Trauen Sie niemandem!

Seit Mitte März 2020 arbeiten viele vermehrt im Home Office. Zahlreiche Unternehmen haben rasch und zum Teil sogar ohne Notfallplan erfolgreich auf den Corona-Lockdown reagiert. Es wurde Hardware beschafft, Infrastruktur hochgefahren. Business Continuity war zentral, die Cybersecurity blieb oft auf der Strecke. In einer Studie des Tech-Giganten IBM gab die Mehrheit der Befragten an, dass ihr Arbeitgeber keine Security Policies für den Umgang mit schützenswerten Informationen aufgestellt hat. Cyber­kriminelle haben folglich leichtes Spiel und können diese Defizite zu ihren Gunsten ausnutzen, was auch im ersten Halbjahresbericht 2020 der Melde- und Analysestelle Informationssicherung des Bundes (Melani) bestätigt wird.

Die digitale Transformation wurde durch die globale Pandemie befeuert und schreitet schneller denn je voran. Wir wollen all die neu erworbenen Fähigkeiten weiter für uns nutzen, uns aber auch adäquat vor Attacken schützen.

Während die Mehrzahl der Mitarbeitenden vor Corona meistens im Büro arbeitete und das Home Office eher als Ausnahme galt, befinden sich heutzutage immer mehr Nutzer, aber auch Services und somit schützenswerte Daten aus­serhalb der physischen Organisationsgrenzen. Im Gegensatz zu diesen Entwicklungen konzentrieren sich die meisten aktuellen IT-Infrastrukturen allerdings auf den klassischen Perimeterschutz. Anders ausgedrückt: Allen Anfragen mit internen IP-Adressen vertraue ich, den anderen nicht. Vor dem Hintergrund einer Remote-Work-Arbeits­kultur und zunehmender Cloud-Nutzung greift dieser Ansatz nicht mehr. Wir brauchen eine neue Lösung: Das zukunftssichere Konzept lautet Zero Trust.

Entsprechend der Prämisse «Never trust, always verify» geht man bei Zero Trust davon aus, dass keinem Gerät, Nutzer oder Prozess mehr einfach so vertraut werden darf. Konkret bedeutet dies, dass jede Zugriffsanfrage neu verifiziert werden muss, bevor schützenswerte Ressourcen freigegeben werden. Im Zentrum steht dabei die Identität der Anfragenden und es spielt keine Rolle, ob sie sich innerhalb oder ausserhalb der Organisationsgrenzen befinden.

Das Konzept wird konsequent angewandt. Zusätzlich zur Identität können auch weitere Parameter wie beispielsweise der Benutzerkontext, der Gerätezustand oder Geo­lokalisierung verwendet werden.

Absolute Sicherheit, wie dies im Rahmen der Peri­meter-basierten Infrastruktur meist angenommen wurde, existiert nicht. Man geht grundsätzlich davon aus, dass es erfolgreiche Angriffe gibt (assume breach). Das Ziel ist, die Auswirkungen eines Zwischenfalls minimal zu halten und danach rasch wieder auf die Beine zu kommen. Dabei ist die Mikrosegmentierung zentral.

Soweit zur Theorie – aber wie soll man am besten mit der Umsetzung von Zero Trust beginnen? Chase Cunningham, Lead Analyst bei Forrester, nennt in diesem Zusammenhang drei Punkte, die als Minimalanforderung für Zero Trust gelten:

Wenn sich eine Organisation grundsätzlich an diese Prinzipien hält, wendet sie im Kern schon Zero Trust an. Während verschiedene Reifegrade von Zero Trust existieren, empfiehlt es sich grundsätzlich, mit den machbaren Massnahmen zu starten und alle weiteren Anstrengungen an Zero Trust auszurichten. Google macht das mit BeyondCorp, was in ihrem Blog nachgelesen werden kann.

Interessant für IT-Verantwortliche ist, dass mittlerweile schon viele der grossen Hersteller wie zum Beispiel Microsoft oder Cisco, aber auch neue Player wie Cato Networks auf Zero Trust einzahlen.