Zero Trust: Never trust - always verify.

Den Begriff von “Zero Trust” gibt es schon einige Jahre. Besonders an Beachtung gewonnen hat er allerdings mit der sogenannten Executive Order

To keep pace with today’s dynamic and increasingly sophisticated cyber threat environment, the Federal Government must take decisive steps to modernize its approach to cybersecurity, including by increasing the Federal Government’s visibility into threats, while protecting privacy and civil liberties.  The Federal Government must adopt security best practices; advance toward Zero Trust Architecture; accelerate movement to secure cloud services, including Software as a Service (SaaS), Infrastructure as a Service (IaaS), and Platform as a Service (PaaS); centralize and streamline access to cybersecurity data to drive analytics for identifying and managing cybersecurity risks; and invest in both technology and personnel to match these modernization goals.

Es wird auch klar gesagt, auf welche Definition von “Zero Trust” sich der Präsident sich bezieht NIST

develop a plan to implement Zero Trust Architecture, which shall incorporate, as appropriate, the migration steps that the National Institute of Standards and Technology (NIST) within the Department of Commerce has outlined in standards and guidance, describe any such steps that have already been completed, identify activities that will have the most immediate security impact, and include a schedule to implement them

Begleitet wird die präsidiale Anordnung durch eine Vielzahl von Initiativen, z.B. dem CISO

Jetzt kann man natürlich die Meinung vertreten, dass hier nur präsidiales Buzzword Bingo gespielt wird. In der Mehrheit wird hierin aber ein energischer Ansatz gesehen, das Thema Cybersecurity in den Bundesbehörden zu verbessern.

Auch in Deutschland scheint dieses Themengebiet an Sichtbarkeit zu gewinnen.

Insbesondere die mit der Hackerattacke auf den Bundestag bekannt gewordenen Netze des Bundes müsse der Staat so aufstellen, “dass wir schrittweise in Richtung Zero-Trust-Architektur gehen”, erklärte Andreas Könen, Leiter der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium (BMI)

Ich bin mir sicher, das wir alle versuchen müssen dem US Beispiel zu folgen. Deswegen hier ein Versuch einer schnellen Charakterisierung als Einstieg in das Thema.

Für mich der einfachst Weg das Konzept von Zero Trust schnell zu verstehen, beginnt mit einer Betrachtung der heutigen Netzwerke. Menschen, die seit den frühesten Tagen in der IT tätig sind, werden sich an die frühen Zeiten erinnern. Wir hatten nicht wie heute Zugriff auf viele Tools in der Cloud. Wir nutzten für unsere Arbeit digitale Ressourcen und Anwendungen, die jedoch nur über interne Netzwerke und PCs/Laptops zugänglich waren. Der wesentliche Ansatz sich vor Bedrohungen von außen zu schützen, bestand darin einen digitalen Zaun zu errichten. Dieser digitale Zaun sollte das System und die Geräte eines Unternehmens vor Zugriffen von außen schützen. Alle eingehenden “Zugriffe” auf authentifizierte und autorisierte Quellen wurden über einen einzigen Einstiegspunkt geleitet werden. Das war im Allgemeinen lange Zeit eine gute Strategie.

Das funktioniert allerdings heute allerdings nicht mehr.

Wir alle wissen das die Welt heute anders aussieht. Die meisten von uns arbeiten remote auf mobilen Geräten. Die Daten werden in privaten, öffentlichen oder hybriden Cloudumebungen gehalten. Mit dieser Erweiterung sind natürlich auch die Cybersicherheitslücken gewachsen. Jetzt gibt es mehr Angriffspunkte und mehr Bereiche, in denen Hacker in Ihr System eindringen können. Es ist besonders wichtig, Ihr Netzwerk vor Eindringlingen zu schützen, die bereits Zugriff darauf haben – wie Ihre Mitarbeiter oder Ex-Mitarbeiter.

In den meisten der aktuellen großen Databreaches haben sich Hacker zunächst mithilfe gestohlener Zugangsdaten Zugang zum internen Netzwerk der Organisation verschafft. Dann wurde ein Malware-Paket eingeschleust, das sich wie eine Hintertür zur Datenexfiltration installierte. Von dort aus haben die Angreifer ihre Privilegien erweitert, um auf verschiedene Informationssysteme zuzugreifen.

Die klassische Absicherung an den Netzwerkgrenzen reicht also nicht mehr. Es gilt der Grundsatz: Die Angreifer sind schon drin.

Hier kommt die wesentliche konzeptionelle Neuheit im Ansatz von Zero Trust auf den Plan. Egal von wo aus ich wo hin auf Netzwerkressourcen zugreife, immer gilt die Forderung. “ich vertraue Dir nicht und muss dich prüfen”. Das ist ein fundamentaler Wechsel der bei allen zukünftigen Planungen in Betracht zu ziehen.

Das ist für mich der Hauptunterschied zu den früheren Ansätzen. Dazu kommen natürlich viele technische Anforderungen die viele Organisationen teilweise schon kennen. Aber das ist Technik die in der neuen Denkwelt eingeführt werden muss.

Weitere Details und Vorteile werde ich in weiteren Artikel verdeutlichen