Das Zero Trust Sicherheitsmodell, auch als perimeterlose Sicherheit bezeichnet, vertraut keinem Anwender, keinem IT-Gerät, keiner Applikation und keinen Daten. Bereits 1994 wurde der Begriff von Paul Marsh im Zusammenhang mit Computersicherheit beschrieben und 2018 von der NIST im Zusammenhang mit Netzwerk-Architektur konkretisiert. Doch was versteht man genau darunter?
»Zero Trust» bedeutet zunächst weder Nutzern noch Geräten oder Diensten zu vertrauen. Im Umkehrschluss legt es die Grundlagen fest, die erfüllt werden müssen, um Vertrauen zu schaffen.
Laut dem Statistischen Bundesamt hat sich der Anteil der Beschäftigten, die 2021 zumindest teilweise in Deutschland im Homeoffice gearbeitet haben, annähernd verdoppelt und erreicht die Marke von fast 25 %. The New Normal bedeutet aber für die IT-Sicherheit, dass Anwender weder durch Zugangskontrollen noch durch das soziale Miteinander verifiziert werden. Nach dem «Trust by verify» Prinzip, genießen sie nach einer erfolgreichen Authentifizierung aber das volle Vertrauen. Durch die Arbeit im Homeoffice lauern noch andere Gefahren: Die dort mitunter privat genutzten Devices (BYOD), die darauf installierten Applikationen und Daten können von der IT-Abteilung kaum verwaltet und überprüft werden. Das nachgewiesene reduzierte Sicherheitsbewusstsein erhöht die Risiken zusätzlich. Die Umsetzung einer Zero-Trust-Strategie bedeutet in diesem Zusammenhang, Mitarbeitende durch eine Zwei-Faktor Authentifizierung eindeutig zu verifizieren.
Analysiert man erfolgreiche Angriffe mit großem Schadenspotenzial, stellt man fest, dass die Schäden deshalb hoch waren, weil die Angreifer sich nach dem Überwinden der Firewall unentdeckt durch implizite Vertrauensstellungen (implizite Trusts) im Netzwerk bewegen konnten. Zero Trust stellt diesbezüglich einen Mentalitätswandel dar. Die Verteidigung beschränkt sich nicht nur auf die Netzwerk Perimeter (Netzwerkgrenzen), sondern auch auf das, was sich bereits im Netzwerk befindet. Perimeterlose Verteidigung kontrolliert also nicht nur die Außengrenzen des lokalen Netzwerks zum öffentlichen Netzwerk, sondern fordert auch von Anwendern, Devices und Diensten eine ständige Authentifizierung. Dadurch berücksichtigt sie auch das Bedrohungspotenzial durch eigene Mitarbeitende.
Organisationen, die Zero Trust erreichen möchten, müssen implizite Trusts innerhalb des Netzwerks systematisch entfernen. Es gibt viele Herausforderungen beim Mentalitätswandel, bei der Implementierung dazu notwendiger Technologien und Ressourcen. Es ist keine Transformation über Nacht und es gibt keine Einzellösung, die angewendet werden kann, um das Ziel zu erreichen. Neben den technischen Maßnahmen müssen auch die (Geschäfts-) Prozesse dem Zero Trust Prinzip unterworfen werden. Einige Ansatzpunkte sind:
- Gehen Sie jederzeit von einer Kompromittierung aus und davon, dass Angreifer derzeit aktiv sind
- Kontext und Identität („Kontextuelle Identität“) als Grundlage für Zugriffsentscheidungen verwenden
- Standort ist kein wichtiger Vertrauensfaktor, kann aber ein Attribut sein, um Vertrauen zu entwickeln
- Wenden Sie technische Maßnahmen wie Datenverschlüsselung und sichere Authentifizierung an
- Überwachen Sie alles, um Anomalien zu identifizieren und zu untersuchen (z.B. durch Log-Management & SIEM, IDS, EDR, XDR)
- Segmentieren Sie Netzwerkbereiche ohne Vertrauensstellungen untereinander zu erlauben
Der Aufbau einer Architektur, die „niemals vertraut und immer überprüft“, führt zu einer äußerst belastbaren und flexiblen Umgebung, die modernen Arbeitsanforderungen besser gerecht wird und potenziellen Angreifern das Leben erschwert. Wenn eine Anomalie erkannt wird, haben die Mitarbeiter mehr Zeit, um zu reagieren und den Vorfall zu isolieren und zu verwalten. Sei es eine Netzwerkverletzung, Ransomware-Ausbruch oder Datenkompromittierung.
Umsetzung der Zero Trust StrategieBei der praktischen Umsetzung des Sicherheitsmodells gemäß ZTNA Framework sind alle Bereiche der IT betroffen und müssen kontrolliert werden. Wir empfehlen, die Regeln und Maßnahmen vorab ausgiebig zu testen, bevor sie in der produktiven Umgebung aktiviert werden. Die wichtigsten Maßnahmen zur Aktivierung des Zero-Trust Sicherheitsmodells sind:
«Trust by verify» vs «Zero Trust» – Multi-Faktor-Authentifizierung
Jeder Zugriff muss als potenzielle Gefahr gesehen werden: Sämtliche Dienste, Anwender und Geräte müssen erfasst und Systeme zur Authentifizierung der Anwender und Prüfung des internen oder externen Datenverkehrs bereitgestellt werden. Im Ausgangsstatus sind weder Zugriffe noch Datenverkehr zwischen den verschiedenen Systemen erlaubt. Für authentifizierte Nutzer und Dienste werden obligatorische Richtlinien definiert, die unter bestimmten Voraussetzungen Zugriffe und Datenverkehr zulassen. Die Richtlinien müssen bei Veränderungen angepasst werden und stets up to date sein.
Monitoring bzw. Netzwerküberwachung
Eine Überwachung des Datenverkehrs führt dazu, dass Cyberangriffe frühzeitig erkannt werden, um so schnell wie möglich Gegenmaßnahmen einzuleiten und den Schaden zu begrenzen. Um ungewöhnliches Verhalten oder verdächtige Aktionen (Anomalien) rechtzeitig aufzuspüren, werden Netzwerkanalyse-Tools sowie Log-Management & SIEM eingesetzt. Deren Nachteil ist, dass diese Systeme häufig erst auf Muster trainiert werden müssen. Technologien mit integrierter KI können Anomalien deutlich schneller und umfassender erkennen, sind aber auch kostenintensiv.
Berechtigungen & Zugriffsbeschränkungen
Je weniger Berechtigungen Anwender und Devices besitzen, desto weniger Schaden kann ein durch Malware kompromittierter Anwender oder Endpoint anrichten. Im besten Fall werden die Zugriffsberechtigungen der Anwender auf die Systeme und Datenbanken begrenzt, die User für ihre «normale Arbeit» benötigen. Erweiterte Berechtigungen können temporär eingeschränkt werden.
Berechtigungen sollten aber auch in Abhängigkeit der Aktualität von Sicherheitseinstellungen wie Patch-Level, aktuelle Version des Betriebssystems und aller installierten Sicherheitslösungen am Endgerät, sowie des dort vorhandenen Sicherheitsrisikos vergeben werden.
Fazit:
Zero Trust muss Teil der Unternehmenskultur werden und als fortlaufender Prozess betrachtet werden. Änderungen der IT-Infrastruktur müssen dabei genauso im individuellen Zero Trust Regelwerk berücksichtigt werden, wie neue Formen von Cyberangriffen.
Sinnvollerweise beginnt man bei allen Assets mit hohem Risiko und überprüft, welche Anwender darauf zugreifen können, welche Authentifizierungen vorgeschaltet werden müssen und welche Berechtigungen sie dort haben. Über das Monitoring werden Standardwerte ermittelt und Schwellwerte für Alarme definiert, peu à peu nachjustiert und erst danach aktiviert. Eine sinnvolle Gruppierung aller Assets in Segmente, hilft die Risiken zu verteilen und handlungsfähig zu bleiben.
Autor: Robert Korherr, Geschäftsführer ProSoft GmbH