendungsspezifischen Basis. Entwickler-Apps wie Jira, Jenkins und Grafana sind dafür ein toller Einstieg.
Denken Sie auch über integrierte Plattformen nach, die von Anfang an mitwachsen können. Mehrere Einzellösungen zu verwenden macht die Zero-Trust-Implementierung schwieriger und riskanter, denn jede einzelne Lösung ist eine zusätzliche potenzielle Fehlerquelle.
Diese Ergebnisse wurden von Forrester in einer von Cloudflare in Auftrag gegebenen Studie zusammengestellt. Sie entstanden in einer Umfrage unter 317 Sicherheitsverantwortlichen aus mehr als 20 Branchen auf der ganzen Welt. Die Befragten kommen aus Organisationen unterschiedlicher Größe, wobei 32 % in Organisationen mit mehr als 5.000 Mitarbeitenden und 17 % in Organisationen mit 500 oder weniger Mitarbeitenden tätig sind.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Folgende Informationen werden in diesem Artikel vermittelt:
Diese wichtigsten Trends in der Unternehmens-IT
Ergebnisse einer Umfrage unter mehr als 300 weltweit führenden Entscheidern im Bereich IT-Sicherheit
Der häufigste Anwendungsfall für Zero Trust
Wie man die wichtigsten Hindernisse bei der Einführung von Zero Trust überwindet
Um sich die Ergebnisse genauer anzuschauen, können Sie den herunterladen.