“Zero Trust” – es gibt aktuell wenige andere Schlagwörter in der Security-Branche, die so zahlreich verwendet werden. Steht dahinter doch die Hoffnung, es nun alles besser zu machen, sicherer eben, dieses Mal wirklich.
Basierend auf den Erfahrungen der Autoren ist Hoffnung im Kontext Security aber etwas, auf das man sich nicht allzu sehr verlassen sollte. Oder, um es gemäß dem Site Reliability Engineering Buch von Google auszudrücken: “Hope is not a strategy”.
Aber wie nähert man sich als Organisation dem Thema “Zero Trust” dann? Im Folgenden geben wir drei Tipps, die gerade zu Beginn helfen können.
Schaffen Sie ein gemeinsames Verständnis dafür, was Zero Trust ist
Wenn man zwei Experten fragt, was denn dieses “Zero Trust” sei, ist die Wahrscheinlichkeit hoch, dass man drei oder mehr Meinungen erhält. Der Begriff ist gerade durch das Marketing überladen, so dass der Blick auf die wesentlichen Aspekte leicht verloren geht.
Als erstes empfehlen wir daher, dass ein gemeinsames Verständnis geschaffen wird, was der Begriff für die eigene Organisation bedeuten soll. Dieses gemeinsame Verständnis sollte dokumentiert werden, so dass es auch im weiteren Verlauf etwaiger Projekte für neue Stakeholder leicht nachvollziehbar ist. Die eigene Organisation in Richtung Zero Trust zu entwickeln, wird typischerweise Jahre dauern. Es ist daher wichtig, eine aktuelle und robuste Definition als Ankerpunkt zu haben.
Welche guten Informationsquellen für Zero Trust gibt es?
Eine der besten Quellen für eine praxisnahe Definition und Interpretation von Zero Trust haben die Autoren, etwas überraschend, beim Office for Management and Budget (OMB) in den USA gefunden. Aufgrund der Executive Order 14028 zur Verbesserung der Cybersecurity in den USA hat das OMB eine “Federal Zero Trust Strategy” veröffentlicht. Darin werden verbindliche und messbare Ziele für Bundesbehörden vorgegeben, die zur Erreichung eines grundlegenden “Zero Trust Reifegrades” erreicht werden müssen. In dem empfehlenswerten Podcast “Security. Cryptography. Whatever.” vom 10. Juni 2022 gibt Eric Mill vom OMB eine gute Einführung in diese Zero Trust Strategie.
Die Veröffentlichung ist gerade zum Einstieg sehr gut geeignet: Zum einen erhält man eine praxisnahe Beschreibung der Konzepte von Zero Trust, zum anderen bekommt man in Form der Ziele konkrete, technische Handlungsempfehlungen genannt, und kann so besser verstehen, wie die theoretischen Konzepte in der Praxis umgesetzt werden können. Die Veröffentlichung enthält außerdem Verweise auf weitere, gute Informationsquellen, wie die “Zero Trust Reference Architecture” des Department of Defense oder das “Zero Trust Maturity Model” der Cybersecurity & Infrastructure Security Agency (CISA). Qualitativ gleichwertige Veröffentlichungen auf Deutsch sind den Autoren nicht bekannt.
Welche Sicherheitsmaßnahmen sollten Sie als erstes umsetzen?
Für die meisten Organisationen wird es sinnvoll sein, sich zu Beginn auf die Themen “Identitäten” und “Endgeräte” zu konzentrieren.
1. Identitäten
a. Die Authentifizierung aller Mitarbeitenden erfolgt über einen zentralen Identity Provider via Single Sign On.
b. Die Authentifizierung aller Mitarbeitenden erfolgt via Multi-Faktor-Authentifizierung (MFA).
c. Die MFA ist “phishing-resistant” (z.B. durch Verwendung von FIDO2-kompatiblen Security Keys).
2. Endgeräte
a. Alle Endgeräte sind in einem zentralen Asset Inventar erfasst.
b. Alle Endgeräte sind so in das zentrale Asset Management eingebunden, dass der Sicherheitszustand eines Endgerätes bei der Authentifizierung mit bewertet werden kann (Device Attestation).
Dies ermöglicht es Ihnen, Zugriffsentscheidungen sowohl abhängig von der Identität des Mitarbeitenden als auch vom Sicherheitszustand des Endgerätes zu treffen. Für einen der primären Angriffsvektoren sind Sie damit schon solide aufgestellt: Phishing. Setzen Sie FIDO2-basierte Authentifizierungsverfahren ein, scheitern aktuelle Phishing-Angriffe in einer frühen Phase. Andere MFA-Verfahren, insbesondere alle gängigen, App-basierten Verfahren, bieten diesen Schutz nicht. Ohne FIDO2-kompatible Security Keys wird die Device Attestation umso wichtiger: Nach einem erfolgreichen Phishing-Angriff würde der Zugriffsversuch von einem Endgerät kommen, das in der Regel nicht Bestandteil ihres Asset Inventars ist, und kann entsprechend erkannt und abgelehnt werden, obwohl durch den Angreifenden die korrekten Anmeldedaten verwendet wurden.
Ausblick
Handwerklich gut umgesetzt wird Zero Trust das Sicherheitsniveau von Organisationen nachhaltig verbessern. Verantwortliche sollten sich allerdings nicht von Marketing-Versprechen verlocken lassen, die zu gut klingen, um wahr zu sein. Wünschenswert wäre eine gute, deutschsprachige Informationsquelle zu Zero Trust, um die Umsetzung, gerade für kleine und mittelständische Unternehmen, zu erleichtern.