Was ist Zero-Trust?
Der akute Lockdown durch Covid-19 hat außerordentliche Veränderungen bei Unternehmen und Mitarbeitern hervorgerufen und die Wichtigkeit von Telearbeits-Infrastrukturen, milde ausgedrückt, signifikant erhöht. Während es viele Firmen geschafft haben, irgendeine Art der Telearbeitsmöglichkeit bereitzustellen, manche besser – andere schlechter, und einige sogar ihre Success-Stories dazu veröffentlichten, wurde Sicherheit nur sehr eingeschränkt, wenn überhaupt, berücksichtigt. Risiken in diesem Zusammenhang werden von vielen Unternehmen unterschätzt. Man konnte sehen, wie Unternehmen Türen in ihren Firewalls öffneten, um Remote-Zugriff zu ermöglichen, ohne zuvor ein Sicherheitskonzept oder eine Risikobetrachtung durchzuführen. Nur wenige Unternehmen hatten dies schon im Voraus erledigt, um auf derartige Fälle vorbereitet zu sein. Für die meisten war dafür bei Ankündigung des Lockdowns keine Zeit mehr und Verzögerungen bei der Bereitstellung von Möglichkeiten zur Telearbeit wären teuer gewesen, wodurch dies unterblieben ist oder bewusst aufgeschoben wurde. Da Covid-19 nicht so schnell verschwinden wird und auch unabhängig davon Home-Office Arbeitsplätze bei vielen Unternehmen bleiben werden, ist jetzt der Zeitpunkt die mangelnde Betrachtung der IT Sicherheit aufzuarbeiten, bevor Angreifer Schwachstellen ausnutzen und Unternehmen in die nächste Krise katapultieren.
Bis heute verlassen sich Unternehmen auf eine Jahrzehnte-alte Sicherheitsstrategie, nämliche die Abschottung des Unternehmensnetzwerks vom Internet (Perimeter-Based Security) und die Betrachtung des internen Netzwerks als vertrauenswürdig. Die Abschottung wird durch Firewalls und andere Sicherheitskomponenten realisiert. Jeder User und jedes Gerät am internen Netzwerk wird als gutartig klassifiziert und somit werden Zugriffe auf interne Ressourcen von internen Quellen erlaubt. An manchen Stellen wird Authentifizierung implementiert, aber das Schutzniveau allgemein ist intern gering, da man auf einen starken Perimeter vertraut.
Bereits vor Jahren hat sich jedoch gezeigt, dass der Schutz des Perimeters vor Angriffen von außen alleine nicht ausreichend ist, da Angreifer immer einen Weg ins interne Netzwerk finden werden. Hier tritt wieder die Asymmetrie zwischen Angreifern und Verteidigern zutage: Während Angreifer nur eine einzige Lücke finden müssen, um ins interne Netzwerk zu gelangen, müssen Verteidiger alle Systeme absichern, alle Lücken stopfen und dürfen sich keinen Fehler erlauben. Diese Ungleichheit zeigt bereits die Schwächen einer Sicherheitsstrategie, die sich ausschließlich auf einen starken Perimeter verlässt, denn das Risiko der Durchbrechung des Perimeters kann kaum ausreichend mitigiert werden. Es gibt Anwendungsschwachstellen, wogegen Perimeter-Schutzmechanismen nicht effektiv sind. Oft ist auch der Mensch das schwächste Glied in der Kette, was durch Phishing und Social Engineering Angriffe ausgenutzt wird. Diese Angriffe sind alt, aber immer noch so effektiv wie vor vielen Jahren, da der Mensch, im Gegensatz zur Software, nicht einfach geupdatet werden kann. Auch gegen derartige Angriffe können Perimeter-Protections nur wenig entgegensetzen. Und dann gibt es Löcher in den Firewalls für den (gewollten) Zugriff von außen, zum Beispiel für VPNs, Remote-Desktop, Terminal Services und Partner Netzwerke. Sind Angreifer einmal im internen Netzwerk, ist es meist ein leichtes Spiel für diese weitere Systeme und schließlich die gesamte Domäne unter Ihre Kontrolle zu bringen. Oft werden sensible Daten gestohlen und anschließend verkauft oder sie werden verschlüsselt und nur gegen ein Lösegeld wieder freigegeben (wobei es keine Garantie ist, dass man die Daten nach der Bezahlung auch tatsächlich entschlüsselt werden).
In den letzten Jahren hat sich ein weiteres Problem mit Perimeter-Based Security gezeigt: Cloud Computing. Ressourcen in der Cloud, egal ob Software, Daten oder Infrastruktur, sind außerhalb des internen Netzwerks und können daher nicht durch den Perimeter geschützt werden. Der Trend zu Cloud Computing wird diesen Aspekt weiter verschärfen.
Wenn Perimeter-Based Security nicht mehr funktioniert, welche Strategie soll stattdessen angewandt werden?
Neuerlich hat sich der Begriff „Zero Trust“ etabliert, der die Anschauung beschreibt, niemandem mehr per-Default zu vertrauen, unabhängig davon ob im oder außerhalb des Netzwerkes. Stattdessen müssen Kontrollen implementiert werden, die gegen Angriffe innerhalb des internen Netzwerkes effektiv sind, sowie Monitoring, um Auffälligkeiten feststellen zu können. Das grundsätzliche Prinzip ist es Schutzmechanismen möglichst vor den zu schützenden Ressourcen zu platzieren und Access-Control granular zu konfigurieren. Abhängig vom Use-Case, der Topologie und der Technologie, unterscheiden sich Konzepte und deren Umsetzung.
Für Client-Netzwerke und Client-Anwendungen beschäftigen sich Zero Trust Konzepte mit Device Health Management, User und Device Authentifizierung sowie Access Gateways zum Schutz der Ressourcen. Sowohl die Identität als auch der Sicherheitsstatus von Geräten soll festgestellt werden und Zugriffs-Regeln an den Access-Gateways können diese Aspekte berücksichtigen. Zum Beispiel: Für Clients, die nicht gepatcht sind und damit kritische Schwachstellen aufweisen, kann der Zugriff auf Daten verwehrt werden, auch wenn der Benutzer selbst dafür autorisiert wäre. Auch der Standort des Gerätes könnte berücksichtigt werden.
Für Kommunikation innerhalb eines Data Centers beschäftigen sich Zero-Trust Konzepte mit der Autorisierung und Überwachung von Kommunikationsbeziehungen. Implementierungsansätze sind Mikro- Segmentierung und Software-Defined Networking (SDN). Je granularer die Segmentierung, desto feiner können Zugriffe gesteuert werden und desto geringer die Angriffsfläche für die Weiterverbreitung des Angriffs (Lateral Movement). Für Microservice Architekturen kann Zero Trust mittels Network-Policies oder Service-Mesh umgesetzt und jeder Zugriff granular überwacht werden.
Man sieht also bereits, dass Zero Trust eine Anschauung ist anstatt eines konkreten Konzeptes. Es berührt verschiedene Aspekte, wie Netzwerk- und Gerätesicherheit, Anwendungs- und Servicesicherheit, Authentifizierung und Security Monitoring. Auch hat sich Zero Trust zu einem Buzz-Word etabliert, das Hersteller mit allen ihren Produkten zu assoziieren versuchen. Organisationen sollten sich daher erst Gedanken über ihre grundsätzliche IT- und Sicherheitsstrategie machen und wie sie Zero Trust Aspekte darin aufnehmen wollen. Erst anschließend sollten Produkte ausgewählt werden, die mit dieser Strategie im Einklang sind. Es ist leider nicht möglich Zero Trust off-the-shelf zu kaufen, sondern dieser radikale Paradigmenwechsel benötigt eine gut geplante Transition, meist mit hybriden Ansätzen für längere Zeiträume.
Dieser Artikel soll keinesfalls den Nutzen von Perimeter-Based Security kleinreden, sondern lediglich seine Schwächen, insbesondere im Hinblick auf aktuelle Trends, aufzeigen. Ein guter Schutz des Perimeters kann viele Risiken deutlich reduzieren. Sich auf den Schutz des Perimeters vollständig zu verlassen, ist jedoch ist den meisten Fällen keine gute Sicherheitsstrategie und geht mit größeren Risiken einher. Wir empfehlen eindringlich auch Angreifer im internen Netzwerk zu berücksichtigen und entsprechend vorbereitet zu sein, denn früher oder später wird es einen (virtuellen) Einbruch geben. Eine Investition, die sich bezahlt macht.