Gesundheitssektor führend bei Einführung der Zero-Trust-Praxis

Wie steht es eigentlich ums Zero-Trust-Konzept, bei dem sich alles um den Leitsatz „never trust, always verify“ dreht? Nun ja: Unternehmen haben zunehmend bemerkt, dass das Thema Cybersicherheit nicht mit mittelalterlichen Praktiken zu erreichen ist. Firmen sind im digitalen Zeitalter eben keine Burg, die von einem schützenden Wassergraben umgeben sind: In einer Cloud-dominierten Welt reicht ein simpler Schutzwall zur Abwehr von Cyberkriminellen einfach nicht aus. Vielmehr müssen andere Security-Maßnahmen her.

Zero Trust ist ein Sicherheitsmodell, das auf drei grundlegende Prinzipien aufbaut: Traue nichts und niemandem – per Definition. Es gilt die Regel des geringsten Privilegs. Implementiere ein umfassendes Überwachungssystem.

Der Okta-Bericht „State of Zero Trust Security 2021” wurde im vergangenen Jahr veröffentlicht. Ihm zufolge hat sich der Prozentsatz der Unternehmen mit einer Zero-Trust-Initiative mehr als verdoppelt: Er stieg von 24 % auf 55 %. Doch nun stellt sich die Frage, wie sich die Dinge in den letzten Monaten entwickelt haben.

Sieht man sich die Ausgabe 2022 der gleichen Umfrage an, lässt sich erkennen, dass die Zero-Trust-Mentalität heute unerlässlich ist. Mehr als die Hälfte der befragten Unternehmen (55 %) verfügt über eine Zero-Trust-Initiative. Eine weitere große Mehrheit (97 %) plant eine solche in den nächsten 12 bis 18 Monaten. Außerdem zeigt die Studie, dass diese Maßnahmen nicht durch die Größe der Organisationen, den geografischen Standort oder den Industriesektor begrenzt sind.

Es ist wenig überraschend, dass als Kategorien mit der höchsten Priorität weiterhin Daten, Netzwerke und Geräte genannt werden. Die Studie prognostiziert dennoch, dass sich dies im Lauf der Zeit ändern könnten. Besonders der Aspekt des Menschen könnte allmählich an Bedeutung gewinnen – denn es wird zunehmend mehr Gewicht auf die Nutzer und weniger auf die Geräte gelegt. „Identität ist ein mächtiger Multiplikator für Zero-Trust-Initiativen, auch wenn sie nicht deren einzige wichtige Komponente ist“, so die Studie. Sie erklärt auch, dass es für die Cybersicherheit besonders wichtig ist, für jede Person immer ausreichenden Zugang zu den richtigen Ressourcen sicherzustellen. Ebenso hervorzuheben sind die Einhaltung von Vorschriften und viele andere Belange, die mit dem Technologieuniversum zusammenhängen.

Wie es scheint, gewinnt zudem das Konzept der Identität in der Praxis immer mehr an Bedeutung: 80 % der Befragten gaben an, dass ihnen Identität in der Zero-Trust-Sicherheitsstrategie wichtig ist. 19 % halten sie sogar für geschäftskritisch. Es ist also nicht verwunderlich, dass ein Gartner-Artikel die „Identitätssystemverteidigung“ kürzlich zu den sieben wichtigsten Cybersecurity-Trends für 2022 zählte.

Gesundheit auf dem Vormarsch

Die Studie 2022 vertiefte ihre Analyse in vier Hauptsektoren: Gesundheitswesen, Finanzdienstleistungen, Software – und zum ersten Mal auch Behörden. Damit sollten die spezifischen Bedürfnisse erkannt werden, die die Einführung von Zero Trust beeinflussen. Insbesondere stand dabei im Mittelpunkt, wie diese den häufig auftretenden Widerspruch zwischen Sicherheit und Benutzerfreundlichkeit ausgleichen.

Eine interessante Erkenntnis der Umfrage ist, dass die diesjährigen Befragten der Sicherheit eine etwas höhere Priorität einräumen als der Benutzerfreundlichkeit – eine Veränderung gegenüber 2021. Beispielhaft ist dafür das Gesundheitswesen: Dieses verlässt sich immer seltener auf unsichere und anfällige Faktoren wie Passwörter und schenkt anderen Lösungen mehr Aufmerksamkeit: Diese sind zwar in der Regel sicherer, in ihren Funktionen allerdings auf oft nicht einfach zu bedienenden.

Die Zahl der Befragten aus dem Gesundheitswesen, die eine Zero-Trust-Initiative durchführen oder in den nächsten 12 bis 18 Monaten damit beginnen wollen, ist angestiegen: von 91 % im Jahr 2021 auf 96 % im Jahr 2022. Beeindruckende 58 % der Befragten aus dem Gesundheitswesen haben die Umsetzung ihrer Initiativen bereits begonnen. Dies stellt einen Anstieg um 21 Prozentpunkte gegenüber dem letzten Jahr dar.

Als einer der größten Fortschritte bei Identitätsprojekten in den kommenden Monaten gilt die Einführung von kontextbasierten Zugriffsrichtlinien. Nur 6 % der Befragten gaben an, bereits über solche Richtlinien zu verfügen. Jedoch erwarten weitere 40 %, dass sie diese in den nächsten 12 bis 18 Monaten umsetzen werden. Alle Befragten aus dem Gesundheitswesen teilten mit, dass sie in den nächsten anderthalb Jahren Single Sign-On (SSO), MFA oder beides auf SaaS-Anwendungen, interne Anwendungen und Server ausweiten wollen. Einige Organisationen aus der Gesundheitsbranche konzentrieren sich zudem auf IaaS.

Neue Herausforderungen stehen bevor

Obwohl im Vergleich zur Vergangenheit bereits erhebliche Fortschritte bei Zero-Trust-Initiativen erzielt werden konnten – es gibt noch einige Herausforderungen, die zudem Anlass zur Sorge sind. Auf die Frage an die Sicherheitsverantwortlichen, was die größten Hindernisse bei der Umsetzung von Zero Trust sind, wurde vor allem ein Faktor benannt: Die Talent- und Qualifikationsdefizite in Nordamerika, APAC und unter den Global 2000. In der EMEA-Region wurden die Kosten als gleichrangige Herausforderung betrachtet und das Bewusstsein dafür als noch größeres Problem eingestuft.

Es ist wichtig, darauf hinzuweisen, dass Zero Trust ein Leitprinzip ist, das ein perfektes Zusammenspiel mehrerer Sicherheitslösungen erfordert. Jedes Unternehmen hat eine andere Ausgangssituation, unterschiedliche Ressourcen und Prioritäten. Auch wenn er also zum gleichen Ziel führt, wird der Weg zu Zero Trust für jedes Unternehmen eine individuelle Erfahrung sein.