Darum setzen CISOs auf Zero Trust

Einen Rekordanstieg von Ransomware-Angriffen verzeichnete der Security-Anbieter Zscaler im Rahmen seines jährlichen Ransomware-Reports. Dafür analysierte das Forschungsteam ThreatLabz die weltweiten Daten aus der Zscaler-Cloud sowie Informationen aus externen Quellen von Februar 2021 bis März 2022. Im Vergleich zum Vorjahreszeitraum stieg die Anzahl der Ransomware-Angriffe um 80 Prozent.

Unternehmen investieren in Sicherheit

In Anbetracht der steigenden Cyberrisiken ist es wenig überraschend, dass 86 Prozent der Unternehmen in den nächsten zwei Jahren ihre Budgets für die IT-Security erhöhen wollen. Dies fand der Sicherheitshersteller Sophos heraus, der CIOs, CISOs und Verantwortliche für die Informationssicherheit aus 204 Unternehmen in verschiedenen Branchen befragte. 36 Prozent der Befragten planen mit einem Budget-Plus von elf bis 20 Prozent.

Zu den technischen Maßnahmen, die die Sicherheitsverantwortlichen einführen wollen, gehören

• die Verschlüsselung von Daten und Transportwegen (34 Prozent),

• die Verwaltung von Nutzerprofilen und Richtlinien für die Accounts (33 Prozent),

• Data-Loss-Prevention-Lösungen (30 Prozent) sowie

• VPN-Lösungen (23 Prozent).

Zero Trust ist beliebt

Sophos zufolge gehört erst bei 16 Prozent der Befragten eine Lösung für Zero Trust Network Access (ZTNA) zur Security-Ausstattung. Allerdings planen 61 Prozent die Einführung einer entsprechenden Architektur. Nur für sechs Prozent ist dieser Sicherheitsansatz keine Option.

Von einer Implementierung erhoffen sich die Unternehmen eine sicherere Anbindung und Vernetzung ihrer Filialen (58 Prozent), mehr Datensicherheit (56 Prozent) und die Möglichkeit, weiterhin Homeoffice anbieten zu können (56 Prozent).

Weitere 60 Prozent rechnen dank Zero Trust mit weniger Sicherheitsvorfällen. Auch der sichere Zugriff auf Applikationen in der Cloud und eine bessere Netzwerksicherheit (jeweils 57 Prozent) stehen bei den Befragten im Fokus. Um ein modernes Onboarding anbieten zu können, wollen 56 Prozent die Sicherheitsarchitektur aufbauen. 51 Prozent versprechen sich weniger Kosten und weniger Komplexität sowie kürzere Ausfallzeiten im Zuge des Einsatzes von Zero Trust.

Lesetipp: Mittelstand besonders gefährdet für Cyberangriffe

Kritik an Zero Trust

Die Zahlen der Sophos-Studie scheinen eine klare Sprache zu sprechen. Dennoch gibt es einige Unternehmen, die Schwierigkeiten bei der Implementierung von Zero Trust haben. Zu kämpfen hatten die Unternehmen mit

• einer zu hohen Komplexität bei der Implementierung (36 Prozent),

• dem Know-How-Mangel im Unternehmen (33 Prozent),

• zu hohen Investitionskosten (26 Prozent) und

• intransparenten und zu wenig erprobten Angeboten der Anbieter (jeweils 22 Prozent).

"Bei Zero Trust handelt es sich nicht um ein fertiges Produkt, das man einfach kaufen und auf den Punkt implementieren kann", berichtet Henrique Rodrigues Sirot, Presales Consultant Cyber Security, beim IT-Dienstleister Atos, von seinen Erfahrungen. "Eine der grundlegenden Herausforderungen bei der Umsetzung einer Zero Trust Strategie besteht darin, zu analysieren, wie die entsprechenden Grundsätze auf die Organisation angewandt werden können, ohne die Geschäftsabläufe und Ziele zu beeinträchtigen."

Des Weiteren würden dem Consultant zufolge auch der Support und die Wartung der Architektur eine dauerhaufte Herausforderung darstellen, um entsprechende Systeme erfolgreich zu implementieren. "Die Organisation des Kunden selbst muss in der Lage sein, die erforderlichen Sicherheitsüberprüfungen zur Durchsetzung der Zero-Trust-Ziele angemessen durchzuführen. Also müssen entsprechende Kapazitäten und Ressourcen aufgebaut beziehungsweise vorgehalten werden."

Dazu gehöre Sirot zufolge auch das Programmmanagement dynamisch und flexibel zu gestalten. Dadurch stellen Unternehmen sicher, auf mögliche Änderungen ihrer Anforderungen, im Hinblick auf neue Bedrohungen und Technologien, reagieren zu können.

Tipps für die Einführung von Zero Trust

"Die ersten Schritte eines Zero-Trust-Projektes bestehen darin, einen maßgeschneiderten Ansatz zu entwickeln", sagt Sirot. Bei Atos arbeiten die Experten mit Best Practices und reichern diese mit den bisherigen Erfahrungen des Kunden an, um die Frameworks für die Architektur zu entwickeln.

Außerdem sollten Unternehmen dafür sorgen, dass die einzelnen technischen Komponenten effektiv miteinander kommunizieren können. "Das ist sehr aufwändig und ressourcenintensiv, da die Kommunikation zwischen Lösungen verschiedener Anbieter in unterschiedlichen Umgebungen, Plattformen und Systemen nahtlos verlaufen muss", erklärt Sirot. Daher sei es empfehlenswert eine Vorauswahl der Anbieter zu treffen, damit diese später die Anbindung von weiteren Lösungen nicht behindern. In einigen Fällen kann es sogar notwendig sein, bereits etablierete Hersteller auszutauschen oder selbst eine eigene Lösung zu entwickeln, um eine unterbrechungsfreie Kommunikation der Komponenten zu gewährleisten.

Trotz der Herausforderungen eines Zero-Trust-Projektes ist der Consultant der Meinung, dass das Bestreben von Unternehmen ein höheres Sicherheitsbewusstsein widerspiegelt. "Allein die Bezeichnung Zero Trust wird von vielen Kunden mit einer impliziten Sicherheit verknüpft, da der Grundsatz niemandem zu vertrauen und jeden Vorgang zu authentifizieren, als starke Sicherheitsbasis eingeordnet wird."