Aktueller Stand von Zero Trust

Wie 2020 in Sachen Netzwerksicherheit aufs Tempo gedrückt hat

Das Jahr 2020 hat uns auf drastische und unerwartete Weise gezeigt, wie dringend wir ein neues Netzwerksicherheitsmodell brauchen. Zwar ist Zero-Trust-Sicherheit nicht gerade eine neue Erfindung, doch jetzt steht das Modell im Mittelpunkt der Aufmerksamkeit. Sicherheitsverantwortliche sind sich einig: Zero Trust kann die Sicherheit erhöhen sowie den Sicherheitsprozess für verteilte Teams und hybride Netzwerke vereinfachen.

Aber die Einführung des Modells ist nicht so einfach, wie man annehmen könnte, und Organisationen erleben Erfolge ebenso wie Hindernisse.

Der breit angelegte Übergang zu Remote-Arbeit – und der dadurch notwendige bessere Schutz für remote arbeitende Angestellte – hat Investitionen in die Zero Trust-Sicherheit angekurbelt. Schließlich könnte man viele Sicherheitsrisiken reduzieren oder ganz eliminieren, wenn man den gesamten Traffic unabhängig von seiner Position innerhalb oder außerhalb eines Unternehmensnetzwerks authentifiziert und überwacht.

Nichtsdestotrotz tun sich viele Organisationen schwer damit, den Zero-Trust-Sicherheitsansatz zu implementieren. Vor allem weil Zero Trust auch eine logistische Herausforderung darstellt, nicht nur eine technische. Modernisierung in Sachen Sicherheit hängt oft von den Fortschritten bei der Konsolidierung der Nutzeridentität und der Cloud-Transformation ab – beides sind komplexe, langfristige Projekte.

Wie ist also der gegenwärtige Stand der Zero-Trust-Umsetzung und welchen Herausforderungen begegnen Organisationen auf ihrem Weg?

Um diese Fragen zu beantworten, hat Forrester Consulting kürzlich eine Studie im Auftrag von Cloudflare durchgeführt. Die Umfrage richtete sich an mehr als 300 Sicherheitsverantwortliche auf der ganzen Welt, die über Erfolge und Herausforderungen ihrer Organisationen im Hinblick auf die Veränderungen im Jahre 2020 berichten sollten. Die Studie lieferte folgende Ergebnisse:

  • die wichtigsten Geschäfts- und Technologietrends, die Zero Trust voranbringen
  • die am häufigsten geplanten Anwendungsfälle für Zero-Trust-Sicherheit
  • häufige Hindernisse, die Zero Trust im Wege stehen

Die wichtigsten externen Trends bei Unternehmens-IT: Remote-Arbeit, Datenschutzverletzungen und VPN

Die Veränderungen des Jahres 2020 trafen alle Unternehmen unvorbereitet. 52 % der befragten Sicherheitsverantwortlichen nannten Remote-Arbeit als einen der wichtigsten Faktoren, die ihre IT-Sicherheitsprogramme im Jahr 2020 beeinflusst haben.

Aus der Umfrage ging hervor, dass Sicherheitsvorfälle im Zusammenhang mit Unternehmensnetzwerken und vertraulichen Daten während der Pandemie zunahmen. 55 % der Sicherheitsverantwortlichen berichteten, dass ihr Unternehmen in diesem Jahr mehr Phishing-Angriffe erlebt hat. Darüber hinaus gaben weitere 58 % an, dass es in ihrer Organisation in irgendeiner Form zu Datenschutzverletzungen gekommen ist.

Schon die Aufrechterhaltung der Vernetzung konnte zur Herausforderung werden. Viele Sicherheitsteams stellten fest, dass ihre veralteten VPN-Plattformen nicht den gesamten Traffic ihrer Remote-Mitarbeiter bewältigen konnten. 46 % berichteten von Latenzproblemen aufgrund verstärkter VPN-Nutzung.

Mit einem Zero-Trust-Sicherheitsframework kann man die wachsenden Risiken bewältigen, denn es bietet diese Funktionen:

  • Es stoppt Phishing-Angriffe. Dazu wird jede Anwendung mit zusätzlichen Maßnahmen zur Identitätsprüfung versehen.
  • Es hindert Angreifer, die sich Zugang zu einer Anwendung oder einem Dienst verschafft haben, am Zugriff auf das gesamte interne Netzwerk.
  • Es macht VPNs überflüssig, da für den Zugriff auf einzelne Anwendungen eine Identitätsprüfung erforderlich ist.

Anwendungsfälle für Zero-Trust: Unternehmen erwarten viele Vorteile

Zero Trust bietet Vorteile, die über Netzwerksicherheit hinausgehen. Der Ansatz vereinfacht Zugangsprozesse und ermöglicht es den Mitarbeitern, von verschiedenen Standorten und Geräten aus zu arbeiten – was sowohl die Produktivität erhöht als auch das Arbeitserlebnis der Mitarbeiter verbessert.

Unsere Umfrageergebnisse zeigen, wie vielfältig diese Vorteile sind. Als wir die Sicherheitsverantwortlichen fragten, welche Zero-Trust-Einsatzmöglichkeiten auf ihrer Prioritätenliste ganz oben stehen, gab es einen klaren Favoriten: besserer Einblick in Cloud-Arbeitslasten – ein Punkt, der von 87 % der Befragten genannt wurde. Das ist nicht überraschend. Wenn man weiß, wie Mitarbeiter die Cloud nutzen, kann man intelligenter in die Cloud investieren und Daten unabhängig vom Standort überwachen und schützen.

Die drei in der Beliebtheit folgenden Zero-Trust-Einsatzmöglichkeiten waren ähnlich vielfältig:

  • Sicherer und schneller Zugang für Entwickler (von 83 % der Befragten als wichtig genannt). Neben der höheren Sicherheit können Entwickler dadurch auch zuverlässiger auf Tools und Umgebungen zugreifen – ein erheblicher Produktivitätsschub.
  • Start oder Ausbau eines BYOD-Programms (Bring-your-own-Device) (von 81 % der Befragten genannt). Auch mit dieser Einsatzmöglichkeit lassen sich Kosten sparen, und IT-Teams müssen keine Unternehmensgeräte mehr verwalten und aktualisieren.
  • Ersatz überlasteter VPNs (von 71 % der Befragten genannt). Zero Trust ist nicht nur sicherer als VPNs, es bietet Mitarbeitern auch zuverlässigeren Zugriff auf Anwendungen, und IT-Teams müssen keine VPN-Clients mehr im Auge behalten.

Fortschritte und zentrale Hindernisse auf dem Weg zu Zero Trust

Dieser Druck von außen und die vielfältigen Einsatzmöglichkeiten haben viel Interesse an Zero-Trust-Sicherheit ausgelöst. 80 % der Sicherheitsverantwortlichen gaben an, dass ihr Unternehmen Zero Trust implementieren will. Darüber hinaus hat die Hälfte aller befragten Unternehmen in jüngster Zeit ihren Chief Information Security Officer auf die Vorstandsebene gehievt, weil Zero Trust und die Abwehr von Cyber-Risiken für sie immer wichtiger werden.

Und dennoch hat dieses Interesse noch nicht zu einer konkreten Adoption geführt. Nur 39 % der befragten Organisationen gaben an, in diesem Jahr an mindestens einem Zero-Trust-Pilotprojekt teilgenommen zu haben.

Warum geht es nur so langsam voran?

Zu den Stolpersteinen gehören wohl auch Probleme mit der Cloud-Transformation im Allgemeinen. 80 % der Organisationen beschleunigten ihre Pläne zur Einführung der Cloud im Jahr 2020, aber sie waren nicht ausreichend vorbereitet. Große Datenblöcke, die noch nicht von isolierten Rechenzentren in die Cloud verlagert wurden, kann man nur schwer mit einem einzigen Sicherheitstool schützen.

Als ein weiteres, ebenso großes Hindernis für die Einführung von Zero Trust erwies sich die Komplexität des Identitäts- und Zugriffsmanagements (IAM). 76 % der befragten Sicherheitsverantwortlichen gaben an, dass sie sich aufgrund der komplexen Anforderungen an den Nutzerzugang in ihrer Organisation schwer tun, zu einem Zero-Trust-Ansatz überzugehen. Zero Trust verlässt sich beim Identitätsmanagement auf eine Single Source of Truth. Doch insbesondere größere Organisationen haben im Laufe der Jahre oft mehrere inkompatible Identitätsanbieter angesammelt. Außerdem müssen sie die Zugriffsmuster über eine Vielzahl von Anwendungen hinweg verstehen – und die meisten dieser Anwendungen kann man nicht einmal für einen Moment abschalten und auf eine neue Identitätsplattform migrieren.

Wie können Sicherheitsverantwortliche diese Hindernisse überwinden? Hierfür kommen drei Vorgehensweisen in Frage:

  • Nehmen Sie ein Zero-Trust-Tool mit Selbstbedienungsfunktion. Wie die Cloud-Transformation selbst ist auch die Verwaltung von Nutzerzugriffsmustern immer eine schwierige Aufgabe. Um dieser wichtigen Arbeit genügend Zeit widmen zu können, sollten Sicherheitsverantwortliche sich nach Zero-Trust-Tools umsehen, bei denen andere Maßnahmen zur Zugriffsverwaltung (z. B. Integration von Anwendungen, Anlegen von Rollen und rollenbasierten Berechtigungen) so einfach und selbstgesteuert wie möglich sind.
  • Reduzieren Sie allmählich die Abhängigkeit von einem VPN, angefangen mit Entwicklerapps. Sicherheitsexperten sind sich einig, dass VPNs in einer Remote-Arbeitsumgebung überfordert und ineffektiv sind. Plattformen für Zero-Trust-Netzwerkzugriff ersetzen die Latenz eines VPN durch identitätsbasierten Schutz auf einer anwendungsspezifischen Basis. Entwickler-Apps wie Jira, Jenkins und Grafana sind dafür ein toller Einstieg.
  • Denken Sie auch über integrierte Plattformen nach, die von Anfang an mitwachsen können. Mehrere Einzellösungen zu verwenden macht die Zero-Trust-Implementierung schwieriger und riskanter, denn jede einzelne Lösung ist eine zusätzliche Fehlerquelle.

Genauere Betrachtung dieser Ergebnisse

Diese Ergebnisse wurden von Forrester im September 2020 in einer von Cloudflare in Auftrag gegebenen Studie zusammengestellt. Sie entstanden in einer Umfrage unter 317 Sicherheitsverantwortlichen aus mehr als 20 Branchen auf der ganzen Welt. Die Befragten kommen aus Organisationen unterschiedlicher Größe, wobei 32 % in Organisationen mit mehr als 5.000 Mitarbeitern und 17 % in Organisationen mit 500 oder weniger Mitarbeitern tätig sind.

Um sich die Ergebnisse genauer anzuschauen, können Sie den Bericht „Sicherheitsverantwortliche haben sich für Zero Trust entschieden“ herunterladen.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Lesen Sie den Cloudflare-Blog

Die Informationen, die Sie Cloudflare zur Verfügung stellen, unterliegen den Bestimmungen unserer Datenschutzrichtlinie.

success logo

Subscription Confirmed

Thank you for subscribing!