Zero Trust ist ein Ansatz in der Cyber Security, der auf den Wandel durch die Digitalisierung reagiert. Denn früher konnte man davon ausgehen, dass Angriffe vor allem von außen kommen würden. Heute aber ist es selbstverständlich, dass es diese strikte Trennung zwischen „innen“ und „außen“ gar nicht mehr gibt. Der folgende Beitrag von Andreas Koch und Panagiotis Pilis erklärt Ihnen, wie sich die Denkweise in der IT-Sicherheit dadurch gewandelt hat, was Zero Trust genau meint und wie sich dieser Ansatz umsetzen lässt.
Inhaltsverzeichnis
Cyber Security und Digitalisierung
Kaum ein anderer Begriff hat die Informationstechnologie in den vergangenen Jahren so sehr geprägt wie die „Digitalisierung“. Mit allen Neuerungen, Evolutionen und Revolutionen in der IT geht dabei außerdem eine angepasste Sicht auf die Informationssicherheit einher. Sie wird im Digitalisierungskontext oft auch als Cyber Security bezeichnet.
Cyber Security umfasst viele sicherheitsrelevante Bereiche und Aspekte, die eine moderne IT-Landschaft prägen und ist heute ein wesentliches Thema in den IT-Abteilungen.
Neben technischen gehören auch diverse nicht-technische Aspekte wie Sensibilisierung der Belegschaft („Awareness“), sowie Prozesse und Richtlinien zum Thema. In Verhaltenstrainings und Anleitungen regeln Unternehmen, wie die Mitarbeiterinnen und Mitarbeiter beispielsweise mit unbekannten E-Mail-Absendern, vermeintlich echt wirkenden Phishing Mails oder mit zugesendeten Links etc. umgehen sollten. Zusätzlich werden sie verpflichtet, an Compliance-Schulungen über den Umgang mit der Informationssicherheit teilzunehmen.
A N Z E I G E
Die Anfänge mit High-Secure-Zugängen
Bei der Absicherung von IT-Umgebungen sowie dem Umgang mit Daten und Identitäten drehte sich die Diskussion in der Vergangenheit oft um High-Secure-Zugänge bzw. VPN-Zugangslösungen, der Schaffung von Perimeter-Netzwerken/DMZ (Demilitarisierte Zonen), der Kontrolle der Datenströme zwischen den einzelnen Segmenten, der automatisierten Auswertung von Log-Dateien oder Cisco ASA Firewalls bzw. lokalen Antivirusscannern.
Unternehmen und öffentliche Einrichtungen gingen früher davon aus, dass Gefahren primär von außen drohen. Das oberste Credo war deshalb, die Absicherung des sogenannten „Nord-Süd-Datenverkehrs“: Als Nord-Süd-Datenverkehr bezeichnet man im allgemeinen Traffic, der die Unternehmensgrenzen passiert (z.B. interne Zugriffe aufs Internet, Zugriffe auf interne Server und Applikationen aus dem Internet etc.).
Nutzt man als Metapher die Absicherung einer Stadt durch Stadtmauern im Mittelalter, bedeutet das: Alles was innerhalb der Mauern passiert, ist bekannt und vertrauenswürdig, und was von außen kommt, wird als potenzielle Gefahr angesehen. Lediglich einer beschränkten Anzahl von Besuchern wird das Passieren der Stadtmauer durch die wenigen Stadttore gestattet!
Früher etablierte Grundsätze werden heute zum Risiko
Der herkömmliche Ansatz der IT-Verantwortlichen ging davon aus, dass Zugriffe auf Server, Datenbanken, Applikationen und Daten primär intern erfolgen – von internen Nutzern, aus internen Netzen und mit internen Geräten. VPN-Gateways und Layer-4- bzw. Layer-7-Firewalls waren in dieser Situation als Absicherung hinreichend und im primären Fokus.
Teilte man die Netze zusätzlich in unterschiedliche Zonen ein (in der Regel „Perimeter“-, „Trusted“- und „Management“-Bereiche) und sicherte darüber hinaus die Datenströme und Verbindungen gegeneinander ab, konnte man damit die Sicherheit auf ein bekanntes, gefühlt hohes Niveau heben.
Wurden die Zonenzugriffe für bestimmte IP-Adressbereiche außerdem eingegrenzt (IP-basierte Filterung), Log-Files gesammelt und ausgewertet, so hatte man eine nach dem allgemeinen Verständnis sichere Lösung im Unternehmen aufgesetzt.
Dennoch sorgte man mit diesem Ansatz für mehrere Single-Points-of-Failure, die beim Einsatz heutiger Technologien keine großen Hindernisse bei gezielten Angriffen auf die Unternehmenssysteme mehr darstellen. Zusätzlich ist der Einsatz moderner Cloud-Lösungen in einer solchen Umgebung nur eingeschränkt möglich oder sogar vollständig unmöglich.
Sicherheitswandel in Folge der Digitalisierung
Im digitalen Zeitalter gilt es, den Einsatz zukunftssichernder Online-Lösungen zu fördern und diese nahtlos zu integrieren. Sicherheit ist dabei nicht nur ein weiterer Aspekt, sondern eine der grundlegenden Säulen beim Design und bei der Umsetzung der modernen IT-Lösungen und -Anwendungen im Zeitalter der Digitalisierung.
Die Digitalisierung sorgt für immer mehr direkte Zugriffe aus dem und in das Internet, sei es durch die Verwendung modernen Cloud Microservices (welche auch interne Daten nutzen können) oder durch Zugriffe von Kunden, Partnern und Lieferanten auf die Unternehmensressourcen.
Die jüngere Vergangenheit hat gezeigt, dass der Faktor Mitarbeiter oder auch interne Komponenten bei der Betrachtung von Gefahren- und Risikopotentialen nicht unterschätzt werden darf. Phishing-Angriffe können die klassischen Netzwerküberwachungskomponenten selten entdecken, denn es fehlt oft an Konfigurationswissen oder an ausreichend notwendigen (und teuren) Komponenten.
Die heutigen Konzepte der Digitalisierung von Geschäftsprozessen sorgen zugleich für immer komplexere IT-Lösungen. Die müssen, im Gegensatz zu den Anforderungen aus primär geschlossenen Systemen, auf Daten aus unterschiedlichen Netzen, Systemen und Anwendungen mit divergierenden Sicherheitsniveaus zugreifen. Damit kommen (alt-)bekannte Security-Lösungen nicht mehr in Frage.
Es ist auch nur schwer möglich, etablierte und bekannte Lösungen auf neue Gegebenheiten und Techniken eins zu eins zu migrieren. VPN-Zugangslösungen sind da oft nicht mehr zeitgemäß. Die Komplexität ist um ein Mehrfaches gestiegen und ein Ende der Entwicklung ist nicht abzusehen, d.h. ein Paradigmenwechsel in der Informationssicherheit ist unabdingbar.
Externe Dienste im internen Einsatz sind heute allgegenwärtig
Die Zeiten des sicheren internen Netzwerks sind vorbei, denn neben dem Nord-Süd-Datenverkehr müssen IT-Verantwortliche das Verhalten und die Möglichkeiten des internen West-Ost-Datenflusses einbeziehen: Als West-Ost-Verkehr bezeichnet man den internen Datenfluss, also ohne Überschreiten von Unternehmensgrenzen/Perimetern.
Moderne Anwendungen des digitalen Zeitalters integrieren Inhouse-Lösungen mit vielfältigen Services, die über das Internet mehr oder weniger öffentlich zugänglich sind. Der Einsatz solcher Cloud-Services wird insbesondere bei als „Commodity“ einzustufenden Anwendungsfällen bereits oft als Standard umgesetzt.
Beispielhaft stehen dafür Mail-Apps wie Microsoft Office 365 oder Google Mail, die unternehmenseigene Mail-Infrastrukturen weitgehend abgelöst haben. Zugriffe erfolgen (in der Regel verschlüsselt), sowohl aus Unternehmensnetzen, aus dem Home-Office als auch mobil. Nachhaltige Vorteile bringen vor allem die Dezentralisierung der Datenerfassung und Verarbeitung.
Als Herausforderungen stellen sich hier allerdings die sicherheitstechnischen Belange heraus. In geschlossenen Strukturen musste man kein großes Augenmerk darauf legen, da die überwiegend internen Lösungen als sicher eingestuft wurden. Bei den heutigen hybriden Strukturen gilt es aber, zwingend jede interne und externe Verbindung und jeden Zugriff auf Daten als potenziell unsicher einzustufen. Da die hybriden IT-Strukturen stetig erweitert und ergänzt werden, ist eine kontinuierliche Betrachtung sicherheitsrelevanter Themen in allen Phasen erforderlich.
Die Cyber Security passt sich einer flexibleren Arbeitsweise an
Perimeter werden heute nicht mehr durch Lokationen und Firmenwände bestimmt: Jeder Zugriffspunkt, jedes Endgerät und jeder Nutzer stellt einen zu schützenden und zu überwachenden Bereich dar. Die IT-Verantwortlichen sind gefordert, permanent neue Ansätze für die Informationssicherheit zu entwickeln. Sie sind gefordert durch die zunehmende Verbreitung von Home-Office-Arbeitsplätzen, der Öffnung der Unternehmensnetze und -anwendungen für Partnerunternehmen, durch „Bring your own device“-Konzepte und die Flexibilitätsanforderungen, wie durch die Covid-19-Pandemie unter Beweis gestellt.
Mit Ausbreitung der Digitalisierung in den Unternehmen müssen Sie die Bewertung der Risiko- und Gefahrenpotentiale kontinuierlich und ganzheitlich vornehmen. Bei Zweifel oder Nichterfüllen von Sicherheitsanforderungen müssen Sie Zugriffe regelbasiert blocken. Dies sollten Sie optimalerweise bereits bei der Entwicklung von Online-Apps, bei der Nutzung von Cloud-Services und bei den Infrastrukturlösungen berücksichtigen und als elementaren Faktor stets einbeziehen.
Das Prinzip, keinem Nutzer, keinem Gerät und keiner Anwendung ohne Überprüfung zu vertrauen, wird in der IT-Sicherheit als Zero Trust definiert.
Eine neue IT-Sicherheitsgrundlage mit Zero Trust
Bei der Zero-Trust-Methodik wird also jeder Zugriff auf die Systeme als potentielle Gefahr eingestuft und wird wie folgt überprüft:
- Authentisierung: Sie besteht aus den Komponenten „Wissen“ = Benutzername/Passwort, „Haben“ = weiterer Faktor wie ein Mobilfunkgerät oder Token, „Sein“ = biometrische Merkmale wie Fingerabdrücke, Iris-Scan, Windows Halo.
- Authentifizierung: Überprüfung, dass alles rechtens ist und die Person diejenige ist, für die sie sich ausgibt.
- Autorisierung: Gewährung session-bezogener Zugriffe.
Die Autorisierung folgt dabei einer strengen Rechtevorgabe. Sie baut auf die Prinzipien „least priveleges“ und „just in time“: Nur notwendige, session-bezogene Berechtigungen auf die richtige Ressource zur benötigten Zeit für die anfragende Identität werden erteilt. Sie lässt sich am besten über ein starkes, granulares Identity und Access Governance System realisieren.
Zusätzlich wird das anfragende System dahingehend geprüft, ob alle vorgegebenen Richtlinien (wie beispielsweise Virenscanner, Patchstand, Betriebssystem, Lokation und Uhrzeit) eingehalten sind und ob es sich in einer vertrauensvollen Netzumgebung befindet.
Weitere zusätzliche Regeln und Einschränkungen lassen sich definieren, wie:
- Dürfen die angefragten Daten genutzt werden?
- Gibt es eventuell Einschränkungen (read-only)?
- Wird eine zusätzliche Authentifizierung benötigt (z.B. neben Multi-Factor Authentication ein weiterer Faktor)?
- Wird der Zugriff eventuell vollständig verhindert?
Die Tatsache, dass ein Zugriff aus dem internen Netz von einem angemeldeten Benutzer stammt, reicht nicht mehr als Vertrauensgrundlage aus.
Werden alle, eine oder nur einige Prüffaktoren nicht erfüllt, müssen die Regeln den Zugriff beschränken oder gar verweigern. Ist die Überprüfung erfolgreich, wird der Zugriff gewährt.
Zero Trust beginnt schon beim Design der Anwendungen
Die Zero-Trust-Methodik muss bei der Implementierung neuer (Micro-)Services bereits beim Design der Anwendungen betrachtet und umgesetzt werden. Ganzheitlich gesehen, müssen Sie neben den erwähnten Identitäten, Geräten und Services genauso Daten (eine Klassifizierung ist unabdingbar), Infrastrukturen und Netzwerkkomponenten einbeziehen.
Doch auch beim Design und der Implementierung neuer Lösungen (On-premise und/oder Cloud ist dabei nebensächlich), gilt es optimalerweise bereits das Thema Informationssicherheit als festen, integrierten und agilen Bestandteil mit zu betrachten. Security nicht erst nach dem Fertigstellen der Applikationen aufzusetzen, bedeutet einen Paradigmenwechsel.
Durch die Erweiterung des DevOps-Modells um den Faktor Sicherheit wird es zum DevSecOps-Modell und sorgt für eine bessere Gesamtintegrität. Dies benötigt eine Evolution der Perimeter zur integrierten Applikations-Sicherheit, die sich während des gesamten Application Lifecycles an neue Anforderungen anpasst.
Eine spezifische Ende-zu-Ende-Betrachtung sollte nicht fehlen, ebenso die von Beginn an integrierte Automatisierung diverser Security Logs und Threat-Reaktionen durch selbstlernende Lösungen, die z.B. per REST oder über eine andere API angebunden sind. Grundsätzlich sind eher kurze, dafür regelmäßigere Iterationen geeignet, dabei sollten Sie auf Serviceverfügbarkeit und Anpassung der Sicherheitsparameter achten.
Es gilt jedoch nicht, vorhandene Sicherheit so lange anzupassen wie möglich, sondern stets eine Bewertung der Risikopotentiale, der Sinnhaftigkeit, der Effektivität und der Usability durchzuführen und Komponenten bei Bedarf auszutauschen. Selbstverständlich bietet die Nutzung von externen Microservices und Containerdiensten wie Docker diverse Vorteile und kann Herausforderungen lösen.
Zero Trust zusammengefasst aus der technischen Sicht
Zusammenfassend sind die Säulen von Zero Trust:
- ein starkes Identity Management sowie Access Governance,
- der Grundsatz, dass alles von überall eine potenzielle Gefahr darstellt,
- eine professionelle Security in der Datenhaltung und beim Transport
- sowie Entwicklungskonzepte nach DevSecOps-Prinzipien.
Diese Säulen dürfen Sie nicht separat betrachten. Sie benötigen ein nahtloses Ineinandergreifen. So sieht ein Zero-Trust-Framework die Orchestrierung der Security-Komponenten vor. Das kann selbstverständlich sehr aufwendig sein und benötigt vor allem während des Designs viel Verständnis für vorhandene Komponenten sowie der definierten Anforderungen.
Die Implementierungsstrategien sind komplex und benötigen entsprechend viel Vorbereitung sowie eine längere Implementierungszeit.
Gefällt dir dieser Artikel?
Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits knapp 2.000 Leser:innen sind dabei.
Ausblick: ZeroTrust als Framework für die Zukunft
Betrachtet man Zero Trust als ein Framework, das den gestiegenen Sicherheitsanforderungen der heutigen Zeit entspricht, so muss selbstverständlich der zusätzliche Aufwand mitbetrachtet werden:
- Vorhandene Applikationen sind zu überarbeiten, um „technical debts“ zu begleichen. Hierzu braucht es neue Entwicklungstechniken.
- Vorhandene gekaufte oder gemietete Software müssen Sie auf Zero-Trust-Komptabilität prüfen und bei Bedarf austauschen, umkonfigurieren oder ersetzen (z.B. bezogen auf Authentifizierung, Multi-Factor Authentication etc.).
- Der Zero-Trust-Netzwerk-Traffic ist zu analysieren und die eingesetzten Komponenten und das generelle Design sind zu prüfen.
- Nicht zuletzt sollten Sie das Zusammenwirken aller notwendigen Komponenten durch eine ausgeklügelte Orchestrierung sicherstellen und überwachen.
Zero Trust ist als ultimatives Prinzip zu betrachten und um es zu erreichen, gilt es kontinuierlich daran zu arbeiten. Es bleibt immer die Abwägung zwischen Aufwand, Kosten und Usability versus den wahrgenommenen Risiken und der möglichen Schadensumfänge.
Implementierungen können sehr aufwändig und langwierig sein, vorhandene Systeme gilt es zu integrieren, Anpassungen in der Architektur der einzelnen Applikationen sind wahrscheinlich, die Integration von neuen Systemen und Technologien ist unumgänglich. Besonders der Aspekt der vollständigen und permanenten Integration von IT-Sicherheit von Beginn bis zum Ende des Entwicklungszyklus und darüber hinaus ist organisatorisch und prozessual umzusetzen.
Das alles mag trivial und selbstverständlich klingen, ist aber bei vielen Unternehmen noch nicht durchgängig geschehen. Jedes Unternehmen bzw. jeder CISO informiert sich derzeit über aktuelle Lösungen, die zu der jeweiligen Firmenvisionen passen. Der nicht unwahrscheinliche Verlust von Reputation und Vertrauen bei den Kunden und Partnern, die nicht zu unterschätzenden Schadenspotentiale im Falle von Angriffen auf die Unternehmenssysteme sind unternehmenskritisch und diese gilt es zu verhindern!
Dieser Artikel gehört zu: UPLOAD Magazin 84
Hacker, Phisher, Datendiebe: In dieser Ausgabe helfen wir Ihnen in drei ausführlichen und tiefgehenden Artikeln, sich gegen typische Angriffszenarien zu schützen. In einem Beitrag geben wir eine Einführung ins IT-Sicherheitsmanagement: vom IT-Sicherheitskonzept über die Idee des IT-Grundschutzes bis hin zu konkreten Maßnahmen. Ein weiterer erklärt das „Zero Trust“-Prinzip. Und schließlich geben wir einen Überblick zu den wichtigsten Trends und und Bedrohungen rund um Cyber Security. Darüber hinaus haben wir zwei spannende Bonus-Artikel für Sie: Einer zeigt Ihnen auf, wie sich Marketing-Automation im B2B sinnvoll umsetzen lässt. Ein anderer stellt das E-Commerce-System Shopware 6 vor.
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
Andreas Koch ist Mitglied der Geschäftsleitung bei Devoteam Alegri, einem führenden B2B IT-Beratungsunternehmen für die Integration von Microsoft & SAP Technologien, Cloud, Digitalisierung, und Managed Services. Mit mehr als 25 Jahren Erfahrung in der IT-Branche, verantwortet Andreas zur Zeit die Bereiche Microsoft Partnerschaft, Microsoft Business Development und IT Security.
Panagiotis Pilis ist Senior Managing Consultant bei Devoteam Alegri. Seit mehr als zwölf Jahren ist Panagiotis in der IT Beratung tätig und unterstützt Kunden in den Bereichen Microsoft Cloud, Cyber Security und vor allem Identity & Access Governance (IAM, Identity Management).