Zero Trust muss im Jahr 2024 nachgewiesen werden

Der Übergang zu einer Zero-Trust-IT-Architektur war für die meisten Unternehmen eine Reise, die ab 2021 mit mehr Bewusstsein begann, gefolgt von Implementierungsbemühungen in Produktionsumgebungen, die größtenteils im Jahr 2023 begannen. Mit dem Beginn von 2024 werden viele Unternehmen, die sich für Zero-Trust-IT entschieden haben, nachweisen müssen, dass sie zumindest einige Meilensteine erreicht haben. Das Problem ist, dass es keine wirklichen Zero-Trust-Standards gibt, so dass es schwierig sein kann, eine Reihe von Metriken zu definieren, die validieren würden, ob eine bestimmte Fähigkeit sowohl erreicht wurde als auch aufrechterhalten wird.

Da es keine Standards gibt, werden sich wohl immer mehr Unternehmen auf die Bewertung durch Dritte verlassen müssen, um zumindest ihre Zero-Trust-Initiativen zu validieren. Beispielsweise hat die Veterans Cybersecurity Group, ein Anbieter von Cybersicherheitsschulungsdiensten für Bundesbehörden, ein Zero Trust Proving Ground (ZTPG) eingerichtet, um Initiativen zu testen und zu bewerten. Jedes Unternehmen, das hofft, seine Zero-Trust-Bemühungen zu nutzen, um seine Versicherungsprämien für Cybersicherheit zu senken, wird wahrscheinlich ähnliche Validierungen benötigen.

Theoretisch basieren Zero-Trust-Architekturen im Kern auf der Fähigkeit, einzelne Benutzer, Maschinen und sogar Softwarekomponenten einer Anwendung zu authentifizieren. Heutzutage konzentrieren sich viele Unternehmen darauf, über Passwörter hinauszugehen, um zu identifizieren, wer auf welche Dienste zugreift. Doch nicht annähernd so viele konzentrieren sich auf die Zuweisung von Identitäten an einzelne Maschinen und Anwendungen. So wichtig es auch ist, über leicht zu stehlende Passwörter hinauszugehen, ist dies nur der erste Schritt zur Schaffung einer Zero-Trust-IT-Umgebung, die von Cybersicherheitsteams die Integration mehrerer Technologien erfordert. Eine komplett schlüsselfertige Zero-Trust-IT-Plattform gibt es nicht.

Je moderner jedoch eine IT-Plattform ist, desto wahrscheinlicher ist es, dass sie Zero-Trust-Prinzipien integriert hat. Es besteht also kein Zweifel, dass Infrastruktur-Upgrades und Anwendungsaktualisierungen erforderlich sind. Die größte Herausforderung liegt weniger darin, diesen Übergang zu bewältigen, sondern besteht vielmehr darin, IT- und Cybersicherheitsteams auf einen Nenner zu bringen, was als vertrauenswürdige Plattform oder Anwendung zu betrachten ist.

Es ist nur noch eine Frage der Zeit, bis die Zero-Trust-Architektur aufgrund der immer strenger werdenden Vorschriften zur Pflicht wird. Eine kürzlich von Okta, einem Anbieter von Identitäts- und Zugriffsmanagementplattformen, durchgeführte Umfrage unter 800 Entscheidungsträgern im Bereich Informationssicherheit ergab, dass 61 % der Befragten für Organisationen arbeiteten, die eine Zero-Trust-IT-Initiative eingeführt haben und weitere 35 % planen, dies bald zu tun. Ganze 80 % gaben an, dass die Budgets für diese Initiativen im Vergleich zum Vorjahr gestiegen sind, wobei 20 % einen Anstieg der Ausgaben um 25 % oder mehr meldeten. Das deutet darauf hin, dass trotz des anhaltenden wirtschaftlichen Gegenwinds viele Unternehmen diesen Initiativen im Rahmen ihrer IT-Gesamtstrategie weiterhin Priorität einräumen.

Natürlich werden Zero-Trust-Initiativen auf die eine oder andere Weise auf die Probe gestellt. Schließlich beobachten Cyberkriminelle diese Bemühungen genau. Viele Unternehmen werden zweifellos eine Menge Versuch und Irrtum erleben, wenn Cyberkriminelle ihre Taktiken und Techniken anpassen. In dieser Hinsicht wird Cybersicherheit ein Katz-und-Maus-Spiel bleiben. Es ist nur so, dass die Chancen hoffentlich eher zugunsten der Katze als der Mäuse stehen, die ihnen immer zahlenmäßig überlegen sein werden.