Das Home-Office und die Arbeit von zu Hause hat die Unzulänglichkeiten von Firewalls und VPNs aufgedeckt. Der Zero-Trust-Denkansatz verspricht diese Probleme zu beheben. So weit so gut, aber man muss für die Umsetzung einer Zero-Trust-Lösung sehr viel Zeit investieren. Ein Kommentar von Mathias Hein, Consultant, Buchautor und Redakteur.
„Ende letzten Jahres unterhielt ich mich mit einem früheren Arbeitskollegen und erfuhr, dass derzeit sein Unternehmen unter erheblichen Sicherheitsproblemen zu leiden hat. Das Unternehmen hatte drei Sicherheitsschichten installiert und gerade ein zusätzliches Sicherheitsaudit abgeschlossen. Dabei stellte sich heraus, dass es seit Abschluss der Installation der neuen Sicherheitsmechanismen fünf neue Sicherheitsvorfälle registriert wurden. Die Lücken hatten ihren Ursprung alle innerhalb des Sicherheitsbereichs und bei den Angriffen wurde einfach der Großteil des Schutzes umgangen.
Natürlich fragt man sich, was man falsch gemacht haben könnte und wie die Sicherheitslücken zu beheben wären?
Was das Unternehmen erlebte, ist alles andere als selten, und die Ursache der Probleme und die Wege zur Behebung sind alles andere als einfach.
Wir – die Benutzer und auch die Administratoren – neigen dazu, die Sicherheit als ein Ziel zu definieren. Wir wollen das Sicherheitsziel am liebsten mit einem einfachen Toolkit erreichen. Aus leidvoller Erfahrung wissen wir, dass dieser Denkansatz nicht stimmt. Sicherheit ist ein Zustand, den man erreicht, wenn man sich mit allen möglichen Bedrohungen auseinandersetzt, diese analysiert und die Lehren aus den Analyseergebnissen zieht. Dabei muss jede Bedrohung auf ihre eigene Art und Weise bearbeitet werden. Es gibt daher auch keine Abkürzung, die schnell zum Ziel führt.
Probleme können dadurch entstehen, dass sich Hacker von außen Zugang zu einer Anwendung oder Datenbank verschaffen, beispielsweise durch den Diebstahl von Anmeldedaten oder die Ausnutzung einer schwachen Authentifizierung. Die Probleme können auch von Exploits herrühren, bei denen Fehler in einem Programm (Anwendung, Middleware oder Betriebssystem) ausgenutzt werden können, um ein böswilliges Verhalten auszulösen. Schließlich können Sicherheitslöcher im Unternehmen auch durch Malware entstehen, die auf irgendeine Weise eingeschleust wird. Kombinationen aus diesen drei Aspekten sind in der Regel immer die Ursache von Sicherheitsproblemen. Die Unternehmen konzentrieren sich in der Praxis hauptsächlich auf die Sicherheit am Netzwerkrand, um sich gegen das erste der beschriebenen Sicherheitsprobleme zu schützen. Dabei geraten die beiden anderen Bedrohungsbereiche zwangsläufig aus dem Blickfeld oder werden einfach unterschätzt.
Die Behebung dieser beiden anderen Problembereiche bedeutet nicht, dass man die Perimetersicherheit aufgibt, sondern dass man sich mit allen möglichen Problemquellen befasst. In der Summe schärft die Betrachtung aller Sicherheitsaspekte die Sicht auf die grundlegenden Sicherheitsregeln und schärft den Sicherheitsfokus.
Die erste Regel der Sicherheit lautet: „Der Bau einer Sicherheitsmauer nützt nichts, wenn man die Sicherheitsschleusen offenlässt.“ Die meisten Unternehmen schützen die Geräte ihrer Mitarbeiter viel zu lasch. Die meisten Sicherheitsvorfälle in den Unternehmen werden durch infizierte Laptops verursacht. Im Fall der Home-Offices bedeutete die Arbeit von zu Hause aus, dass die VPN-Zugänge des Unternehmens auf Geräte ausdehnt werden, die nicht nur nicht gesichert, sondern nicht einmal von der IT-Abteilung inspiziert wurden. Es gilt immer noch die eiserne Regel: Wenn möglich, sollten Arbeitsgeräte nicht für private Zwecke verwendet werden und private Geräte haben im Firmennetz nichts zu suchen.
Regel zwei lautet: „Wer bewacht die Wächter?“ Überwachungs-, Verwaltungs- und sogar Sicherheitstools verfügen oft über einen privilegierten Zugang zu Ressourcen und Anwendungen. Wenn man bedenkt, dass allein in den letzten sechs Monaten zwei große Sicherheitsprobleme (Sunburst und Log4j) im Zusammenhang mit der Kontamination dieser Werkzeuge Tools entstanden sind, dann zeigen diese Probleme, dass die wichtigen Komponenten für den Betrieb unserer Netzwerke, Anwendungen und Rechenzentren, weniger sicher sind als vermutet.
Die Aktualisierung von Software ist der Schlüssel zur Umsetzung dieser beiden Regeln. Was auf den ersten Blick sehr logisch klingt, stellt für viele Unternehmen oft ein Problem dar. Die Aktualisierung von Desktop-Software, insbesondere im Home-Office, ist immer eine Herausforderung. In der Praxis hilft eine Kombination aus zentraler Softwareverwaltung und einer planmäßigen Überprüfung der Softwareversionen auf den Heimsystemen. Bei den Werkzeugen für den Betrieb sollte man sich nicht dazu verleiten lassen, Versionen von Open-Source-Tools zu überspringen, nur weil diese sehr regelmäßig einem Update unterzogen werden. Es wird empfohlen, eine Versionsüberprüfung kritischer Betriebssoftware als Teil des allgemeinen Programms zur Verwaltung der Software vorzunehmen und neue Versionen mindestens alle sechs Monate unter die Lupe zu nehmen.
Trotz alledem ist es unrealistisch anzunehmen, dass ein Unternehmen alle möglichen Bedrohungen durch alle möglichen Angreifer vorhersehen kann. Natürlich hat die Vorbeugung gegen eine Krankheit hohe Priorität. Aber tritt die Krankheit auf, dann muss der Patient – sobald die ersten Symptome auftreten – umfassend behandelt und kuriert werden.
Was auch immer die Quelle eines Sicherheitsproblems ist, es bedeutet fast immer, dass etwas nicht stimmt und eine Gerät bzw. eine Anwendung funktioniert nicht so, wie diese funktionieren sollte. Aber wer weiß schon, wie die Produkte richtig arbeiten sollten? Dies lässt sich am einfachsten dadurch erkennen, indem man auf verschiedene Verhaltensmuster achtet. Das ist es, worum es bei Zero-Trust, einem weiteren missverstandenen Sicherheitsbegriff, gehen sollte.
Was Zero-Trust wirklich bedeutet
Nichts ist einfacher, als ein extrem grelles Marketingetikett auf ein Produkt oder eine Dienstleistung zu kleben und dieses mit aller Marketingpower zu bewerben. Macht man sich die Mühe und sieht sich die derzeitig angebotenen Zero-Trust-Lösungen genauer an, dann wird man feststellen, dass bei den Herstellern und bei den Nutzern nicht einmal ein Konsens über die Bedeutung des Konzepts besteht. Damit wird der Begriff bedeutungslos und das Vertrauen in diesen Begriff geht verloren.
Was wir von dem Begriff „Zero Trust“ erwarten, ist eigentlich eine Verhaltensüberwachung und -kontrolle.
Auf wie viele Anwendungen kann ein durchschnittlicher Mitarbeiter im Unternehmen zugreifen? Die meisten Unternehmen sind nicht in der Lage, diese simple Frage zu beantworten. Wie kann das Unternehmen dann wissen, ob der Mitarbeiter oder jemand, der über den Laptop des Mitarbeiters arbeitet, Daten stiehlt oder den Betrieb beeinträchtigt? Da man nicht weiß, was erlaubt ist, kann man auch nicht erkennen, was nicht erlaubt ist. Aber genau hier setzt Zero-Trust an.
Ein Zero-Trust-System geht davon aus, dass es kein stillschweigendes Recht auf eine Verbindung zu irgendeiner Ressource gibt. Verbindungsrechte sind explizit, nicht permissiv. Genau diese Eigenschaft ist sowohl für die Zero-Trust-Sicherheit als auch für die Verhaltensüberwachung und -kontrolle entscheidend.
Niemand stellt in Frage, dass es eine Herausforderung ist, nicht nur die zulässige Konnektivität für jeden Mitarbeiter zu definieren, sondern auch die Anforderungen für die Verbindungen für Verwaltungs- und Betriebssoftware, Middleware und mehr. Diese Schwierigkeiten sind der Grund, warum Unternehmen echte Zero-Trust-Sicherheit oft nicht akzeptieren und warum Anbieter sich mit diesem Marketingetikett schmücken können, ohne die erforderlichen Funktionen zu liefern. Ja, die Einführung und der Betrieb einer Zero-Trust-Lösung bedeutet zuerst einmal mehr Arbeit. Diese Mehrarbeit lässt sich einfach nicht vermeiden, wenn ein Unternehmen sicherer werden will.
Selbst wenn man die Herausforderung der Definition zulässiger Konnektivität meistert, ist der Schmerz noch nicht vorbei. Ein Zero-Trust-System muss Versuche, nicht autorisierte Verbindungen herzustellen, erkennen und protokollieren. Tatsächlich ist es genau diese Funktion, die Zero-Trust in der Unternehmenssicherheit so wichtig macht. In einem guten Zero-Trust-System werden diese Netzerkundungen erkannt und protokolliert, wodurch das Unternehmen darauf aufmerksam gemacht wird, dass etwas nicht stimmt. Sofortiges Handeln rettet in der Regel danach das Unternehmen vor weiterem Schaden.
Der beste Weg, ein von einem Anbieter vorgeschlagenes Zero-Trust-System zu überprüfen, besteht darin, sich anzusehen, wie es angewendet wird. Natürlich ist es praktisch, eine hierarchische Struktur für die Zuweisung von Verbindungsrechten zu unterstützen. Alle Mitarbeiter in der Buchhaltung und alle Buchhaltungssoftware haben wahrscheinlich gemeinsame Verbindungsberechtigungen.
Es ist auch vernünftig, wenn die protokollierten Ausnahmen so gespeichert werden, dass traditionelle Analyse- und sogar KI-Tools diese untersuchen und nach Mustern fahnden. Die Erstellung von Berechtigungen und Ausnahmen für Verbindungen ist für die Sicherheit von entscheidender Bedeutung. Daher sollten diese Funktionen im Detail verstanden und vor der Beschaffung einer Zero-Trust-Lösung genau unter die Lupe genommen werden. Das kostet Zeit und Energie und verhindert Schnellschüsse. Eine durchdachte Sicherheit im Unternehmen ist nicht leicht zu realisieren, aber die Behebung von Sicherheitsproblemen ist noch schwieriger.“
