Überspringen zu Hauptinhalt

Ausgangslage der Studie

Was bedeutet Zero Trust

  • „Zero Trust“ wurde erstmals 2010 von John Kindervag, einem ehemaligen Analysten von Forrester Research, eingeführt
  • Paradigmenwechsel: kein implizites Vertrauen mehr für einmal authentifizierte Nutzer
  • 2020 veröffentlichte die US-amerikanische Bundesbehörde National Institute of Standards and Technology (NIST) einen Leitfaden für die Implementierung von Zero Trust-Prinzipien (Link)
  • aber: bislang keine allgemeinverbindliche Definition

Zero Trust-Kriterien

Eine Zero Trust-Architektur liegt vor, wenn:

  • Autorisierte Geräte: Verbindungen innerhalb und außerhalb der Organisation werden nur von autorisierten Geräten zugelassen.
  • Netzwerkverschlüsselung: Alle Netzwerkverbindungen der Organisation innerhalb und nach außen sind verschlüsselt.
  • Geräteabsicherung: Alle Geräte der Organisation sind durch mehrere Schutzschichten und Überprüfungen abgesichert.
  • Session-basierter Zugriff: Der Benutzer muss sich zu Beginn der Sitzung einmal authentifizieren und kann dann bis zum Sitzungsende auf autorisierte Ressourcen zugreifen.
  • Dynamic Policy: Für die Zugriffskontrolle wird nicht nur auf Authentifizierungsinformationen (Passwort, MFA) gesetzt, sondern auch andere Variablen (Standort des Endgerätes, Uhrzeit, etc.) miteinbezogen.
  • Echtzeitmonitoring: Es findet eine kontinuierliche Überwachung der Ressourcen in Echtzeit statt (z.B. System Logging und Audits der Logs, Intrusion Detection Systeme und andere Tools).
  • Strikte Einhaltung der Policy: Die dynamische Zugriffskontrolle wird strikt durchgezogen. Das Vertrauen wird immer wieder und bei jeder Zugriffsentscheidung neu bewertet.
  • Daten sammeln/nutzen für Systemverbesserung: Mit der kontinuierlichen Systemüberwachung werden so viele Daten wie möglich für die Systemverbesserung gesammelt und genutzt.

Studiendesign

  • Welche Rolle spielt Zero Trust für Kommunen? (Relevanz, Umsetzung)
  • Einflussfaktoren auf Umsetzung
  • Auswirkungen von Zero Trust in Kommunen

Experteninterviews mit Kommunen im Vorfeld

Operationalisierung

Hypothesen (11), Indikatoren und Fragebogen (47 Fragen)

Online-Befragung

109 Vertreter:innen von Kommunen aus 12 Bundesländern

65% IT-Abteilung + 14% Hauptamt

Hypothesen

Umsetzung Zero Trust in Kommunen

  1. Je größer die Kommune ist und je größer ihre IT-Abteilung ist,
  2. Je mehr die kommunale IT von einem IT-Dienstleister bereitgestellt wird,
  3. Wenn die Kommune über ein eigenes Rechenzentrum verfügt,
  4. Je mehr der/die IT-Verantwortliche vernetzt ist,
  5. Je mehr der/die Landrat/rätin bzw. (Ober-)Bürgermeister/in die Umsetzung neuer Digitalisierungsprojekte unterstützt,

… desto mehr Zero Trust-Kriterien sind umgesetzt bzw., desto wahrscheinlicher ist die Umsetzung in den nächsten Jahren.

Auswirkungen von Zero Trust in Kommunen

Je mehr Zero Trust (Bestandteile) Kommunen in ihrer IT umgesetzt haben…

    1. …desto weniger Arbeitsausfälle durch Cyberangriffe verzeichnen sie.
    2. …desto mehr Automatisierung von IT-Administration findet in der kommunalen IT statt.
    3. …desto mehr mobile Arbeit wird Mitarbeitenden ermöglicht.
    4. …desto mehr digitale Bürgerdienstleistungen (OZG) bietet die Kommune an.
    5. …desto mehr nutzen Kommunen Daten, um Abläufe zu verbessern.
    6. …desto mehr Kapazitäten für Zukunftsprojekte (Smart City) hat die IT.

Bedeutung/Umsetzung von Zero Trust

Zero Trust spielt für die IT-Sicherheit von Kommunen eine wichtige Rolle

Kommunen räumen Zero Trust eine hohe Bedeutung für ihre IT-Sicherheit ein

nur 5% stimmen dem eher nicht zu

11% setzen Zero Trust aktuell um

Es ist wahrscheinlich, dass meine Kommune Zero Trust in den nächsten Jahren umsetzt. (%)

38,5% der Meinung, dass es wahrscheinlich ist, dass ihre Kommune Zero Trust in den nächsten Jahren umsetzen

nur 2,8% stimmen dem gar nicht zu

Anzahl Zero Trust-Bestandteile umgesetzt

21,1% haben erst 2 von 8 Zero Trust-Bestandteilen umgesetzt

0,9% (1 Kommune) haben alle 8 umgesetzt

Gründe für bisherige Nicht-Umsetzung von Zero Trust

häufigsten fehlende personelle Kapazitäten gefolgt von fehlendem Know-how

nur 5% sehen keine Notwendigkeit

Einflussfaktoren auf die Umsetzung von Zero Trust

Eigenes Rechenzentrum: Wenn die Kommune über ein eigenes Rechenzentrum verfügt, umso mehr Zero Trust Kriterien sind umgesetzt (r²=0,09, ß=0,21, p=0,028)
Vernetzung/Wissen IT: Je mehr der/die IT-Verantwortliche vernetzt ist (r²=0,08, ß=0,28, p=0,004) und weiß, wie andere Kommunen IT-Sicherheit umsetzen (r²=0,10, ß=0,32, p=0,001), desto mehr Zero Trust-Bestandteile sind umgesetzt und umso höher ist auch die Umsetzungwahrscheinlichkeit durch Vernetzung (r²=0,05, ß=0,21, p=0,030) bzw. Wissen (r²=0,07, ß=0,27, p=0,006)
Führungsunterstützung: Je mehr der/die Landrat/rätin bzw. (Ober-)Bürgermeister/in die Umsetzung neuer Digitalisierungsprojekte unterstützt, desto mehr Zero Trust Kriterien sind umgesetzt (r²=0,05, ß=0,22, p=0,024) bzw. desto wahrscheinlicher ist die Umsetzung in den nächsten Jahren (r²=0,05, ß=0,21, p=0,028).

Kein Einfluss auf die Umsetzung von Zero Trust

Größe der Kommune und die Größe ihrer IT-Abteilung haben keinen Einfluss auf die Umsetzung und auf die Umsetzungswahrscheinlichkeit von Zero Trust
Bereitstellung der IT durch Dienstleister hat ebenfalls keinen Einfluss (43% haben IT teilweise bzw. ganz ausgelagert)

Auswirkungen von Zero Trust in den Kommunen

Ausfall durch Cyberangriffe

62,4% machten keine Angaben zu Ausfällen durch Cyberangriffe in den letzten 12 Monaten

keine Aussage zur Auswirkung der Umsetzung von Zero Trust auf Ausfall durch Cyberangriffe möglich

IT-Automatisierung

42,2% sagen, dass IT-Prozesse eher selten automatisiert erfolgen

41,3% verwalten Benutzerberechtigungen eher automatisiert

45,9% müssen Updates auf Endgeräten eher nicht manuell installieren

41,3% überwachen IT-Systeme eher automatisiert

Je mehr Zero Trust-Bestandteile umgesetzt wurden, desto mehr erfolgen Prozesse in der kommunalen IT automatisiert (r²=0,06, ß=0,24, p=0,011), desto mehr werden Benutzerberechtigungen automatisiert verwaltet (r²=0,19, ß=0,44, p=0,00), desto weniger müssen Updates auf Endgeräten manuell installiert werden (r²=0,06, ß=0,24, p=0,012) und desto mehr werden IT-Systeme automatisiert überwacht (r²=0,13, ß=0,36, p=0,000).

Mobiles Arbeiten

2 Tage/Woche wird in den meisten Kommunen (28,4%) mobiles Arbeiten erlaubt

43,1% sagen, dass mobiles Arbeiten eher selten in Anspruch genommen wird

49,5% stimmen eher zu, dass in ihrer Kommune eine Präsenzkultur herrscht

Je mehr Zero Trust-Bestandteile umgesetzt sind, desto häufiger arbeiten Mitarbeiter der Kommunen mobil (r²=0,10, ß=0,31, p=0,001). Es gibt jedoch keinen signifikanten Zusammenhang zwischen der Zero Trust-Umsetzung und der Tagesanzahl, an denen Mitarbeitende mobil arbeiten dürfen. Bemerkenswert ist, dass die Kommunen, die bei Zero Trust weiter sind als andere, verstärkt der Ansicht sind, dass bei ihnen eine Präsenzkultur herrscht (r²=0,14, ß=0,38, p=0,000).

OZG-Umsetzung

Angaben zu umgesetzten OZG-Leistungen sind sehr heterogen, reichen von 0 bis 570

38% haben 1-20 OZG-Leistungen umgesetzt. Weitere 14% kommen auf 21-40 Leistungen.

Zero Trust-Umsetzung hat auf OZG-Umsetzung keinen Einfluss

Datennutzung

Kommunen sind bei der Datennutzung eher verhalten.

11,9% nutzen selbstgenerierte Daten eher häufig, um die eigene IT zu verbessern, 11%, um Verwaltungsabläufe zu verbessern und ebenfalls 11%, um Bürgerservices zu verbessern.

Je mehr Zero Trust-Bestandteile umgesetzt wurden, desto mehr nutzen Kommunen selbstgenerierte Daten, um ihr IT zu verbessern (r²=0,17, ß=0,41, p=0,000), um Verwaltungsabläufe zu verbessern (r²=0,13, ß=0,35, p=0,000) und Bürgerservices zu verbessern (r²=0,10, ß=0,32, p=0,001).

Smart City-Projekte

22% setzen Smart City-Projekte aktuell um.

5% der wöchentlichen Arbeitszeit der IT fließen im Mittel in Smart City-Projekte

Je mehr Zero Trust-Bestandteile umgesetzt wurden, desto mehr Kapazitäten für Zukunftsprojekte (Smart City) hat die IT (r²=0,05, ß=0,23, p=0,043).
An den Anfang scrollen
Suche