Analyse von Okta

Corona beflügelt die Einführung von Zero Trust in Unternehmen

Uhr
von René Jaun und ml, msc

Immer mehr Unternehmen rüsten ihre IT-Sicherheit auf den Zero-Trust-Ansatz um. Dabei gehen aber nur wenige Unternehmen über Single-Sign-On- und Multifaktor-Authentifizierungslösungen hinaus.

(Source: Evgeny Gromov / iStock.com)
(Source: Evgeny Gromov / iStock.com)

Die Pandemie hat mancherorts das IT-Sicherheitskonzept nachhaltig verändert. Immer mehr Unternehmen setzen im Bereich der Cybersicherheit auf den so genannten Zero-Trust-Ansatz. Dies geht aus dem "The State of Zero Trust Report" von Okta, einem Anbieter von Identitäts- und Zugangslösungen, hervor. Vor allem die Coronabedingte Zunahme von Telearbeit sowie häufigere Cyberangriffe verliehen Zero Trust zusätzlichen Schub.

Wie der Name Zero Trust bereits verrät, zeichnet sich dieser Sicherheitsansatz dadurch aus, dass Nutzern, Geräten oder Diensten sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks nicht vertraut wird. "Jeder einzelne Zugriff muss verifiziert werden, um Zugang zum Netzwerk zu erhalten", fasst Okta zusammen. Mehr zur Funktionsweise von Zero Trust lesen Sie hier.

Laut der Erhebung, die auf einer weltweiten Umfrage unter mehr als 600 IT-Sicherheitsmanagern beruht, hat nur eines von zehn Unternehmen keine Zero-Trust-Pläne für die kommenden 18 Monate. 2020 waren es noch mehr als die Hälfte, und 2019 gar drei Viertel gewesen. Die grössten Fortschritte bezüglich der Einführung des Zero-Trust-Ansatzes machte Okta unter Finanzdienstleistern, Organisationen des Gesundheitswesens und der Softwarebranche aus.

Mensch im Mittelpunkt

"Unternehmen müssen erkennen, dass der Mensch der neue Perimeter ist. Daher sollten sie eine starke Authentifizierung über alle Dienste hinweg einführen - jederzeit und überall, vor Ort im Büro, in der Cloud oder mobil, für Mitarbeitende genauso wie für Kunden, Partner, Auftragnehmende und Lieferanten", lässt sich Ben King, Chief Security Officer EMEA bei Okta, zitieren.

Gefragt nach den grössten Herausforderungen bei der Einführung einer Zero-Trust-Strategie, nennen 26 Prozent der europäischen IT-Entscheider die Kosten. Weitere Hindernisse sind technische Lücken (22 Prozent), Akzeptanz der Interessengruppen (19 Prozent) und Bekanntheit von Lösungen (15 Prozent).

SSO und MFA legen zu

Herzstück von Zero-Trust-Initiativen ist das Identitäts- und Zugangsmanagement. Single Sign-On (SSO)-Lösungen für Mitarbeiter werden bereits von den meisten Unternehmen eingesetzt. Im Gegensatz dazu verwenden weniger als ein Drittel der Unternehmen SSO-Lösungen für externe Nutzer. Eine deutliche Mehrheit der Unternehmen verlangt von ihren Mitarbeitern die Verwendung eines Multi-Faktor-Authentifizierungssystems (MFA). Externen Nutzern wird dies dagegen nur selten auferlegt.

Am meisten sichern Unternehmen SaaS-Anwendungen mittels SSO und MFA ab. Danach folgen Datenbanken und interne Anwendungen. Aktuell hat weniger als die Hälfte der Unternehmen diese Zugangssysteme auf die Server ausgeweitet, allerdings wollen dies viele von ihnen in den kommenden 18 Monaten tun.

Passwörter bleiben beliebt

Ebenfalls zur Zero-Trust-Strategie gehört die Umsetzung kontextbezogener Lösungen. Immerhin gibt die Hälfte der befragten Unternehmen an, mehrere Faktoren zur Authentifizierung abzufragen. 45 Prozent der Unternehmen (bei Finanzdienstleistern und Softwareunternehmen sogar mehr als 50 Prozent) nutzen biometrische Verfahren für Logins.

Meistens verlassen sich die Unternehmen jedoch immer noch auf unsichere Faktoren, auf die Hacker mit Hilfe von Social-Engineering-Techniken zugreifen können. Der am häufigsten verwendete Faktor ist nach wie vor das Passwort (95 Prozent), während etwa zwei Drittel der Unternehmen Sicherheitsfragen oder eine Validierung per SMS, Stimme oder E-Mail verwenden.

Mit Zero Trust möchte übrigens auch das Weisse Haus die Cybersecurity sicherstellen, wie Sie hier nachlesen können.

Was Social Engineering genau ist und wie Unternehmen sich und ihre Mitarbeitenden darauf vorbereiten können, lesen Sie im Fachbeitrag von Veriphy-Co-Founder Marijana Gavric.

Webcode
DPF8_225140