Einer Studie von Techconsult zufolge fühlen sich nur 40 Prozent der Unternehmen gut auf Cyberangriffe vorbereitet. Wer glaubt, dass Thema müsste angesichts der Bedrohungslage Chefsache sein, irrt: Nur bei 43 Prozent der Befragten wird Cybersicherheit in den nächsten zwölf Monaten auf Vorstandsebene ein Thema.
Der Digitalisierungsgrad der Wirtschat hat in der Pandemie rasch zugenommen. Laut Bitkom hat für acht von zehn Unternehmen Digitalisierung durch Corona an Bedeutung gewonnen und auch ein Umdenken in Bezug auf den wirtschaftlichen Nutzen der Digitalisierung angestoßen. In einer zunehmend von Daten und digitalen Prozessen abhängigen Wirtschaft sollte allerdings auch klar sein, dass die Absicherung der Daten und digitalen Prozesse ein unverzichtbarer Baustein einer langfristig erfolgreichen Strategie sein muss. Schließlich schaffen neue digitale Services auch neue Angriffsflächen.
Dieses Bewusstsein ist einer aktuellen Studie von Techconsult zufolge aber noch nicht sonders stark ausgeprägt. Demnach haben von den befragten in Deutschland, Österreich und der Schweiz nur 42 Prozent eine abgestimmte Sicherheitsstrategie, nur 40 Prozent gehen davon aus, dass ihr Unternehmen auf einen Cyberangriff vorbereitet ist und 37 Prozent wissen sogar, dass ihre bisherige Security-Infrastruktur und -Strategie für künftige Bedrohungsszenarien nicht ausreicht. Dennoch ist Cybersicherheit nur bei 43 Prozent der befragten in den nächsten zwölf Monaten ein Thema auf Vorstandsebene.
Firmen setzen auf neue Security-Technologien
Dennoch sind Unternehmen natürlich nicht untätig. Knapp die Hälfte der Befragten (48 Prozent) möchte in »neue und moderne Security-Technologien« investieren. Ebenfalls hohe Priorität hat der Aufbau von Know-how bei IT-Mitarbeitern (bei 39 Prozent) und die gezielte Sensibilisierung der Mitarbeiter generell (37 Prozent). »Sieht man sich beispielsweise die hohe Erfolgsquote von Phishing-Angriffen an, ist dieser Schritt mehr als nötig«, kommentieren die Techconsult-Analysten. »Cyberkriminelle schlafen nie und so ist es mehr als nötig, neben technischen Maßnahmen auch dafür Sorge zu tragen, dass die eigenen Mitarbeiter immer auf dem aktuellen Stand der Dinge sind, um auch neue Angriffsmethoden als solche zu erkennen und entsprechend zu handeln.«
Als »neue und moderne Security-Technologien« sieht Technconsult unter anderem Zero Trust und SASE. Diesbezüglich wurden – wohl auch im Interesse der Projektpartner Lancom Systems, Macmon, Trellix (bis vor kurzem die B2B-Sparte von McAfee), NCP Network Communications Products, SEP und Sophos – vertiefende Fragen gestellt. Zero Trust und SASE definiert Techconsult in seiner Studie folgendermaßen:
- »Beim Zero-Trust-Ansatz handelt es sich um ein Sicherheitsprinzip, dass von vornherein niemandem vertraut und auf die Verifizierung jedes einzelnen Zugriffs auf Unternehmensressourcen setzt. Im Gegensatz zu traditionellen perimeterbasierten Ansätzen ist der Zero-Trust-Ansatz ein granularer, datenzentrierter Ansatz, der jeden Datenfluss auf Vertrauenswürdigkeit prüft. «
- »SASE steht für Secure Access Service Edge und beschreibt ein Cloud-Architekturmodell, bei dem sowohl Netzwerk- als auch Security-as-Service-Funktionen gemeinsam in einem einzigen Cloud-Service bereitgestellt werden.«
SASE hat noch nicht die gewünschte Reife
Während die Definition von Zero Trust in der Branche so weitgehend akzeptiert wird, ist das bei SASE noch etwas schwieriger. Geprägt wurde der Begriff erst Ende 2019 von Gartner. Demnach ist SASE ein Modell, dass Security als Netzwerk-Funktionalität definiert und diese als Cloud Service ausliefert. In gewisser Weise war SASE zunächst die Antwort auf die mit der zunehmenden Verbreitung von SD-WAN (Software-Defined WAN) einhergehenden Probleme.
Als solche ist SASE eher ein Rahmenwerk oder eine Zusammenfassung mehrere Sicherheitstechnologien und -ansätze als ein eigene, neue Technologie. So gehören Zero Trust Network Access (ZTNA), Cloud Access Security Broker (CASB) und traditionellen Sicherheitstechnologien wie einer Firewall. Letztlich ist SASE also der Dreiklang aus Netzwerk (SD-WAN) sowie Funktionen für Sicherheit und Identitätsmanagement (Zero Trust).
Für Anbieter aus all diesen Bereichen ist es daher einfach, sich als »SASE-Anbieter« zu bezeichnen – selbst wenn sie ein komplettes SASE-Konzept mit allem Drum und Dran in den wenigsten Fällen im Portfolio haben. Für Anwenderunternehmen ist bei SASE jedoch attraktiv, dass sie in vielen Fällen vorhandene Technologie weiterhin nutzen können und die lediglich ergänzen und unter einem Dach zusammenfassen müssen.
Aktuell sind SASE und Zero Trust noch relativ wenig verbreitet. In der Techconsult-Umfrage sagten lediglich 16 Prozent der Befragten, dass in ihrem Unternehmen ein solcher Ansatz bereits vorhanden ist. Allerding ist das Interesse groß: 26 Prozent planen die Einführung in den nächsten 12 Monaten, 20 Prozent in den nächsten 12 bis 24 Monaten. Weitere 15 Prozent planen die Einführung zu einem späteren Zeitpunkt. »Insgesamt lässt sich sagen, dass sich Zero Trust in den nächsten Jahren etablieren wird. Ähnlich verhält es sich mit der Einführung einer SASE-Sicherheitsarchitektur«, zieht Techconsult als Fazit.
Gründe für Zero Trust und Nutzen von Zero Trust
Die Gründe, warum Unternehmen Zero Trust jetzt schon einsetzen beziehungsweise künftig einsetzen wollen, sind ebenso vielfältig wie der Nutzen, den Firmen sich davon versprechen. Bei den treibenden Kräften rangieren do sichere Anbindung und Vernetzung von Niederlassungen, mehr Datensicherheit/Datenschutz, Aufrechterhaltung der Homeoffice-Infrastrukturen, Compliance und Einhaltung von Schutz vor Insider-Bedrohungen mit Werten zwischen 55 und 58 Prozent beim Anteil der Nennungen mit »sehr wichtig« und »wichtig« ganz oben.
Als Nutzen von Zero Trust sehen die Befragten am häufigsten eine geringere Anzahl von Sicherheitsvorfällen, höhere Zugriffssicherheit auf Applikationen in der Cloud, höhere Netzwerksicherheit und geringer Netzwerkrisiken, einfacheres Onboarding von Mitarbeitern und Unterstützung von »New Work« sowie einfachere Verwaltung und mehr Agilität
Gründe für SASE und Nutzen von SASE
In Bezug auf SASE nannten die Befragten »Unterstützung neuer agiler Entwicklungs-/Betriebskonzepte« sowie Compliance als wichtigste Gründe. jeweils 57 Prozent halten diese Punkte für „sehr wichtig“ und „wichtig“. Mehr Datensicherheit/Datenschutz, Aufrechterhaltung der Homeoffice-Infrastrukturen sowie Sichere Anbindung und Vernetzung von Niederlassungen sind ihnen aber nahezu ebenso wichtig (56 respektive 55 Prozent). Das zeigt, dass die Gründe für die Beschäftigung mit Zero Trust und SASE weitgehend ähnlich sind.
Beim erhofften Nutzen ist das ähnlich. Her ist sogar die Reihenfolge dieselbe. Auch SASE soll Unternehmen eine geringere Anzahl von Sicherheitsvorfällen, höhere Zugriffssicherheit auf Applikationen in der Cloud, höhere Netzwerksicherheit und geringer Netzwerkrisiken, einfacheres Onboarding von Mitarbeitern und Unterstützung von »New Work« sowie einfachere Verwaltung und mehr Agilität bringen.
Wo es bei SASE noch hakt
Angesichts der vielfältigen Erwartungen an SASE und das dazugehörige Authentifizierungskonzept Zero Trust verwundert es nicht, dass sich auch einige Schwierigkeiten auftun. Spannend wäre gewesen, wie Unternehmen, die gemeistert haben, die zu den 16 Prozent gehören, die einen der beiden Ansätze bereits eingeführt haben. Darüber gibt die Techconsult-Studie allerdings keine Auskunft. Abgefragt wurde jedoch, welche Schwierigkeiten Firmen sehen, die SASE noch nicht implementiert habe.
Hier stehen Komplexität der Implementierung (36 Prozent) und Fehlendes Know-how im Unternehmen (33 Prozent) ganz vorne. Hohe Anfangskosten (26 Prozent) sowie eine aufwändige Implementierung (13) Prozent schrecken ebenfalls viele ab. Jeweils 22 Prozent halten aber auch die Angebote der Anbieter noch nicht für transparent beziehungsweise etabliert genug. 16 Prozent halten sie sogar für unausgereift.
Angesichts der Tatsache, dass das Konzept erst seit 2020 im Markt diskutiert wird, ist diese Skepsis in vielen Fällen sicher angebracht. Allerdings sollte sie nicht als Vorwand dienen, um das Konzept ganz zu verwerfen. Denn wie gesagt, ist SASE eher ein Rahmen, in dem mehrere einzelne Technologien koordiniert werden. Wer sich derzeit mit Verschlüsselung, Nutzerprofilen und Gruppenrichtlinien, DLP (Data Loss Prevention), VPN oder Identitätsmanagement beschäftigt, sollte daher im Blick behalten, ob und wie sich die ausgewählten Anbieter später in ein SASE-Konzept integrieren lassen.
»SASE ist eine ganzheitliche Betrachtung der IT-Sicherheit und stellt eine strategische Herangehensweise dar, die eine Neugestaltung von modernen und sicheren IT-Infrastrukturen ermöglicht, die auf die neuen Anforderungen rund um Cloud und Remote-Arbeit ausgerichtet ist«, erklärt Techcosnult dazu. »Zero Trust bringt den nötigen Kontrollmechanismus mit ein, der durch kontinuierliche Validierung garantiert, dass nur die richtigen Nutzer und Geräte auf die für sie bestimmten Applikationen zugreifen können.« Damit seien sie die angemessene Antwort auf die Zunahme an Remote-Arbeit und den Siegeszug der Cloud, die neue Ansätze bei der IT-Sicherheit erforderten.
Weiterführende Links
Beschreibung der Methodik und Download-Möglichkeit der Studie