Von Andreas Ritschel
Wenn derzeit von einer Bedrohung im Cyberraum die Rede ist, meint das nicht mehr den „einfachen“ Hacker. Längst ist der gesamte Cyber- und Informationsraum zum Gefechtsfeld geworden, auf dem zahlreiche staatliche Akteure mit großem Aufwand und guter Ausstattung ihr Unwesen treiben – mit potenziellen Auswirkungen auf alle staatlichen und auch privaten Bereiche. Altgediente Sicherheitskonzepte geraten hier an ihre Grenzen. Bei der Suche nach neuen, effektiveren Ansätzen sticht vor allem das Konzept des „Zero Trust“ hervor. Anders als bisherige Konzepte trägt es der neuen Realität Rechnung, dass es völlige Sicherheit nicht mehr gibt und kalkuliert Kompromittierung und den Umgang damit durchaus mit ein.
Für jede digitale Infrastruktur gelten die gleichen Schutzziele: Verfügbarkeit, Vertraulichkeit und Integrität von Daten und Diensten. Die Modelle zur Sicherung dieser Ziele beruhen weitgehend auf der Aufteilung in einen nicht vertrauenswürdigen Bereich (das Internet), eine vermittelnde Schutzzone (Demilitarisierte Zone, DMZ) und einen vertrauenswürdigen Bereich (das Intranet). Zur Identifikation von Angreifern und zur Reaktion auf Gefährdungslagen werden Sicherheitsfähigkeiten – teils mühsam – nachgerüstet. Neue Anforderungen wie „Bring your own device“, der Bedarf an eng verzahnten IT-Services und die Nutzung öffentlicher Cloud-Infrastrukturen stellen Organisationen vor zusätzliche Herausforderungen, denn diese erlauben keine einfache Trennung in „innen“ und „außen“ mehr. Bei ehrlicher Betrachtung müssen wir überdies feststellen, dass Cyber-Kriminelle und staatliche Akteure auf einem so hohen technischen Niveau agieren, dass ein vollständiger Schutz nicht mehr denkbar ist. Daher gilt es, sich auf erfolgreiche und langwierige Cyber-Angriffe vorzubereiten, um arbeitsfähig zu bleiben und sensible Daten – auch im Sinne der Verpflichtung zum Datenschutz – bestmöglich zu schützen. Zero Trust bietet dazu unter konsequenter Anwendung folgender Prinzipien einen Lösungsansatz: • Gehe davon aus, kompromittiert zu sein: Insbesondere staatliche Akteure mit ihren umfangreichen Möglichkeiten finden in der Regel immer einen Weg in ihre Zielsysteme. • Gewähre niemals implizites Vertrauen: Jede einzelne Anfrage im Informationsverbund muss authentifiziert und autorisiert werden, bevor ein genau umrissener Zugriff gewährt wird. • Wende das Minimalitätsprinzip konsequent an: Es dürfen grundsätzlich nur die für eine Tätigkeit zwingend notwendigen Rechte vergeben werden, und zwar mit zeitlicher Begrenzung und der Möglichkeit, diese dynamisch zuzuweisen und zu entziehen.
Aufbau von Zero Trust
Die Steuerung der Zugriffsauthentifizierung in einer Zero-Trust-Architektur erfolgt über eine Sicherheitsplattform anhand dynamischer Regeln. Noch bevor der Anfragende auf die angeforderte Ressource zugreifen kann, lässt sich durch die Auswertung sogenannter Zustandsinformationen genau feststellen, ob der Zugriffsversuch zulässig ist. Dieser Ansatz erfordert die Steuerung der Interaktion zwischen Anwender und den von ihm angeforderten Zugriff auf eine Ressource. Ein Zero-Trust-System zur Steuerung dieser Interaktion besteht aus zwei Kernelementen: dem Policy Enforcement Point (PEP) und dem Policy Decision Point (PDP). PEPs nehmen keine Auswertungen vor und fällen keine Entscheidungen, sie steuern den Zugriff eines Anwenders auf die angefragte Ressource. Die Auswertung von Unternehmensvorgaben und die darauf basierende Entscheidungsfindung übernimmt der PDP, dessen Anweisungen zur Durchsetzung an die PEPs übermittelt werden. Sobald es erforderlich wird, können die Anweisungen des PDP dynamisch angepasst werden – zum Beispiel bei einer plötzlich auftretenden Gefährdungslage oder bekannt gewordenen Schwachstellen. Die Entscheidungsfindung durch den Policy Decision Point lässt sich durch externe Datenquellen stützen, die Informationen zu Angriffstaktiken und -techniken sowie zu Anzeichen für eine Kompromittierung liefern. Um eine Entscheidung herbeizuführen, bewertet der PDP den Status und die Identität des Anwenders, den Zustand der Ressourcen sowie bestimmte Verhaltensmuster. Grundsätzlich gewährt das Zero-Trust-Modell keinerlei implizites Vertrauen, und es geht davon aus, dass jeder Anwender aus einer unsicheren Umgebung heraus operiert. Daraus folgt, dass der Zugang zu angeforderten Ressourcen ausschließlich über einen PEP möglich sein darf, der die vom PDP erstellten Zugriffsregeln umsetzen kann. Der Schutz durch eine Zero-Trust-Architektur erfordert zur präzisen Steuerung aller Datenzugriffe daher vor allem eine durchgängige Klassifikation der Daten einer Organisation und ihres Schutzbedarfs. Weiterhin werden Sicherheitsmechanismen wie Angriffserkennung und Schwachstellendetektion direkt in die Zugriffssteuerung über Policy Decision Point und Policy Enforcement Point einbezogen und kommen nicht als bloße Reaktion zum Einsatz.
Wie lässt sich Zero Trust in der Praxis umsetzen?
Die Umsetzung von Zero Trust erfordert nicht zwangsläufig einen völligen Neuaufbau der bestehenden IT-Infrastruktur. Die für Zero Trust erforderlichen Schlüsselfähigkeiten und Kompetenzen muss jede Organisation aufgrund der allgemeinen Gefährdungslage ohnehin aufbauen.
Dazu ist Folgendes erforderlich:
- Inventarisierung aller IT-Elemente,
- Bewertung und Klassifikation der Daten,
- Betriebsumgebungsübergreifende präzise Definition der Rollen von Personen und IT-Systemen,
- Durchgehende und lückenlose Dokumentation der IT-Landschaft,
- Flächendeckende Überprüfung von Protokollen auf Unregelmäßigkeiten.
Der Weg hin zu Zero Trust sollte in Schritten erfolgen, die auf das Risikoprofil und auch den Reifegrad der Organisation abgestellt sind. Dabei ist eine Integration in bestehende Sicherheitsprogramme durchaus möglich: Um zu klären, was genau die zu schützende „Fläche“ ist, beginnt der Prozess immer mit einer umfassenden Analyse, die alle kritischen Daten, Anwendungen, Services und digitalen Güter berücksichtigt.
Danach wird analysiert, wie der Zugriff auf kritische Daten erfolgt: Durch Überprüfung und Dokumentation der Transaktionsabläufe im Netzwerk und des Zusammenwirkens verschiedener Komponenten wird deutlich, wo Kontrollen eingefügt werden müssen. Sind diese Schritte durchgeführt, beginnt die eigentliche Arbeit an der Zero-Trust-Architektur. Nach der Definition der erforderlichen Sicherheitsfähigkeiten müssen diese gemäß einem Reifegradmodell ausgebaut werden. So entsteht eine Zero-Trust-fähige Umgebung, in die kritische IT-Services schrittweise hinein migrieren können.
Abschließend gilt es, die IT-Prozesse und vor allem auch das Nutzerverhalten auf die sich ändernden Bedingungen auszurichten. Einen fertig ausgearbeiteten Standardweg für die Einführung von Zero Trust gibt es nicht. Die Strategie muss sich an den Eigenheiten der jeweiligen Organisation orientieren und wird daher immer individuell gestaltet sein müssen. In jedem Fall kann Zero Trust als ein zuverlässiger Kompass dienen, um in einer sich verändernden Cyber-Welt nicht die Orientierung zu verlieren und seine Sicherheitsstrategie richtig auszurichten.
Den Beitrag lesen Sie auch in HHK 6/2023.