Zero-Trust ist auch als Zero-Trust-Network oder Zero-Trust-Architecture bekannt. Zu den bekannten und verwandten Frameworks gehören BeyondCorp von Google (1), CARTA von Gartner (2), NIST SP800-207 (3) und ZTX von Forrester (4).
Alle IT-Systeme (bspw. Workstations, Notebooks, Server, Telefone, Multifunktionsgeräte) und Netzwerkgeräte (z. B. Switche, Router, IDS, IPS, Firewalls), die sich physisch in einem Gebäude und im selben Netzwerk befanden, waren in der bisherigen Sicherheitsphilosophie von Natur aus vertrauenswürdig. Drei klassische Beispiele, die die bisherige Sicherheitsphilosophie gut darstellen:
Was lässt sich hieraus leicht ablesen? Sicherheitstools wie Firewalls und Antiviren-Lösungen wurden eingesetzt, um alles außerhalb des Netzwerks der Institution als nicht vertrauenswürdig anzusehen und zu behandeln. Alles innerhalb des Netzwerks der Institution war grundsätzlich vertrauenswürdig. Dies spiegelte sich auch in der bisher alleinigen Forderung der grundsätzlichen Trennung zwischen Clients und Servern wieder. Mit großen Bedauern, steht genau diese minimale Segementierungsanforderung noch immer in der ISO 27001/27002 (A13.1.3) bzw. BSI NET.1.1A5). Dieses Trustmodel ging in die Geschichte als Perimeter-Absicherung bzw. Perimeterschutz ein.
Durch die nicht mehr aufhaltbare Verbreitung des mobilen Arbeitens, der Nutzung von Cloud-Anwendungen und der Integration von ausgelagerten Services in die digitalen Workflows der Institution ist der alte Ansatz der Sicherung von Informationen durch die Perimeter-Absicherung jedoch gründlich in Frage gestellt worden. Institutionen sind nicht mehr in der Lage jedes Gerät, das ihre Mitarbeitenden oder Dienstleister verwenden physisch zu 100% zu kontrollieren. Selbst wenn Institutionen es könnten, ist jedes IT-System nicht nur ein IT-System für sich, sondern bildet in der realen Welt einen Tunnel von INTERN nach EXTERN und ÜBERALL hin ab. Dieses schließt die offiziell genutzten öffentlichen Cloud-Anwendungen mit ein. Im Umkehrschluss bedeutet dies, sobald ein Angreifer die etablierten Schutzmaßnahmen überwunden hat und aus der Ferne oder physisch in die Institution eingedrungen ist, wird dem Angreifer sofort vollständig vertraut und alle Freiheiten des Zugriffes auf Informationen der Institution gewährt. Dieses spiegelt sich auch Tag täglich in den Meldungen über erfolgreiche Ransomware Angriffe wieder. Könnte die kontinuierliche Umsetzung des Zero-Trust-Konzeptes abhilfe schaffen?
Das Zero-Trust-Konzept kurz erklärt
Wenn man sich mit Experten zum Thema „Zero-Trust“ austauscht, klingt das Thema wie eine religiöse Erfahrung. Grundsätzlich sind sich jedoch alle Sicherheitsexperten einig, es handelt sich bei diesem Thema nicht um die eigentlich zugrunde liegende Technologie selbst sondern um die zu etablierende Denkweise. Denn Zero-Trust ist in erster Linie eine bestimmte Art mit den Anforderungen an die Informationssicherheit umzugehen. Die übergeordnete Idee von Zero-Trust beruht darauf, dass die Institutionen nicht automatisch allem vertrauen sollten, was sich innerhalb oder außerhalb der Grenzen (Informationsverbünde) der Institution befindet. Im Umkehr Schluss bedeutet dies, alles und wirklich alles was eine Verbindung auf Informationen der Institution herzustellen versucht, muss überprüft werden, bevor der tatsächliche Zugang bzw. Zugriff gewährt wird.
Anstatt wie bisher bestimmten Objekten oder Verbindungen von bestimmten Orten aus per se zu vertrauen, erfordert Zero-Trust, dass Benutzer von IT-Systemen oder der Eigentümer der Daten (Informationen) nachweisen, dass der gewünschte Zugang bzw. Zugriff gewährt werden sollte. In der praktischen Umsetzung bedeutet dies, dass sich die Benutzer mittels biometrischer Merkmale oder Zertifikaten oder einem Hardware-Token am Konto eines Verzeichnisdienstes anmelden müssen. Durch die zusätzliche Kombination der mehrfachen Authentisierung wird es für Angreifer bereits schwieriger sich als valider Benutzer der Institution auszugeben. Zusätzlich wurde zuvor das genutze IT-System (bspw. Notebook, Workstation, Smartphone oder Tabelt) auf bestimmt Charakteristika überprüft und sofern als vertrauenswürdig eingeschätzt am Netzwerk der Institution freigegeben. Sollte die mehrfache Authentisierung durch einen Angreifer doch überwunden werden, dann darf der Zugriff auf Informationen nur auf der Basis von „Need-to-know" (Minimal-Prinzip) oder „Need-to-access" (bedingter Zugang) erfolgen.
Produktverkäufer und deren Verständnis von Zero-Trust
Anbieter von Produkten und Lösungen rund um die Informationssicherheit hören das Schlagwort Zero-Trust. Was passiert in nahe zu allen Fällen im Anschluss? Das Marketing und der Vertrieb versuchen ein Produkt, das bereits im Portfolio sich befindet in genau dieses Konzept zu packen. Meist klingt es dann einwenig wie „Unser Produkt „XYZ erfüllt jetzt auch alle Anforderungen des Zero-Trust!“ Und genau hier liegt der Hund begraben.
Denn Institutionen setzen bereits häufiger als auf dem ersten Blick vermutet viele Elemente des Zero-Trust-Konzeptes (Zero-Trust-Architektur) ein. So verfügen die Institutionen beispielsweise immer häufiger über Multifaktor-Authentifizierung, Privileged Access Management (PAM) oder sogar schon Just-in-Time-(JIT)Verwaltung. Zusätzlich wird bereits im Rahmen der Implementierung von Software-Defined-Lösungen eine Mikrosegmentierung im Standort-LAN und Data-Center Umgebungen etabliert.
Bei der Integration von Zero-Trust geht es nicht um die Implementierung einzelner Technologien, sondern es geht viel mehr darum, Technologien in ihrer Gesamtheit zu nutzen, um sicherstellen zu können, dass niemand und nichts Zugang und Zugriff erhält, bevor nicht bewiesen ist, dass das benötigte Vertrauen zu recht erteilt wird.
Bevor mit der Etablierung von Zero-Trust innerhalb der Institution begonnen wird, müssen sich die Verantwortlichen bewußt sein, dass Zero-Trust nicht wie ein klassisches Projekt verstanden werden darf sondern eine kontinuierliche Arbeit, Überprüfung und Nachjustierung erfordert. Warum wird eigentlich eine ständige Nachjustierung gerade beim Thema Mikrosegmentierung benötigt? Durch die ständigen Veränderungen in der Infrastruktur oder der Organisationsstruktur müssen Änderungen der erlaubten Kommunikationsverbindungen (Filterlisten) überprüft und bei Bedarf aktualisiert werden, andernfalls besteht die Gefahr das Workflows komplett oder in Teilen nicht mehr funktionieren. Infolgedessen erfordert die Umsetzung des Zero-Trust-Konzeptes wahrscheinlich erhebliche Investitionen in einer Institution und eventuell Schwierigkeiten bei der "Umgestaltung" in einer Brownfield-Umgebung. Leider bedeutet dies in vielen Fällen, dass die dringend benötigte Implementierung von Zero-Trust nie von der Institution umgesetzt wird. Bevor jetzt der Kopf in den Sand gesteckt wird, sollten die Verantwortlichen für das Risikomanagement und die IT sich zusammen tun und das Modell von Zero-Trust als Teil der Gesamtstrategie für die digitale Transformation der Institution ausrufen. So könnte beispielweise durch den Beschluss, dass die Einführung von Zero-Trust den Austausch von Legacy-Geräten oder Legacy-Architekturen bedingt in einen positiven Return on Security Investement dargestellt und praktisch mit einer Risikoreduktion gegenüber Cyber-Angriffen aus monitärer Sicht begründet werden.
Nochmal kurz die wichtigsten Aspekte für das Design von Zero-Trust und der Entwicklung einer Roadmap für eine phasenweise Einführung.
Kurz zusammengefasst Zero-Trust verlagert den Schwerpunkt weg vom Schutz des Netzwerk-Perimeter und entzieht grundsätzlich Jedem den Zugang, bis das IT-System und der Benutzer zweifelsfrei authentifiziert und autorisiert wurde. Selbst nachdem der Zugang zum Netzwerk gewährt wurde, erfordern die Grundsätze von Zero-Trust, dass die Interaktion zwischen den Daten der Institution und dem Benutzer/Nutzer kontinuierlich überwacht und auf der Basis des Need-to-Know verifiziert werden.
Die sieben Grundsätze von Zero-Trust (NIST SP800-207)
Eine Zero-Trust-Architektur sollte von der Institution unter Einhaltung der folgenden sieben Grundprinzipien entwickelt und eingesetzt werden.
Literaturverzeichnis
[2] CARTA von Gartner -- https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/Forcepoint/Forcepoint-1-4YCDU8P.pdf
%cmsData(privacy-policy)%
%cmsData(terms-conditions)%