Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner aktuellen Umfrage vor. Darin wurden die Maßnahmen der US-Bundesregierung zur Verbesserung der Cybersicherheit im Jahr 2021 evaluiert.
Dimensional Research befragte dazu im Auftrag von Tripwire 306 Sicherheitsexperten, 103 von ihnen sind derzeit für eine US-Bundesbehörde tätig und direkt für die Sicherheit innerhalb ihrer Organisation verantwortlich.
Laut der Studie wünschen sich die für kritische Infrastrukturen zuständigen Sicherheitsexperten eine Verbesserung und Durchsetzung von Sicherheitsstandards, wie etwa der NIST-Richtlinien. Dies ist wahrscheinlich darauf zurückzuführen, dass lediglich 49 % der befragten Nichtregierungsorganisationen (kritische Infrastrukturen und andere) die NIST-Standards vollständig umgesetzt haben, Ransomware aber immer noch als wichtigstes Sicherheitsproblem betrachten.
Sicherheitsexperten des Bundes teilen diese Einschätzung. Auch sie sind der Ansicht, dass die Regierung mehr für den Schutz ihrer eigenen Daten und Systeme tun sollte (99 %). Tatsächlich sind 24 % der Befragten der Meinung, dass sie nicht ausreichend auf neue Bedrohungen und Datenschutzverletzungen vorbereitet und so ins Hintertreffen geraten seien. Als Gründe werden eine unzureichende Priorisierung auf Führungsebene, fehlende interne Expertise und mangelnde Ressourcen angeführt.
Tim Erlin, Vice President of Strategy bei Tripwire: „Es ist ganz offensichtlich, dass Unternehmen sowohl aus dem öffentlichen als auch dem privaten Sektor weitere Orientierungshilfen von der Bundesregierung erwarten. Generell braucht eine langfristige Durchsetzung und Umsetzung von Cybersicherheitsrichtlinien Zeit. Aber es ist ganz entscheidend, dass die Behörden für den Schutz unserer kritischen Infrastruktur und darüber hinaus planen und die praktische Umsetzung an diesen planerischen Vorgaben messen.“
Wenn es darum geht, eine Zero Trust-Architektur umzusetzen, sind sich Bundes- und Nichtregierungsorganisationen einig, dass eine solche Strategie die Cybersicherheit wesentlich verbessern könnte. Allerdings halten nur 22 % eine Verbesserung für sehr wahrscheinlich. Die Befragten sind sich zudem einig, dass es für eine erfolgreiche Zero Trust-Strategie von grundlegender Bedeutung ist, die Integrität zu überwachen (50 %), einigermaßen wichtig ist das immerhin noch für 43 %. Aber nur für 22 % ist es zentral innerhalb einer Zero Trust-Architektur die Integrität und den Sicherheitsstatus zu bewerten. Sichere Kommunikation (44 %), individuelle Zugriffsbeschränkungen (39 %) und die Identifizierung von Datenquellen und Diensten als Ressourcen (36 %) wurden am häufigsten genannt.
Zusätzlich untersuchte die Umfrage, wo Organisationen auf ihrem Weg zu Zero Trust stehen:
- 25 % der Befragten aus Bundesbehörden beschrieben ihre Zero Trust-Implementierung als ausgereift, während es demgegenüber bei Unternehmen, die zu den kritischen Infrastrukturen zählen, lediglich 2 % sind.
- Die Mehrheit der Sicherheitsexperten – sowohl aus dem öffentlichen als auch aus dem privaten Sektor – beschreibt ihre Fortschritte in Richtung Zero Trust als ausbaufähig oder zumindest im Gange.
- Sicherheitsexperten betrachten die Richtlinien der Bundesregierung als wichtigste Quelle für Zero Trust-Strategien und Best Practices, gefolgt von Informationen, die Anbieter von Sicherheitslösungen bereitstellen sowie der Einschätzung von Beratern und Analysten.
Tim Erlin weiter: „Die Fortschritte bei der Umsetzung von Zero Trust sind durchaus vielversprechend. Wo es indes hapert, ist die Konzentration auf das Thema Integrität.
Integrität betrifft Mitarbeiter, Prozesse und Technologien, und sie aufrecht zu erhalten und zu verstehen, bildet die Grundlage einer starken Zero Trust-Architektur. Deshalb sollte Integrität Priorität haben. Einfach ausgedrückt: Ohne Integrität kein Zero Trust.“
Im Moment ist das Härten von Systemen gegen Ransomware eine treibende Kraft bei der Implementierung. Trotzdem erwarten 83 % der befragten Sicherheitsexperten, dass auf Ransomware noch weit schwerwiegendere Bedrohungen folgen könnten.
Glücklicherweise haben sowohl Bundes- als auch Nichtregierungsorganisationen auf die diesjährigen Angriffe auf kritische Infrastrukturen mit Präventivmaßnahmen reagiert – 98 % der Behörden berichten von Fortschritten bei der Umsetzung der Executive Orders zur Cybersicherheit (die Hälfte spricht von erheblichen Fortschritten), und auch über 50 % der Nichtregierungsorganisationen haben bereits konkrete Schritte unternommen, um die Cybersicherheit zu verbessern.
www.tripwire.com