Ausgangslage der Studie
Was bedeutet Zero Trust
- „Zero Trust“ wurde erstmals 2010 von John Kindervag, einem ehemaligen Analysten von Forrester Research, eingeführt
- Paradigmenwechsel: kein implizites Vertrauen mehr für einmal authentifizierte Nutzer
- 2020 veröffentlichte die US-amerikanische Bundesbehörde National Institute of Standards and Technology (NIST) einen Leitfaden für die Implementierung von Zero Trust-Prinzipien (Link)
- aber: bislang keine allgemeinverbindliche Definition
Zero Trust-Kriterien
Eine Zero Trust-Architektur liegt vor, wenn:
- Autorisierte Geräte: Verbindungen innerhalb und außerhalb der Organisation werden nur von autorisierten Geräten zugelassen.
- Netzwerkverschlüsselung: Alle Netzwerkverbindungen der Organisation innerhalb und nach außen sind verschlüsselt.
- Geräteabsicherung: Alle Geräte der Organisation sind durch mehrere Schutzschichten und Überprüfungen abgesichert.
- Session-basierter Zugriff: Der Benutzer muss sich zu Beginn der Sitzung einmal authentifizieren und kann dann bis zum Sitzungsende auf autorisierte Ressourcen zugreifen.
- Dynamic Policy: Für die Zugriffskontrolle wird nicht nur auf Authentifizierungsinformationen (Passwort, MFA) gesetzt, sondern auch andere Variablen (Standort des Endgerätes, Uhrzeit, etc.) miteinbezogen.
- Echtzeitmonitoring: Es findet eine kontinuierliche Überwachung der Ressourcen in Echtzeit statt (z.B. System Logging und Audits der Logs, Intrusion Detection Systeme und andere Tools).
- Strikte Einhaltung der Policy: Die dynamische Zugriffskontrolle wird strikt durchgezogen. Das Vertrauen wird immer wieder und bei jeder Zugriffsentscheidung neu bewertet.
- Daten sammeln/nutzen für Systemverbesserung: Mit der kontinuierlichen Systemüberwachung werden so viele Daten wie möglich für die Systemverbesserung gesammelt und genutzt.
Studiendesign
- Welche Rolle spielt Zero Trust für Kommunen? (Relevanz, Umsetzung)
- Einflussfaktoren auf Umsetzung
- Auswirkungen von Zero Trust in Kommunen
Hypothesen
Umsetzung Zero Trust in Kommunen

- Je größer die Kommune ist und je größer ihre IT-Abteilung ist,
- Je mehr die kommunale IT von einem IT-Dienstleister bereitgestellt wird,
- Wenn die Kommune über ein eigenes Rechenzentrum verfügt,
- Je mehr der/die IT-Verantwortliche vernetzt ist,
- Je mehr der/die Landrat/rätin bzw. (Ober-)Bürgermeister/in die Umsetzung neuer Digitalisierungsprojekte unterstützt,
… desto mehr Zero Trust-Kriterien sind umgesetzt bzw., desto wahrscheinlicher ist die Umsetzung in den nächsten Jahren.
Auswirkungen von Zero Trust in Kommunen

Je mehr Zero Trust (Bestandteile) Kommunen in ihrer IT umgesetzt haben…
- …desto weniger Arbeitsausfälle durch Cyberangriffe verzeichnen sie.
- …desto mehr Automatisierung von IT-Administration findet in der kommunalen IT statt.
- …desto mehr mobile Arbeit wird Mitarbeitenden ermöglicht.
- …desto mehr digitale Bürgerdienstleistungen (OZG) bietet die Kommune an.
- …desto mehr nutzen Kommunen Daten, um Abläufe zu verbessern.
- …desto mehr Kapazitäten für Zukunftsprojekte (Smart City) hat die IT.
Bedeutung/Umsetzung von Zero Trust
Zero Trust spielt für die IT-Sicherheit von Kommunen eine wichtige Rolle
Kommunen räumen Zero Trust eine hohe Bedeutung für ihre IT-Sicherheit ein
nur 5% stimmen dem eher nicht zu
11% setzen Zero Trust aktuell um
Es ist wahrscheinlich, dass meine Kommune Zero Trust in den nächsten Jahren umsetzt. (%)
38,5% der Meinung, dass es wahrscheinlich ist, dass ihre Kommune Zero Trust in den nächsten Jahren umsetzen
nur 2,8% stimmen dem gar nicht zu
Anzahl Zero Trust-Bestandteile umgesetzt
21,1% haben erst 2 von 8 Zero Trust-Bestandteilen umgesetzt
0,9% (1 Kommune) haben alle 8 umgesetzt
Gründe für bisherige Nicht-Umsetzung von Zero Trust
häufigsten fehlende personelle Kapazitäten gefolgt von fehlendem Know-how
nur 5% sehen keine Notwendigkeit
Einflussfaktoren auf die Umsetzung von Zero Trust




Kein Einfluss auf die Umsetzung von Zero Trust
Auswirkungen von Zero Trust in den Kommunen
Ausfall durch Cyberangriffe
62,4% machten keine Angaben zu Ausfällen durch Cyberangriffe in den letzten 12 Monaten
IT-Automatisierung
42,2% sagen, dass IT-Prozesse eher selten automatisiert erfolgen
41,3% verwalten Benutzerberechtigungen eher automatisiert
45,9% müssen Updates auf Endgeräten eher nicht manuell installieren
41,3% überwachen IT-Systeme eher automatisiert
Mobiles Arbeiten
2 Tage/Woche wird in den meisten Kommunen (28,4%) mobiles Arbeiten erlaubt
43,1% sagen, dass mobiles Arbeiten eher selten in Anspruch genommen wird
49,5% stimmen eher zu, dass in ihrer Kommune eine Präsenzkultur herrscht
OZG-Umsetzung
Angaben zu umgesetzten OZG-Leistungen sind sehr heterogen, reichen von 0 bis 570
38% haben 1-20 OZG-Leistungen umgesetzt. Weitere 14% kommen auf 21-40 Leistungen.
Datennutzung
Kommunen sind bei der Datennutzung eher verhalten.
11,9% nutzen selbstgenerierte Daten eher häufig, um die eigene IT zu verbessern, 11%, um Verwaltungsabläufe zu verbessern und ebenfalls 11%, um Bürgerservices zu verbessern.
Smart City-Projekte
22% setzen Smart City-Projekte aktuell um.
5% der wöchentlichen Arbeitszeit der IT fließen im Mittel in Smart City-Projekte
