Das Modell „Zero Trust“
Bislang war es üblich, dass eine Perimeter-Firewall das „gefährliche“ Internet vom internen Netz einer Organisation trennt. Im internen Netz sind alle Server und Arbeitsplätze miteinander verbunden, ohne dass die Kommunikation wesentlich authentifiziert oder verschlüsselt wurde. Zahlreiche Serverdaten waren für alle Mitarbeiter frei verfügbar, stellenweise schon mit „Single Sign On“, ohne dass dies bei einem Zugriff infrage gestellt wurde.
Für manche Unternehmen mag dies heute immer noch gelten – einige (zukünftig hoffentlich viele) denken aber gerade zurecht um. Einzelne Dienste werden inzwischen immer häufiger von einem Dienstleister oder Cloudprovider bereitgestellt. Das spart Kosten für Hardware und Betrieb, die interne IT muss sich nicht mehr darum kümmern und man kann das Problem des Fachkräftemangels „outsourcen“. Gerade der Trend zum Homeoffice, der sich aufgrund von Covid19 noch verstärkt hat, birgt Gefahren, da etwa kleine Firewallsysteme oder PC Hardware, zeitweise nicht mehr verfügbar waren. Outgesourct wurde trotzdem.
Auch das nahezu grenzenlose Vertrauen in die Identität der Mitarbeiter ist im Kontext moderner Strukturen nicht immer nachvollziehbar. Häufig werden aktuell auch Azure-AD-Konten, Apple-IDs oder Google-Accounts von Angreifern übernommen. Die IT-Welt hat sich also geändert und die klassische Perimeterfirewall reicht nicht mehr aus, um Unternehmen wirklich schützen zu können. Wenn die Perimeterfirewall überwunden ist, steht dem Angreifer Tür und Tor offen und er kann sich ohne weitere Hindernisse an den Kronjuwelen bedienen. Vielen ist das nicht bewusst. Hat der Angreifer erst mal die Domäne übernommen ist man nicht mehr Herr im eigenen Haus.
Und was macht Zero Trust?
Die Idee hinter Zero-Trust geht davon aus, dass es auf Dauer nicht funktionieren kann, sich auf seine Perimeterfirewall zu verlassen. Auch im internen Netz lauern Gefahren. Ein beliebtes Angriffsszenario ist das „Baiting“, ein liegengelassener USB-Stick, der achtlos von einem Mitarbeiter an den PC angeschlossen wird, weil man ja wissen muss, was da auf dem Stick drauf ist. Weiterhin ist Gefahr von frustrierten Mitarbeitern nicht zu unterschätzen.
Bei Zero Trust gelten die Grundsätze „Vertraue nie, überprüfe alles“ Man sollte bei Zero Trust daher immer davon ausgehen, dass das interne Netzwerk bereits kompromittiert ist und man durch eine möglichst strenge Zugriffskontrolle, Missbrauch oder Datenabfluss verhindern muss. Darüber freut sich auch der Datenschutzbeauftragte, denn er hat weniger unangenehme Meldungen an die Aufsichtsbehörde zu übermitteln.
„Zero Trust“ ist also kein Produkt von der Stange, sondern vielmehr eine Sammlung von Konzepten zum Schutz von Daten, Diensten oder allgemein Ressourcen. Hier spielen auch Sicherheitssysteme wie EDR/XDR, Data Loss Prevention, Application White Listing oder Logfilemanagement eine bedeutende Rolle. Als Einstiegsszenario bietet sich beispielsweise die Mehrfaktorauthentifizierung (MFA) an. Diese ist einfach einzuführen und erhöht die Sicherheit signifikant. Zukünftig spielt die kontinuierliche Überwachung aller Aktivitäten im Netz eine wichtige Rolle.
Viele dieser Ideen sind nicht neu, sondern Weiterentwicklungen bestehender Sicherheitstechniken und erfordern somit keine umfassende Erneuerung der Sicherheitsinfrastruktur in Unternehmen. Man kann also „Schritt für Schritt“ die eigene IT-Sicherheit weiter optimieren und verbessern. Vor dem Hintergrund der Schäden, die ein Angriff verursacht, sind die Investitionen in die IT-Sicherheit ohnehin vernachlässigbar.