Es gibt einige Faktoren, die die Zero-Trust-Revolution begünstigt haben. Der wichtigste davon ist die massenhafte Migration in die Cloud, insbesondere der Wechsel zu Public-Cloud-Systemen. Das Ganze kombiniert mit einem System hochgradig verteilter, heterogener Unternehmensanwendungen und ihren zugehörigen Berechtigungen, die viele Unternehmen nicht vollständig durchdrungen haben. Dieser sogenannte Identitätswildwuchs hat die Sicherheit erodiert und dazu geführt, dass Zugriffsberechtigungen überall zu finden sind.
Der zweite, kaum zu leugnende Faktor ist die Tatsache, dass wir uns alltäglich mit Datenschutz- und Datensicherheitsverletzungen konfrontiert sehen. Das ist längst keine Frage des „ob“ mehr. Wir haben akzeptiert, dass es zu diesen Verletzungen kommen wird und versuchen sie zu minimieren beziehungsweise in Zukunft gänzlich zu verhindern. Gleichzeitig gehen wir jedoch davon aus mit diesen Bemühungen zu scheitern und implementieren Lösungen wie beispielsweise die Multifaktor-Authentifizierung, um die laterale Bewegung eines Angreifers innerhalb von Anwendungen zu unterbinden.
Faktisch wächst die Zahl von Zugangspunkten, nicht zuletzt dank der explosionsartigen Vermehrung von geschäftlich genutzten, hybriden Geräten. Microsoft-CTO David Totten hat dies kürzlich in einem Better-Together-Podcast beleuchtet: „In den letzten Jahren arbeiten mehr und mehr Menschen remote, von zu Hause oder verschiedenen Büros aus. Egal ob Partner, Kunde oder Mitarbeiter, wir wollen, dass jeder besseren Zugriff auf seine Daten hat. Dies hat jedoch eine höhere Zahl von Bedrohungsvektoren zur Folge. Wir sollten im Rahmen einer Sicherheitsstrategie also dafür sorgen, dass Mitarbeiter von überall aus auf ihre Daten zugreifen können. Aber wir sollten uns gleichzeitig bewusst machen, dass dies zwangsläufig zu einem komplexeren Sicherheitsmodell führen wird.“
Trotz dieser offensichtlichen Faktoren, die als wesentliche Treiber für das Zero-Trust-Modell gelten, ist die Akzeptanz desselben relativ gering: Nur 38 Prozent der Unternehmen geben die digitale Transformation als Grund für ihre Umstellung auf Zero-Trust an – im Gegensatz zu einem kompletten Programm. Warum ist das so?
Wieso verläuft die Anpassung der Cybersicherheit so schleppend?
Zero Trust ist nicht voraussetzungslos. Das Konzept ist in hohem Maße davon abhängig, dass Unternehmen die Daten in jedem Dokument, an jedem Zugriffspunkt oder System genau identifizieren und klassifizieren können, ebenso wie jeden Benutzer oder jedes System, das auf diese Daten zugreifen muss. Dies führt nicht selten zu logistischen Problemen. Viele Firmen straucheln schon bei den Grundlagen, wenn es gilt, die genaue Zahl der Systeme zu identifizieren und deren potenziellen Gefährdungsgrad einzuschätzen. Eine weitreichendere Klassifizierung der Daten ist daher eine komplexe Aufgabe und nach realistischer Einschätzung für die meisten Firmen kaum zu bewältigen.
Darüber hinaus beschränken sich die Kosten für Zero Trust nicht nur auf die Produkte oder Dienstleistungen, die man für eine effektive Umsetzung braucht. Zu diesen Kosten addiert sich der Zeitaufwand bei der Umsetzung: die Zeit, die ein Unternehmen für die Planung eines derart komplexen Projekts aufwenden muss, die Zeit, die jedes einzelne Team für die Klassifizierung seiner Daten benötigt, und die Zeit, die vergeht, bis die Benutzer ihre Arbeitsweise an eine Zero-Trust-Sicherheitsstrategie angepasst haben. Die internen Unternehmensstrukturen sind nämlich nicht ohne Grund so freizügig, vielmehr ist es schlichtweg unkomplizierter und kostengünstiger, so zu arbeiten.
Zero Trust spielt seine Stärken gerade in reiferen, agilen Organisationen aus, die sich hohe Investitionen in die Sicherheit leisten können und müssen. Jedenfalls, wenn sie den Erfolg ihres Unternehmens anhaltend gewährleisten wollen. Ist Zero Trust also für die weitaus meisten Firmen ein unrealistisches Ziel? Zumindest klafft hier eine deutliche Lücke, die Sicherheitsorganisationen, Praktiker und Fachleute schließen müssen.
Trotzdem Schritt halten
Zero Trust wird kommen, unabhängig davon, ob Organisationen auf die Umsetzung vorbereitet sind oder nicht – die größeren, agileren Organisationen sorgen dafür. Grand View Research geht davon aus, dass „der globale Zero-Trust-Sicherheitsmarkt 2020 einen Wert von 19,8 Milliarden US-Dollar hatte und von 2021 bis 2028 eine jährliche Wachstumsrate (CAGR) von 15,2 Prozent verzeichnen wird. Die Verbreitung von Endpoint Devices in Verbindung mit dem wachsenden Einsatz von Cloud-Technologien hat es nötig gemacht ein Zero Trust-Rahmenwerk zu implementieren.“
Man darf also getrost davon ausgehen, dass der Markt weiter wachsen wird. Wer sich nicht an diesen Wandel anpasst oder zumindest sicherstellt, dass die Systeme entsprechend vorbereitet sind, der gerät ins Hintertreffen. Etwa, wenn ein Unternehmen die Anforderungen von immer komplizierter werdenden Authentifizierungssystemen nicht mehr erfüllen kann.
Schlimmer noch: Wenn Firmen es versäumen hier mitzuziehen, werden die betreffenden Systeme vielleicht nicht nur von Partnern und Kunden (die zunehmend Sicherheit als oberste Priorität einfordern) als veraltet betrachtet werden, sondern auch von Angreifern, die nur darauf warten die Untätigkeit eines Unternehmens auszunutzen.