Zwar weiß die Mehrheit der Unternehmen um die Bedeutung von Identity Security, doch lediglich 9 Prozent verfolgen beim Schutz von Identitäten in ihren hybriden und Multi-Cloud-Umgebungen einen agilen, ganzheitlichen und ausgereiften Ansatz.
Das geht aus einer neuen Untersuchung von CyberArk hervor. Diese liefert auch ein Reifegradmodell, das Sicherheitsverantwortlichen hilft, ihre aktuellen Strategien zu bewerten, Risiken aufzudecken und die Cyber-Resilienz zu stärken. Für den Report „The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience“1 wurden von CyberArk und der Enterprise Strategy Group (ESG) 1.500 Sicherheitsexperten weltweit befragt, darunter auch in Deutschland. Ziel war es, Trends bei der Einführung von Identity Security und den relativen Reifegrad von Unternehmen bei der Umsetzung entsprechender Strategien zu ermitteln.
Ganzheitliche Strategien
Die Ergebnisse zeigen, dass nur 9 Prozent über ganzheitliche und ausgereifte Strategien verfügen. Diese transformativen Unternehmen richten ihren Fokus auf Lösungen für Identity Security, sind agil aufgestellt und nutzen selbst eine erfolgreiche Cyber-Attacke, um daraus zu lernen und sich zu verbessern. Bei 42 Prozent der Unternehmen hingegen befinden sich die Initiativen für Identity Security noch in einem sehr frühen Reifestadium. Ihnen fehlt es an grundlegenden Tools und Integrationen, um identitätsbezogene Risiken schnell zu minimieren. Eine größer werdende Angriffsfläche für Attacken auf Identitäten, eine komplexe IT und verschiedene organisatorische Hindernisse tragen zu diesem Rückstand bei.
Weitere Erkenntnisse
- Fokus auf Technologien: 69 Prozent der Führungskräfte auf C-Level glauben, dass sie die richtigen Entscheidungen hinsichtlich Identity Security fällen – aber nur 52 Prozent der technischen Entscheider und Sicherheitsexperten aus der Praxis. Dazu kommt die Wahrnehmung, IT-Sicherheit ließe sich durch Investitionen in die richtigen Technologien erreichen. Doch das ist nur ein Teil der Geschichte: Ebenso wichtig ist, strategisch zu investieren, um die Einführung und Integration der Technologien in bestehende Umgebungen zu unterstützen, Silos aufzubrechen und Trainings zu verbessern.
- Diskrepanz beim Endpoint: 92 Prozent der Befragten sehen Endpoint Security oder vertrauenswürdige Geräte und Identity Management als entscheidend für eine zuverlässige Zero-Trust-Strategie an. In Deutschland sind es sogar 99 Prozent. Doch nur 65 Prozent (Deutschland: 70 Prozent) meinen, die Fähigkeit Daten zu korrelieren, sei essentiell für einen effektiven Schutz der Endpoints.
- Fragmentierte Bemühungen: 58 Prozent der Unternehmen haben zwei Teams, die für den Schutz von Identitäten in der Cloud und On-Premises verantwortlich sind. Zudem verlassen sie sich auf zahlreiche Einzellösungen, die es erschweren, den Sicherheitsstatus in Echtzeit zu verstehen.
„Die Untersuchung belegt den Zusammenhang zwischen einer starken Strategie für Identity Security und besseren geschäftlichen Ergebnissen“, sagt Jack Poller, Senior Analyst der Enterprise Strategy Group (ESG). „Regelmäßige und aktuelle Bewertungen des Reifegrades helfen sicherzustellen, dass die richtigen Benutzer Zugriff auf die richtigen Daten haben und dass Unternehmen Bedrohungen schnell genug stoppen können – bevor sie den Geschäftsbetrieb unterbrechen.“
Bewertung von Strategien für Identity Security
Das Holistic Identity Security Maturity Model Framework basiert auf den Erkenntnissen aus der Umfrage und wurde entwickelt, um Unternehmen bei der Bewertung ihres Reifegrades in den folgenden vier Bereichen von Identity Security zu unterstützen:
- Beschaffung von Tools für Verwaltung, Berechtigungskontrolle, Governance, Authentifizierung und Autorisierung aller Identitäten und Identitätstypen
- Integrationen mit anderen IT- und Security-Lösungen des Unternehmens für einen sicheren Zugriff auf alle Assets und Umgebungen
- Automatisierung, um Compliance mit Richtlinien, Industriestandards und regulatorischen Vorschriften sicherzustellen und schnell auf eine Vielzahl von Routine- und anormalen Ereignissen reagieren zu können
- Kontinuierliche Threat Detection und Threat Response, basierend auf einem tiefen Verständnis des Verhaltens von Identitäten und der organisatorischen Richtlinien.
Erfolgreiche Angreifer
„63 Prozent der Unternehmen geben an, bereits Opfer einer identitätsbasierten Attacke gewesen zu sein. Wenn man sieht, in welch großem Umfang Angreifer Identitäten ins Visier nehmen und kompromittieren, liegt der Anteil aber wahrscheinlich noch viel höher“, sagt Amita Potnis, Director, Thought Leadership Marketing bei CyberArk. „Der Fokus von Unternehmen, die eine ganzheitliche Strategie für Identity Security umsetzen wollen, sollte auf sicheren Zugriffen für alle Identitäten – menschlichen und maschinellen – liegen und auf einem automatisierten Ansatz für Identity Security. Unsere Untersuchung zeigt, dass viele Unternehmen bereits in diese Richtung investieren. 24 Prozent stecken in diesem Jahr mehr als 10 Prozent ihres gesamten Security-Budgets in Identity Security.“
Transformative Unternehmen, die 9 Prozent der Befragten ausmachen, haben den höchsten Reifegrad erreicht und verfolgen einen einheitlichen Ansatz für Identity Security. Die CyberArk Identity Security Platform unterstützt einen solchen Ansatz, indem sie intelligente Berechtigungskontrollen für alle menschlichen und maschinellen Identitäten mit kontinuierlicher Threat Detection und Threat Response über den gesamten Lebenszyklus von Identitäten hinweg kombiniert. So können Unternehmen Zero Trust und Least Privilege mit vollständiger Transparenz umsetzen und so sicherstellen, dass jede Identität sicher auf jede Ressource zugreifen kann – überall und von jedem Ort aus.
Mehr bei Cyberark.com
Über CyberArk CyberArk ist das weltweit führende Unternehmen im Bereich Identity Security. Mit dem Privileged Access Management als Kernkomponente bietet CyberArk eine umfassende Sicherheit für jede – menschliche oder nicht-menschliche – Identität über Business-Applikationen, verteilte Arbeitsumgebungen, Hybrid-Cloud-Workloads und DevOps-Lifecycles hinweg. Weltweit führende Unternehmen setzen auf CyberArk bei der Sicherung ihrer kritischsten Daten, Infrastrukturen und Anwendungen. Rund ein Drittel der DAX-30- und 20 der Euro-Stoxx-50-Unternehmen nutzen die Lösungen von CyberArk.