Im Jahr 2023 investieren Chief Information Security Officers (CISOs) und Leiter des Identitäts- und Zugriffsmanagements (IAM) stark in einheitliche Identitätslösungen, deren Kernstück die Sicherheit ist.
Diese Umstellung erfolgt, weil fragmentierte Identitätslösungen nicht mehr in der Lage sind, die wachsende Zahl von Benutzern, Geräten, Berechtigungen und Umgebungen zu sichern - und die steigenden Kosten, Risiken und die Komplexität, die aus diesem Wachstum resultieren. Identitätslösungen erfüllen mehrere Anwendungsfälle in Unternehmen: Sie verhindern Sicherheitsrisiken, Kontoübernahmen und Sicherheitsverletzungen durch Multi-Faktor-Authentifizierung (MFA). Sie bietet eine bessere Benutzererfahrung mit Verzeichnis- und Single Sign-On (SSO)-Funktionen, die die Zugriffsverwaltung vereinfachen. Die Identität kann einen sicheren Zugriff über die gesamte IT-Landschaft, einschließlich mobiler Geräte und Cloud-Anwendungen, ermöglichen und die digitale Transformation beschleunigen.
Dieser Trend hin zu einheitlichen Identitätsplattformlösungen stellt eine Abkehr von dem Muster der letzten drei Jahre dar, das sich auf die starke Authentifizierung von Remote-Mitarbeitern konzentrierte, und erweitert die Sicherheit auf alle Identitätskomponenten. CISOs, Sicherheitsexperten und IT-Teams behaupten, dass sie mit dramatischen Veränderungen in der Kultur und der Sicherheit konfrontiert sind, da die Arbeit von zu Hause aus der Rückkehr ins Büro weicht, während die Angestellten ihren Mantel wechseln und den Arbeitsplatz in kürzester Zeit wechseln. Diese Veränderungen bedeuten, dass die Anmeldeinformationen jedes Benutzers ein Weg zu verheerenden Datenverstößen sind - jeder Benutzer ist ein Benutzer mit privilegiertem Zugriff.
Anbieter wie Microsoft und Investmentfirmen wie Thoma Bravo haben darauf reagiert, indem sie schnell Zugriffsmanagement, Verzeichnisdienste, passwortlose Authentifizierung und andere Identitätsfunktionen in ihre jeweiligen Portfolios aufgenommen haben. Die für diesen Bericht befragten CISOs suchen jedoch, mit wenigen Ausnahmen, nach sicherheitsorientierten Anbietern, um identitätsbasierte Angriffe zu verhindern, Sicherheitsbedrohungen zu erkennen und eine einheitliche, sicherheitsorientierte Identitätsplattform, -struktur oder -erfahrung zu schaffen.
Impact Leaders befragte im Auftrag von RSA Security 25 Führungskräfte großer Unternehmen ausführlich zu ihren Ausgabenplänen für 2023 und ihrer Wahrnehmung von Identitätsstrategien, digitaler Transformation, dem Bereich Zugangsmanagement, identitätsbasierten Angriffen, Technologien und Trends.
Darüber hinaus befragte Impact Leaders im Januar 2023 telefonisch sechs leitende Angestellte großer Unternehmen mit einem durchschnittlichen Umsatz von $40 Mrd. US-Dollar zu ihren Ansichten über eine einheitliche, auf Sicherheit ausgerichtete Identität.
CISOs sehen einen einzigen sicherheitsorientierten Anbieter als den richtigen Identitätspartner für die Zukunft an. Die Untersuchung von Impact Leaders zeigt, dass CISOs eine starke Meinung darüber haben, warum Identität jetzt im Mittelpunkt steht, warum eine einheitliche Erfahrung wichtig ist und warum ein Sicherheitsfokus bei ihren bevorzugten Identitätsanbietern von größter Bedeutung ist.
IT-Führungskräfte sehen sich gezwungen, den Datenschutz von einer einfachen Perimeterverteidigung auf eine umfassende Verteidigung auszuweiten. Mit der Telearbeit ist die Identität wohl die größte Erweiterung dieses Konzepts: Sie ist die neue Grenze, wenn Mitarbeiter von zu Hause, in Co-Working-Spaces, Cafés und anderen öffentlichen Orten aus arbeiten.
Laut dem Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2022 wurden bei 82% der Sicherheitsverletzungen gestohlene Anmeldedaten, Phishing und andere von Menschen verursachte Schwachstellen als Ausgangspunkt für Sicherheitsverletzungen verwendet.1
Kein Unternehmen ist sicher, wenn es keinen Plan für den sicheren Umgang mit Sicherheitsrisiken wie Anmeldedaten, Phishing, Kontoübernahmen und anderen Schwachstellen hat.2 Die DBIR-Studie zeigt auch, dass Kriminelle immer mehr Benutzerdaten ausnutzen, und zwar so schnell wie in den letzten fünf Jahren zusammen.3
Ganz gleich, ob ein Unternehmen nur einen Zeh in den Teich der "starken Authentifizierung" taucht oder die Zugangskontrolle überarbeitet, um die plötzliche Umstellung auf eine dezentrale Belegschaft zu unterstützen, Identity ist mehr als nur ein weiteres Sicherheitsprojekt. Sie ist der genaueste Gradmesser für den allgemeinen Zustand eines Risikomanagementprogramms.
100% der befragten CISOs und Technologieführer schätzen die Kosteneffizienz mehr als die Kosten allein.
Wenn ein Unternehmen wächst - sei es aus eigener Kraft oder durch Übernahmen - kann es sich auf die Identität verlassen, um die Integration übernommener Unternehmen zu erleichtern, Cloud-Dienste zu integrieren und neuen Mitarbeitern den Übergang zu erleichtern und sie schneller wieder voll produktiv werden zu lassen. Sie hilft auch bei Entlassungen; die Deprovisionierung ist einfacher, weil sie automatisiert werden kann. Kurz gesagt: Identität ist die Grundlage des technischen Risikomanagements.
Die für diesen Bericht befragten IT- und Sicherheitsverantwortlichen erläuterten ihre Strategien zur Gewinnung von Unterstützung für eine einheitliche, sicherheitsorientierte Identität. Sie sagten, dass sie mehr Budget, mehr Personal und mehr dauerhafte Unterstützung von der Geschäftsleitung für Identitätsinitiativen erhalten, indem sie sich auf den Wert sowohl am oberen als auch am unteren Ende der Bilanz konzentrieren. Die untere Zeile zeigt den Wert der vermiedenen Kosten, wie z. B. Risikominderung, Personalabbau, Einhaltung gesetzlicher Vorschriften, Verhinderung von Sicherheitsverletzungen usw., während die obere Zeile den Wert der erhaltenen Vorteile zeigt, wie z. B. Einnahmen, neue Geschäfte, Erneuerungsraten, verbesserte Benutzererfahrungen usw. Die vereinheitlichte, sicherheitsorientierte Identität wirkt sich sowohl auf die obere als auch auf die untere Zeile der Bilanz in vier Bereichen aus (Abbildung 1).
Abbildung 1: Geschäftliche Treiber für Identitätslösungen
Quelle: Impact Leaders
Mehr als die Hälfte der CISOs gaben an, dass der "ärgerlichste" Aspekt der Identität die Arbeit mit vier oder mehr Identitätsanbietern ist. Zwei Drittel der CISOs ziehen es vor, mit einem oder zwei Identitätsanbietern zu arbeiten, anstatt mit mehreren Anbietern.
Zwar glauben nur wenige CISOs (weniger als 10%), dass sich der Cybersicherheitsmarkt in zehn Jahren auf eine Handvoll großer Anbieter wie Microsoft, Palo Alto Networks, Amazon und Thoma Bravo konsolidieren wird, aber das ist einfach unwahrscheinlich.
Die Konsolidierung in der Sicherheitsbranche ist in den letzten vierzig Jahren dutzendfach versucht worden, und sie funktioniert einfach nicht.
Große Anbieter von Cloud-Ressourcen bemühen sich heute darum, Produktportfolios aufzubauen und in wenigen Jahren zu integrieren, was Unternehmen jahrzehntelang in ihren eigenen Rechenzentren fein abgestimmt haben.
Das Bestreben dieser großen Anbieter, "alles aus einer Hand" zu liefern, führt zu einem natürlichen Widerstand bei der Einführung in Unternehmen, da große Cloud-Anbieter nicht mit der schnelllebigen Geschäftsdynamik Schritt halten oder die sich rasch entwickelnden Sicherheitsrisiken angehen können. Darüber hinaus werden große Unternehmen nicht alles auf einen einzigen Cloud-Service-Anbieter setzen, so eine Studie von Impact Leaders.
Große Cloud-Anbieter konzentrieren sich nicht auf die Sicherheit. Sie nehmen das Thema zwar ernst, aber das ist etwas anderes, als wenn sie es zu ihrer raison d'etre machen. Heute und in den kommenden Jahren planen CISOs den Einsatz spezialisierter Anbieter, um die größten Teile des IT-Sicherheitskuchens zu bewältigen: Sicherheitsrisiken, identitätsbasierte Angriffe, Identität und Zugang sind Teile, die CISOs und IT-Teams in einem Bissen erledigen wollen.
72% der IT-Führungskräfte geben an, dass Sicherheit der wichtigste Faktor bei der Auswahl eines Identitätsanbieters ist.
CISOs, die heute nach Identitätslösungen suchen, wollen einen Partner, auf den sie sich verlassen können, der die gesamte Identitätsinfrastruktur und den gesamten Lebenszyklus integriert und der die Best Practices von Sicherheitsexperten berücksichtigt:
"Windows kann nicht unser einziger Sicherheitspartner sein. Es reicht einfach nicht aus, um unsere fragmentierte Umgebung und Hunderte von nachgelagerten Anwendungen zu sichern und zu integrieren."
-CISO, $30BN KONSUMGÜTERUNTERNEHMEN
Dies sagte ein CISO auf die Frage, warum er ein einheitliches Produktportfolio eines sicherheitsorientierten Anbieters bevorzugt:
"Unsere Mitarbeiter haben oft keine Smartphones bei der Arbeit, aber wir brauchen trotzdem hohe Sicherheit in allen Bereichen unserer Identitäts- und Zugangsverwaltung. Ich setze große Hoffnungen auf die passwortlose Multi-Faktor-Authentifizierung (MFA) in der Zukunft, aber heute brauche ich einen Partner, der die Identität einrichtet, sie zum Laufen bringt und sie sicher hält.
-GESCHÄFTSFÜHRER, FORTUNE 500-CHIPHERSTELLER
Eine nationale Kreditgenossenschaft hat nach Angaben ihres CIO über einen Zeitraum von zwei Jahren durch den Einsatz einer einheitlichen, sicherheitsorientierten Identitätslösung Nettogewinne in Höhe von $2,9 Mio. US-Dollar bei Infrastruktur und Risiko erzielt:
"Wir hörten Horrorgeschichten von Kollegen bei anderen Kreditgenossenschaften und von lokalen Unternehmen im Gesundheitswesen, die angegriffen wurden und Lösegeld in Bitcoin zahlen oder für Tage oder Wochen ausfallen mussten, während der Betrieb wiederhergestellt wurde. Wir wussten, dass es für uns nur eine Frage der Zeit war, bis es uns treffen würde."
-GESCHÄFTSFÜHRER, NATIONALE KREDITVEREINIGUNG
84% der Befragten wollen, dass Sicherheitslösungen mit Microsoft integriert werden, während 92% sich nicht vollständig auf Microsoft-Sicherheit verlassen wollen.
Microsoft ist ein etablierter und angesehener Anbieter von lokaler Infrastruktur in den meisten großen Unternehmen. Microsoft ist auch ein angesehener Anbieter von Cloud-Diensten mit Microsoft Azure Active Directory und einem wachsenden Portfolio von Cloud-Anwendungen.
Die Herausforderung für CISOs besteht darin, dass Microsoft nicht die gleichen Produkte mit den gleichen Funktionen für Cloud-Umgebungen und lokale Ressourcen anbietet. Es handelt sich im Wesentlichen um zwei Produktportfolios, die in ihren jeweiligen Implementierungen nicht die gleiche Leistung bieten.
Jeder Berechtigungsnachweis ist ein Ziel für ausgeklügelte Kriminelle; daher sollte jeder Benutzer so behandelt werden, als hätte er privilegierten Zugang.
CISOs bevorzugen eine einheitliche Identität anstelle von einem oder zwei Anbietern. Ein einheitlicher, sicherheitsorientierter Identitätsanbieter bringt messbare Vorteile bei der Entwicklung eines stärkeren Sicherheitssystems, der Vermeidung von Risiken und der Verbesserung der Benutzerfreundlichkeit.
Die Identität ist der Aspekt der IT-Infrastruktur, der den größten Einfluss auf das Risiko eines Unternehmens hat. Bei der Auswahl eines Identitätsanbieters ist die Sicherheit der wichtigste Faktor.
Dieser Artikel basiert auf dem Originalbericht von Impact Leaders. Lesen Sie den Originalbericht hier.
