Zero Trust: Wie Sie Missverständnisse und Irrtümer vermeiden
Die häufige Verwendung des Begriffs Zero Trust im Marketing führt zu einer Verunsicherung der Kunden. Wir erklären, was sich wirklich dahinter verbirgt.
Wie ist der Stand bei der Einführung von Zero Trust in öffentlichen Verwaltungen in Deutschland? Eine spannende Studie beschäftigt sich mit der aktuellen Situation sowie den Herausforderungen und Chancen, die das Zero-Trust-Modell für die Kommunen mit sich bringt.
In den vergangenen Monaten und Jahren sahen sich einige Kommunen in Deutschland und im benachbarten Ausland verheerenden Cyberangriffen und Datendiebstählen ausgesetzt. Häufig gelangten die Angreifer über gestohlene Zugangsdaten in die IT-Systeme der Verwaltungen. In unzureichend gesicherten Netzwerken fällt es ihnen dann leicht, sich weiter auszubreiten, zusätzlichen Schadcode einzuschleusen und Daten zu verschlüsseln oder zu stehlen.
Ein probates Gegenmittel gegen diese Art von Cyberangriffen ist die Einführung des Zero-Trust-Modells auch in der kommunalen IT. Wie der Name schon nahelegt, bedeutet Zero Trust „kein Vertrauen“. Während Zugriffe bislang meist ortsabhängig – also inner- oder außerhalb der eigenen IT-Umgebung – erlaubt oder verboten wurden, gilt bei der Umsetzung des Zero-Trust-Modells zunächst einmal alles als pauschal verboten.
Jeder einzelne Zugriff auf eine bestimmte Ressource erfordert im Zero-Trust-Modell erst eine Erlaubnis. Selbst die bisher oft nahezu allmächtigen Administratoren erhalten nur noch genau die Rechte, die sie für eine bestimmte Aufgabe benötigen. Aber selbst diese Rechte werden ihnen wieder entzogen, wenn die Aufgabe erledigt oder die vorgegebene Zeit abgelaufen ist. Zero Trust erlaubt legitime Zugriffe immer nur für einen begrenzten Zeitraum, danach müssen sie ein weiteres Mal überprüft und erneuert werden.
Das Modell erscheint auf den ersten Blick kompliziert, aufwendig und in der Praxis nur schwer umsetzbar. Dennoch hat es sich inzwischen vielfach bewährt. Große und zunehmend auch kleinere Unternehmen setzen Zero Trust bereits in ihrer IT ein, nur bei vielen Kommunen hinkt die Umsetzung noch hinterher.
Die Berliner Public Affairs-Beratung elfnullelf und der Nürnberger Sicherheitsanbieter NCP führten im Jahr 2023 gemeinsam eine Studie zur Cyber-Resilienz im öffentlichen Sektor und der Akzeptanz beziehungsweise Umsetzung des Zero-Trust-Modells in Kommunen durch - mit äußerst interessanten Ergebnissen.
In Deutschland arbeitet bereits etwa die Hälfte der Firmen an der Umsetzung in ihren Umgebungen oder hat das Modell bereits eingeführt. Laut der Studie setzen aber erst elf Prozent der befragten Kommunen Zero Trust in ihrer IT um. Dies bedeutet jedoch nicht, dass diese Kommunen das Modell bereits vollständig umgesetzt haben. Mehr als 21 Prozent haben gerade einmal zwei der acht Zero-Trust-Pfeiler umgesetzt.
In der Reihenfolge der am häufigsten umgesetzten Maßnahmen sind dies der sessionbasierte Zugriff, die Einführung autorisierter Geräte, zusätzliche Maßnahmen zur Absicherung der Geräte, die Verschlüsselung des Datenverkehrs im Netzwerk, das Monitoring in Echtzeit, die strikte Einhaltung der gesetzten Richtlinien sowie eine dynamische Überwachung der Authentifizierung. Dabei wird beispielsweise geprüft, ob es überhaupt plausibel ist, dass ein Mitarbeiter gerade jetzt von diesem Standort aus auf eine bestimmte Ressource zugreifen möchte.
Immerhin 38,5 Prozent der Teilnehmer an der Studie rechnen aber damit, dass die Einführung des Modells in den nächsten Jahren erfolgt. Als Gründe für die bisherige Verzögerung nennen die meisten Befragten fehlende personelle Kapazitäten, gefolgt von ausbleibenden finanziellen Mitteln oder zu wenig vorhandenem Know-how. Nur ein kleiner Teil sieht keine Notwendigkeit für die Einführung von Zero Trust.
Interessanterweise hat die Größe einer Kommune keinen Einfluss auf die Umsetzung der Maßnahmen. Dies gilt auch für die sonst oft wichtige Frage, ob ein IT-Dienstleister die Umsetzung begleitet oder nicht. Laut Studie spielt dies keine wesentliche Rolle, auch wenn bereits 43 Prozent der Befragten ihre Datenverarbeitung und IT-Infrastruktur ganz oder teilweise an einen Dienstleister übertragen haben.
Ein weiterer Schwerpunkt der Befragung war das Thema Automatisierung. Hier zeigte sich, dass der Automatisierungsgrad bestimmter IT-Prozesse umso höher ist, je mehr Zero-Trust-Maßnahmen bereits umgesetzt wurden. Die Studie belegte den Zusammenhang zwischen bereits eingeführten Zero-Trust-Maßnahmen und automatisierten Prozessen beispielsweise bei der Verwaltung von Benutzerberechtigungen, Updates oder der Überwachung der IT-Systeme.
27,5 Prozent der Befragten gaben an, dass ihre IT-Prozesse „eher automatisiert“ erfolgen, 9,2 Prozent wählten „sehr häufig“. 42,2 Prozent meinten, dass sie ihre IT-Prozesse „eher selten“ automatisiert haben. Immerhin 13,8 Prozent der Benutzerberechtigungen verwalten sie jedoch automatisiert („trifft voll zu“), 41,3 Prozent nannten hier „trifft eher zu“. Bei den Kommunen, die Zero Trust bereits praktizieren, zeigte sich, dass ihre Mitarbeiter nun auch mobil arbeiten können – im Durchschnitt zwei Arbeitstage pro Woche.
Für die Studie im Rahmen der Initiative K befragten elfnullelf und NCP Vertreter von 109 Kommunen in zwölf Bundesländern.
Es gibt mehrere gute Gründe für die zögerliche Haltung vieler Kommunen, Zero Trust in ihren IT-Umgebungen zu implementieren. Einer davon ist die Komplexität der Umstellung. So erfordert Zero Trust ein grundlegend neues Design des Netzwerks und der damit verbundenen Sicherheitsmaßnahmen. Angesichts der oft begrenzten Ressourcen in öffentlichen Verwaltungen stellt dies keine leichte Aufgabe dar. Hinzu kommt, dass in den Verwaltungen noch viele Legacy-Systeme im Einsatz sind, die sich nicht einfach nebenbei aktualisieren oder umstellen lassen.
Hinzu kommen der vielerorts anzutreffende Fachkräftemangel und Budgetrestriktionen. Die Einführung von Zero Trust und die begleitenden Schulungsmaßnahmen erfordern zum Teil erhebliche Investitionen. Dies und Widerstände bei den eigenen Mitarbeitern, die neue Konzepte nicht oder nur langsam akzeptieren, erschweren die Umsetzung. Auch gesetzliche und regulatorische Vorgaben spielen eine wichtige Rolle.
Dies erfordert neben einer sorgfältigen Planung auch ausreichende Ressourcen und eine entsprechende Schulung des Personals. Dabei hat es sich bewährt, wenn mehrere Kommunen zusammenarbeiten, Informationen austauschen und ihre gemeinsamen Ressourcen nutzen.
Wer dabei Hilfe benötigt, kann auf die Unterstützung eines kompetenten Dienstleisters wie NCP zurückgreifen. NCP hat Zero Trust schon umgesetzt, bevor der Begriff zum Buzzword wurde!