Zero Trust Programme erobern rasant Terrain
Zero Trust manifestiert sich in der Unternehmenswelt und gewinnt zunehmend an Bedeutung: Neue Erkenntnisse von Okta über die bevorzugten Maßnahmen in verschiedenen Branchen.
Im Wettrennen gegen zunehmend hochgerüstete Cyberangreifer setzen Unternehmen weltweit verstärkt auf die Implementierung von Zero-Trust-Initiativen. Dies ist das zentrale Ergebnis des Berichts „State of Zero Trust Security 2023“ des Identitätsanbieters Okta, der auf Interviews mit 860 Sicherheitsverantwortlichen und Top-Entscheidern basiert.
Konkret geben 61 Prozent der Befragten an, bereits eine Zero-Trust-Strategie implementiert zu haben. Weitere 28 Prozent planen, dies innerhalb der nächsten 6-12 Monate umzusetzen. Anders ausgedrückt befinden sich derzeit sechs von zehn Unternehmen auf dem Weg zu einer umfassenderen Umsetzung von Zero Trust, im Vergleich zu 24 Prozent im Vorjahr.
Identitätsmanagement gewinnt an Bedeutung
Nicht überraschend: 51 Prozent aller befragten Entscheider das Identitätsmanagement als „sehr wichtig“ für ihre Geschäftsstrategie. Im Vergleich dazu lag dieser Anteil im letzten Jahr bei lediglich etwa 27 Prozent. Darüber hinaus stimmt die Hälfte dieser Entscheidungsträger überein, dass die Verantwortung für Zero Trust und Identitätsmanagement bei den Sicherheitsteams liegen sollte. Diese Entwicklung könnte wahrscheinlich darauf zurückzuführen sein, dass identitätsbasierte Angriffe, wie beispielsweise Phishing, nach wie vor zu den am weitesten verbreiteten Bedrohungen gehören. Sicherheitsteams verfügen im Vergleich zur IT über spezifischere Kompetenzen in diesem Bereich.
Es überrascht daher kaum, dass entsprechende Budgets für die Umsetzung dieser Initiativen bereitgestellt werden. Ganze 80 Prozent der Teilnehmer gaben an, dass ihre Budgets für Zero Trust im Vergleich zum Vorjahr gestiegen sind. Genauer gesagt berichten 60 Prozent von Budgetsteigerungen von bis zu 25 Prozent, während ein weiteres Fünftel noch größere Zuwächse verzeichnet. Dieser Anstieg der Investitionen ist unter anderem auf die Zunahme hybrider Arbeitsmodelle, den uneingeschränkten Zugriff auf Cloudumgebungen sowie die steigende Anzahl von Angriffen auf Firmennetzwerke insgesamt zurückzuführen.
Mitarbeitende sind immer noch größtes Sicherheitsrisiko
Trotzdem, betonen die Verfasser der Studie, ist Zero Trust alles andere als ein Selbstläufer, da es immer noch viele Unsicherheitsfaktoren zu bewältigen gilt. An erster Stelle stehen nach wie vor die Mitarbeitenden, die sich mittlerweile über jedes beliebige Gerät und standortunabhängig von überall einloggen möchten. Hinzu kommen fehlende Fachkenntnisse aufgrund zu niedriger Personalstände im Bereich Sicherheit sowie Lücken in der Modernisierung der IT-Infrastruktur. Die Herausforderungen von Zero Trust sind also komplexer und struktureller geworden.
Um dem Unsicherheitsfaktor „Mensch“ bestmöglich beikommen zu können, setzen 34 Prozent aller gefragten IT- und Security-Entscheider auf die Multifaktor-Authentifizierung. Sowohl für externe Partner, wie auch Lieferanten. 33 Prozent bevorzugen diese Sicherheitsmaßnahme für ihre eigenen Mitarbeitenden. Im Gegensatz zum letztjährigen Bericht, bei dem die Usability aufgrund der vielen hybriden Arbeitsmodelle im Vordergrund stand, neigen jetzt zwei von drei Unternehmen dazu, den Schwerpunkt stärker auf die Sicherheit im Rahmen des Zero Trust-Ansatzes zu legen.
Spitzenreiter bei Zero Trust: Finanzwesen und Softwareindustrie
Ein Blick auf Zero Trust Initiativen entlang der Branchen offenbart: Je nachdem ob und in welcher Intensität Branchen gesetzlichen Regularien unterliegen, variieren auch die von ihnen eingesetzten Sicherheits-Maßnahmen, um zuverlässige Compliance sicherstellen zu können. Betrachtet man beispielsweise die Branchen Finanz- und Gesundheitswesen sowie den öffentlichen Sektor und die Softwareindustrie, fällt auf, dass alle Branche zwar in puncto Zero Trust die größten Implementierungs-Fortschritte gemacht haben, dennoch viel Wegstrecke zurückgelegt werden muss. Finanzdienstleister führen mit 71 Prozent das Feld der Zero Trust Initiativen an, dicht gefolgt von der Softwareindustrie mit 69 Prozent. Die öffentliche Verwaltung (58 Prozent) und das Gesundheitswesen (47 Prozent) liegen auf Platz drei und vier.
Finanzdienstleister setzen auf den Schutz ihrer Server und Datenbanken
Kaum eine Branche verzeichnete im vergangenen Jahr so viele Sicherheitsangriffe wie der Finanzsektor. In den Jahren 2021, 2022 und auch im aktuellen Jahr gehörte diese Branche regelmäßig zu denjenigen, die sich mit den schwerwiegendsten Datenschutzverletzungen auseinandersetzen musste – häufig betraf es Millionen von Verbraucherdaten. Daher wurde Zero Trust hier besonders frühzeitig implementiert. Schon 2022 setzten bereits die Hälfte aller weltweit befragten Entscheidungsträger auf Zero Trust. In diesem Jahr stieg diese Zahl um weitere 21 Prozent. Mehr als 90 Prozent der Befragten messen dabei dem Identitätsmanagement eine Schlüsselrolle bei.
Hinsichtlich des Ressourcenschutzes haben Finanzdienstleister ihre Server, Datenbanken und SaaS-Anwendungen besonders im Fokus. 62 Prozent geben an, bereits Maßnahmen zum Schutz dieser Ressourcen ergriffen zu haben, während 51 Prozent entsprechende Planungen vornehmen. In Bezug auf den Zugriffsschutz setzen 43 Prozent auf Single Sign-On (SSO) oder Multifaktor-Authentifizierung. Darüber hinaus nutzen 36 Prozent Privileged Access Management für die Cloud.
Drei Zero Trust Top-Initiativen im Finanzwesen
- Multifaktor-Authentifizierung für Mitarbeiter (43 Prozent umgesetzt / 42 Prozent geplant)
- Privileged Access Management für Cloud-Infrastrukturen (36 Prozent umgesetzt / 45 Prozent geplant)
- Sicherer Zugriff auf APIs (33 Prozent umgesetzt / 47 Prozent geplant)
Zero Trust in der Softwareindustrie: Von Null auf 70 in zwei Jahren
Mit weit weniger Regulierung steht die Softwareindustrie dem Finanzwesen in puncto Zero Trust in nichts nach. Von nahezu null Unternehmen im Jahr 2021 liegt die Einführungsrate einer Zero-Trust-Strategie heute bei fast 70 Prozent. Dieser rasante Anstieg ist sicherlich auch darauf zurückzuführen, dass Softwareentwickler nur allzu gut wissen, warum identitätsbasierte Sicherheit ein hohes Gut ist, das es zu pflegen gilt. 61 Prozent priorisieren den Schutz ihrer Server, 58 Prozent fokussieren auf die Datenbanken, und jeweils 48 Prozent legen ihr Augenmerk auf interne sowie SaaS-Anwendungen.
Drei Zero Trust Top-Initiativen in der Software-Industrie
- Multifaktor-Authentifizierung für Mitarbeiter (34 Prozent umgesetzt / 43 Prozent geplant)
- Sicherer Zugriff auf APIs (34 Prozent umgesetzt / 42 Prozent geplant)
- Privileged Access management für Cloud-Infrastrukturen ( 27 Prozent umgesetzt / 44 Prozent geplant)
Öffentlicher Sektor: Zero Trust trotzt der Bürokratie
Der öffentliche Sektor steht ebenfalls massiv unter Druck, wenn es um Sicherheitskonzepte geht. Trotz starker Regulierung und bürokratischer Hürden konnte immerhin 58 Prozent bereits eine Zero-Trust-Strategie implementieren. Fast ein Drittel plant dies innerhalb der kommenden 6–12 Monate. Server und Datenbanken wurden als die schützenswertesten Ressourcen identifiziert. Demnach gaben mehr als die Hälfte aller Befragten an, ihre Server über Single Sign-On (SSO)-Verbindungen und Multifaktor-Authentifizierung (MFA) zu schützen. Immerhin 43 Prozent haben eine dieser beiden Maßnahmen im Einsatz.
Drei Zero Trust Top-Initiativen im öffentlichen Sektor
- Multifaktor-Authentifizierung für Mitarbeiter (33 Prozent umgesetzt / 34 Prozent geplant)
- Sicherer Zugriff auf APIs (30 Prozent umgesetzt / 35 Prozent geplant)
- Single Sign On für Mitarbeiter (27 Prozent umgesetzt / 36 Prozent geplant)
Trotz eines hohen Kostendrucks wird Zero Trust umgesetzt
Auch wenn in vielen Gesundheitseinrichtungen IT-Infrastrukturen noch nicht modernisiert wurden und die IT mit Einsparungen zu kämpfen hatte, ist vielen die Bedeutung von Sicherheitskonzepten wie Zero Trust durchaus bewusst. Bei der Frage nach dem priorisierten Ressourcenschutz gaben die Befragten an, Multifaktor-Authentifizierung (MFA) für Mitarbeiter und externe Benutzer einzusetzen, gefolgt von der Anbindung von Mitarbeiterverzeichnissen an Cloud-Anwendungen.
Drei Zero Trust Top-Initiativen im Gesundheitswesen
- Multifaktor-Authentifizierung für Mitarbeiter (34 Prozent umgesetzt / 52 Prozent geplant)
- MFA für externe Nutzer (Lieferanten, Partner) (40 Prozent umsetzt / 38 Prozent geplant)
- Mitarbeiter-Directories an Cloud-Anwendung angebunden (38 Prozent umgesetzt / 40 Prozent geplant)