Gannvector – shutterstock.com
Laut einem aktuellen Bericht von Accenture haben fast neun von zehn Sicherheitsverantwortlichen (88 Prozent) erhebliche Schwierigkeiten damit, Zero-Trust in ihren Unternehmen umzusetzen. „Diese Schwachstelle erstreckt sich auch auf die physische Welt, da 80 Prozent ihre cyber-physischen Systeme nicht wirksam schützen können“, heißt es weiter in der Studie.
Andere Marktforscher kommen zu abweichenden Ergebnissen, attestieren den Betrieben jedoch eine ähnliche Unsicherheit. Einer Gartner-Analyse aus dem Jahr 2024 zufolge haben bereits 63 Prozent der Organisationen weltweit eine Zero-Trust-Strategie vollständig oder teilweise implementiert. “Trotz dieses Tatendrangs sind sich Unternehmen nicht sicher, was die besten Praktiken für Zero-Trust-Implementierungen sind”, dämpfte John Watts, VP Analyst bei Gartner, damals die Stimmung.
Eine weitere Umfrage des Entrust Cybersecurity Institute hat ergeben, dass die Einführung von Zero Trust zwar in den vergangenen Jahren zugenommen hat, aber Deutschland noch hinterherhinkt: Während 2024 durchschnittlich 61Prozent der Unternehmen begonnen hatten, Zero Trust umzusetzen, waren es in hierzulande nur 53 Prozent.
„Westliche Unternehmen sind sich der Probleme und Risiken zwar bewusst, aber scheinbar derzeit nicht in der Lage, Zero Trust einzuführen“, schlussfolgerten die Autoren der Entrust-Studie.
Hindernisse für die Zero-Trust-Umsetzung
Ein Problem dürfte sich daraus ergeben, dass viele Unternehmen Zero Trust sehr unterschiedlich definieren. Es handelt sich dabei jedoch weniger um eine Spezifikation als vielmehr um einen Sicherheitsansatz.
„Ich habe oft das Gefühl, dass die Leute nicht wissen, was sie unter diesem Begriff verstehen sollen. Manche sagen, es sei ein Produkt, aber für verschiedene Menschen bedeutet er unterschiedliche Dinge“, berichtet Karen Andersen, Identitätsarchitektin bei World Wide Technology. „Ich denke oft, dass er als Marketing-Schlagwort angesehen werden kann, aber ich glaube an die Strategie, die dahintersteckt“, ergänzt sie.
Hinzu kommt, dass es für einen Zero-Trust-Ansatz keine allgemeingültigen Details zur Implementierung gibt. Unternehmensumgebungen sind sehr unterschiedlich. Deshalb kommt es bei der Umsetzung zum Beispiel auf Compliance, geografische Gegebenheiten, Branchen und die Art der Partner an. Zusätzlich können die Besonderheiten bei On-Premises-, Cloud- und Remote-Standorten sowie IoT und Legacy-Systemen stark variieren.
„Es handelt sich um eine strategische Transformation und nicht um eine taktische Umsetzung, und deshalb sehen wir in der gesamten Branche so große Schwierigkeiten“, erläutert Prashant Deo, Leiter des Bereichs Cybersecurity Global Practice bei Tata Consultancy Services. Zero Trust auf Unternehmensebene zu implementieren sei eine schwierige Aufgabe, die einen schrittweisen und anwendungsorientierten Ansatz erfordern könne.
Deo argumentiert, dass die Zero-Trust-Denkweise im grundlegenden Widerspruch zu der Art und Weise steht, wie Unternehmen bisher mit Sicherheit umgegangen sind. „Jahrzehntelang basierte Sicherheit auf der Prämisse des impliziten Vertrauens innerhalb des Netzwerkperimeters.“ Das Zero-Trust-Modell kehre diese Denkweise vollständig um.
Der Cybersicherheits-Experte betont: „Die Umstellung einer gesamten Organisation auf eine Kultur des ‚Niemals vertrauen, immer überprüfen‘ ist eine bedeutende und schwierige Veränderung.“
Vor diesem Hintergrund zeigte sich Andersen von World Wide Technology überrascht, dass in der Accenture-Studie „nur“ 88 Prozent der CISOs angaben, die Einführung von Zero Trust als schwierig empfunden zu haben. „Ich würde gerne die 12 Prozent treffen, die damit keine Probleme hatten“, witzelt sie.
Zero Trust: Eine nie endende Reise
Die Umsetzung eines umfassenden Zero-Trust-Konzepts kann laut der Technik-Expertin mehr als ein Jahrzehnt dauern, „vorausgesetzt, es wird jemals abgeschlossen.“ Sie fügt hinzu: „Ich glaube nicht, dass man jemals am Ende von Zero Trust angelangt ist.“
Auch Saleh Hamdan Al-Bualy, der jahrelang als Informationssicherheitsmanager für die Hotelkette Four Seasons tätig war, sorgt sich über die Komplexität von Zero Trust und den Mangel an konkreten Anreizen für dessen Umsetzung. „Es gibt absolut keinen Anreiz, dies zu tun“, so Al-Bualy, der heute als Sicherheitsleiter eines KI-Startups tätig ist. Er definiert Zero Trust als das Gegenteil von Systemen nach dem Prinzip Unix’ trusted host definiert, bei dem bestimmten Nutzern beim Zugriff vertraut wird, ohne ein Passwort abzufragen. „Es bremst das Geschäft. Man kann Zero Trust nur umsetzen, wenn man es vollständig implementiert. Bis dahin wird man keine der Vorteile nutzen können.“
Er betont, dass Zero Trust nur dann erfolgreich sein kann, wenn es von der obersten Managementebene nach unten vorangetrieben wird, vom Vorstand oder CEO bis hin zum CISO-Büro, ähnlich wie es bei generativer KI der Fall ist.
Will Townsend, Vizepräsident und Chefanalyst bei Moor Insights & Strategy, ergänzt, dass Geld auch eine Rolle spielt. Die Art der Vergütung eines typischen CISO bremse enthusiastische Zero-Trust-Implementierungen aus.
„Die Vergütung ist in der Regel nicht auf [Zero-Trust]-Ziele ausgerichtet. Die meisten börsennotierten Unternehmen leben von Quartal zu Quartal“, so Townsend. „Was honoriert wird, sind Dinge, die Geschäftsbereiche produktiver machen und ihre Fähigkeit, Nischendienstleistungen zu monetarisieren, verbessern. Auch Cloud-Sicherheit hat eine höhere Priorität. Wie lässt sich ein sofortiger ROI für die Verbesserung der Sicherheitshygiene nachweisen?“
Deo von Tata ist der Ansicht, dass die mangelnde Transparenz über die globale Bedrohungslandschaft eines Unternehmens ein weiterer Faktor ist, der die Zero-Trust-Einführung erschwert.
„Unternehmen haben oft einen schlechten Überblick über Datenflüsse zwischen Subjekt und Ressource, was es schwierig macht, die aktuellen Zugriffsmuster und den Bedarf an Zerot-Trust-Zugang innerhalb des Unternehmens zu bestimmen“, so Deo. „Die Fähigkeit, den aktuellen Status von Benutzern und Geräten kontinuierlich zu überwachen und zu überprüfen, erweist sich ebenfalls als Hindernis für die Einführung von echtem Zero Trust.“
Lesetipp: Zero Trust erfolgreich umsetzen – die 8 wichtigsten Fragen an Zero-Trust-Anbieter
No Responses