«Vertrauen ist gut, Kontrolle ist besser!» Nach diesem Bonmot, das dem russischen Revolutionsführer Wladimir Iljitsch Lenin zugesprochen wird, haben Firmen bislang ihre IT abgesichert. Zwar wurde diese am Rande gut geschützt und jeder, der um Einlass bat, gut kontrolliert. Einmal drin, wurde aber auf Vertrauen gesetzt.
Diese Strategie, nämlich den Perimeter von Unter­nehmensnetzwerken gut zu schützen und zu überwachen, ist je länger, je unzureichender. Und nicht nur, weil sie an den Schutz mittelalterlicher Burgen mit sehr hohen Mauern und tiefen Wasser­gräben erinnert, wirkt die Methode aus der Zeit gefallen.

Auch weil sich die IT-Landschaft der Unternehmen drastisch geändert hat – nicht zuletzt in den letzten beiden Jahren –, kommt einem der reine Perimeterschutz etwas antiquiert vor. Dies ist vor allem darauf zurückzuführen, dass sich die Grenzen zwischen «drinnen» und «draussen» vermischen. Beflügelt wird das durch IT-Trends wie Bring Your Own Device (BYOD), hybride Nutzungsformen wie das Arbeiten von zu Hause, von unterwegs und doch gelegentlich auch im Büro sowie den Einbezug von immer mehr Endgeräten ohne Einfriedung wie etwa dem Internet der Dinge.

Die Folge: Mit dem Vertrauen ist das so eine Sache. Eigentlich kann hier nichts und niemandem mehr vertraut werden, was notgedrungenermassen zum wohl grössten Paradigmenwechsel in der IT-Security führt. Das neue Konzept segelt denn auch unter der Bezeichnung «Zero Trust» und geistert spätestens seit 2010, als John Kindervag vom Marktforschungs- und Beratungsunternehmen Forrester Research den Begriff prägte, durch Cybersecurity-Diskussionsrunden und -Vorträge.

Laut Forrester beruht «Zero Trust» darauf, keiner Entität zu trauen – also keiner Person, keinem Netzwerk, keinen Daten, keinem Gerät und keinem Prozess oder Workload. Schliesslich greifen nicht nur Personen auf wertvolle Daten zu, sondern auch Geräte, Netzwerke und Applikationen. Auch sie werden zu Akteuren, die sich plötzlich durch Fehlverhalten auszeichnen oder schlicht und einfach im Unternehmen Amok laufen könnten. Verkürzt könnte man das Konzept auf «Vertraue nie, kontrolliere immer alles» eindampfen.

Drei Prinzipien für die Praxis kann Forrester dieser neuen konzeptionellen Leitlinie abgewinnen, die auf Misstrauen und Skepsis beruht. «Zero Trust» führt im Cybersecurity-Alltag dazu, dass erstens alle Netzwerke als nicht vertrauenswürdig behandelt werden. Folglich muss nicht nur das Firmennetz selbst gut abgesichert werden, sondern auch die Heimnetze der Mitarbeitenden und öffentliche WLANs (beispielsweise in Bahnhöfen und Restaurants). Bei der Absicherung des Firmennetzwerks kommt dabei das Konzept der Mikrosegmentierung ins Spiel. Das heisst, dass ein Netzwerk in möglichst viele Teilstücke oder Segmente unterteilt wird, die logische und sichere Einheiten darstellen. Dies soll vor allem verhindern, dass sich Angreifer lateral im ganzen Netzwerk bewegen können.

Besonders wichtig laut Forrester ist zweitens, dass das Prinzip der geringsten Berechtigungen waltet. Denn schliesslich kann den Benutzern der Firmen-IT nicht vertraut werden. Deren Zugang oder Konto könnte ja gehackt sein oder die Mitarbeitenden selbst könnten zu böswilligen Insidern mutiert sein. Somit sollen User nur so viele Zugriffsberechtigungen auf IT-Ressourcen im Unternehmen erhalten, die für die Erledigung ihrer Aufgaben unbedingt notwendig sind. Darüber hinaus müssen diese Berechtigungen regelmässig überprüft und wieder entzogen werden, wenn sie nicht mehr angemessen sind.

Drittens schlägt Forrester vor, eine «Zero Trust»-Mentalität im ganzen Unternehmen zu etablieren. Nicht nur IT- und Security-Verantwortliche sollten ständig skeptisch und immer auf Sicherheitsvorfälle vorbereitet sein, sondern auch alle Mitarbeitenden müssen eine Kultur sowie Praxis der Wachsamkeit verinnerlichen und jederzeit damit rechnen, dass es zu Verstössen und Einbrüchen kommen kann.

Wie Firmen bei sich «Zero Trust» umsetzen können, hierzu haben Anbieter von entsprechendem Know-how sowie von Hardware- und Software-Lösungen unterschiedliche Vorgehensweisen definiert. Das IT-Security-Unternehmen Eset listet beispielsweise in einem E-Paper zum Thema drei konkrete Praxistipps für IT-Security-Verantwortliche auf:

Um Unternehmen und natürlich auch Security-Anbietern bei der Implementierung von «Zero Trust» unter die Arme zu greifen, hat vor allem das US-amerikanische National Institute of Standards and Technology (Nist) wertvolle Arbeit geleistet. Zum einen hat das Institut unter dem Titel «Zero Trust Architecture» (Dokument SP 800-207) ein Paper veröffentlicht, in dem sehr detailliert in Form von Vorgaben definiert wird, was alles in eine ZTA (Zero Trust Architecture) gehört. Zudem ist hier natürlich auch präzise dargelegt, was genau unter «Zero Trust» und einer ZTA zur verstehen ist sowie welche Konzepte und Prin­zipien hinter einer solchen stehen.

Zum anderen ist das NIST daran, einen Praxisleitfaden zu erstellen, der während der Niederschrift dieses Artikels erst in Teilen als Entwurf vorlag. Unter dem Titel «Implementing a Zero Trust Architecture» (Dokument SP 1800-35) werden verschiedene Beispiels-ZTA präsentiert, da es «die» ZTA nicht gibt. Dabei werden Produkte und Tech­niken verschiedener Hersteller verwendet und in konkreten Szenarien implementiert.

Allerdings sind bislang nur Teil A (Executive Summary) und Teil B (Ansatz, Architektur und Sicherheitsmerkmale) als Entwurf erschienen. Die Teile C und D mit konkreten Anleitungen und der Präsentation funktionierender Implementationen stehen dagegen noch aus.

Dieser Artikel ist im Rahmen der «Top 500»-Sonderausgabe von Computerworld erschienen. Das Heft einschliesslich Ranking lässt sich auf dieser Seite bestellen.