Wie Legacy-Tech Zero Trust untergräbt

Der US-Rüstungskonzern General Dynamics hat im Rahmen seines 2022 Zero Trust Research Report (PDF) 300 IT- und Programm-Manager in US-amerikanischen Bundes-, Zivil- und Verteidigungsbehörden befragt. Diese Institutionen waren mithilfe einer präsidialen Executive Order im Jahr 2021 dazu verpflichtet worden, ein Zero-Trust-Modell einzuführen. Bei der Frage nach den größten Hürden für dieses Unterfangen ergab sich folgendes Problem-Ranking:

1. behindernde Legacy-Technologien (58 Prozent)

2. das Ermitteln der benötigten Technologien (50 Prozent)

3. fehlendes Know-how unter den IT-Mitarbeitenden (48 Prozent) sowie

4. hohe Kosten (46 Prozent).

Vor solchen Herausforderungen stehen wohl nicht nur die IT-Abteilungen von US-Behörden. Auch die IT-Entscheider, die der Sicherheitsanbieter Optiv für seine Umfrage "Zero Trust Strategies for 2022" interviewt hat, nennen Legacy-Technologien als größte Herausforderung für ihre Zero-Trust-Roadmap. Etwa 44 Prozent der 150 Befragten aus verschiedenen Branchen gaben an, dass veraltete, nicht Zero-Trust-kompatible Systeme ein großes Hindernis darstellten.

Imran Umar, Senior Cyber Solution Architect beim Beratungsunternehmen Booz Allen Hamilton, kennt die Herausforderungen, die Legacy-Technologien bei der Verankerung eines modernen Sicherheits-Frameworks verursachen können: "Die eingesetzten Legacy-Technologien sind im Allgemeinen statisch und nicht für die dynamischen Regelsätze ausgelegt, die nötig sind, um Richtlinienentscheidungen durchzusetzen."

Zero Trust ist auf dem Vormarsch: Sicherheitsanbieter Okta kommt in seiner Studie "The State of Zero Trust Security 2022" zu dem Ergebnis, dass 97 Prozent der befragten großen Unternehmen entweder eine Zero-Trust-Initiative gestartet haben oder das in den kommenden zwölf bis 18 Monaten planen. Zur Einordnung: Im Jahr 2018 lag der Anteil dieser Firmen bei 16 Prozent. Weil das Interesse also rasant wächst, dürften Legacy-Technologien künftig die Pläne mancher Unternehmen, die Zero-Trust-Methoden implementieren und weiterentwickeln wollen, durchkreuzen.

Perimeter-Zeitalter vs. Zero-Trust-Strategie

Der Zero-Trust-Ansatz macht Schluss mit dem bisherigen Ansatz des impliziten Vertrauens. Theoretisch bedeutet das, keinem Benutzer, Gerät oder Verbindung zu vertrauen, bis diese/r/s sich als vertrauenswürdig erwiesen hat. Zero Trust geht davon aus, dass alle Benutzer, Geräte und Softwaresysteme durch verschiedene Mechanismen überprüft werden müssen, bevor sie sich mit der IT-Umgebung des Unternehmens verbinden. Darüber hinaus verlangt Zero Trust, dass diese Benutzer, Geräte und Softwaresysteme dieses Vertrauen immer wieder neu aufbauen, wenn sie nach dem ersten Zugang zur IT-Umgebung des Unternehmens auf Netzwerke und Systeme sowie auf Unternehmensdaten zugreifen wollen.

Das ist zumindest die Theorie. Denn in der täglichen Praxis sind diese Grundsätze nur schwer umsetzbar. Was den Bogen zurück zur Legacy-Technologie schlägt, die zum Hindernis werden kann, wenn es darum geht eine Zero-Trust-Technologie zu implementieren. Das ist auch deswegen der Fall, weil die Praktiken und Technologien, mit denen der autorisierte Zugriff überprüft beziehungsweise eingeschränkt wird, oft nicht ohne weiteres Zero-Trust-kompatibel sind. "Zero Trust ist der Weg, den Unternehmen einschlagen sollten, aber das wird nicht einfach", warnt Tony Velleca, CISO beim Softwareanbieter UST.

Zero Trust ersetzt das traditionelle Sicherheitsmodell der Verteidigung am Perimeter. Erfahrene CISOs wissen: Die bisherige Verteidigungsstrategie errichtete im Grunde eine Mauer um die IT-Umgebung des Unternehmens, um die Außenwelt auszusperren. Jeder der sich innerhalb dieser Mauern befand, genoss umfassenden, manchmal sogar nahezu unbegrenzten Zugriff. Dieser technische Schutzwall ist aufgrund verschiedener Faktoren - vom Aufstieg der Cloud bis hin zum Remote-Work-Shift - nicht mehr ausreichend. Stattdessen zielt Zero Trust darauf ab, autorisierten Zugriff zur richtigen Zeit nur auf die benötigten Systeme und Daten zu gewähren. Dahinter steht also ein granularer Ansatz für Benutzer, Geräte und Verbindungen. Dazu setzt Zero Trust Richtlinien und Technologien ein.

Zu den wichtigsten Tools, die Zero Trust unterstützen und ermöglichen, gehören Softwarelösungen aus den Bereichen:

• Identity und Access Management (IAM),

• User and Entity Behavior Analytics (UEBA) und

• Mikrosegmentierung.

Zero-Trust-Befürworter sehen in diesem Ansatz die beste Möglichkeit, autorisierten Zugriff und Schutz gegen externe Angreifer zu kombinieren. "In allen Unternehmen besteht derzeit der ausdrückliche Wunsch, auf eine Zero-Trust-Architektur umzusteigen, weil sich so laterale Bewegungen im Netzwerk verhindern lassen", beobachtet Christine C. Owen, Director Cybersecurity bei der Unternehmensberatung Guidehouse. Das größte Problem besteht aus ihrer Sicht darin, dass die Altsysteme mit den Zero-Trust-Methoden nicht zusammenpassen.

Softwarespezialist Umar verweist als Beispiel auf ältere Netzwerkgeräte, die stark auf statische Layer-4-Zugriffskontrollregeln angewiesen sind, um den Zugriff auf eine Ressource zu erlauben oder zu verweigern. Diese Struktur stehe im Gegensatz zu einer modernen Zero-Trust-Architektur, bei der die Zugriffsentscheidungen auf dynamischen Regelsätzen wie dem Standort des Benutzerzugriffs, der Gerätekonformität und der Benutzeridentität beruhten. "Legacy-Technologien bieten zudem nur begrenzten Support für Conditional Access - ein wesentlicher Zero-Trust-Enabler", fügt er hinzu.

Darüber hinaus haben viele Unternehmen aus Expertensicht Schwierigkeiten damit, die Daten in ihren Legacy-Systemen zu identifizieren und zu klassifizieren, um geeignete Zugriffskontrollen einrichten zu können. "Diese Systeme können eine Blackbox sein", warnt Ashish Rajan, Cyberspezialist und Ausbilder beim SANS Institute. "Das behindert wichtige Zero-Trust-Komponenten wie Mikrosegmentierung und kontextabhängigen Zugriff."

Noch komplizierter wird das Szenario laut Cybersecurity-Expertin Owen, wenn Unternehmen Zero Trust und Altsysteme zusammenzubringen versuchten und dabei Performance- und User-Experience-Probleme in Kauf nähmen. "Ich habe festgestellt, dass Zero Trust zu Reibungsverlusten führen kann. Unternehmen müssen entscheiden, ob sie die auf sich nehmen wollen. Dazu kommt: Sobald Sie eine neue Zero-Trust-Architektur aufbauen, müssen sie damit rechnen, dass Dinge kaputtgehen."

All diese Probleme machten es den Betrieben schwer, den richtigen Einstieg zu finden, meint Torsten Staab, Chief Innovation Officer beim Luftfahrt- und Rüstungskonzern Raytheon Technologies. Dennoch warnt er Sicherheitsentscheider davor, sich von solchen Schwierigkeiten aufhalten zu lassen: "Es gibt Einschränkungen, aber auch Möglichkeiten, Zero Trust in solchen Legacy-Umgebungen umzusetzen.

Zero Trust in Phasen

Der Schlüssel zum Erfolg liegt darin herauszufinden, welche Zero-Trust-Komponenten am einfachsten in Betrieb genommen werden können und damit zu beginnen. "Zero Trust, egal ob in Zusammenhang mit Legacy-Systemen oder nicht, ist ein iterativer Ansatz. Bei der Zero-Trust-Sicherheit geht es um mehrere Ebenen, nicht nur um eine", sagt Staab. "Beginnen Sie also mit einer Stufe und bauen Sie dann weitere Funktionen aus. Zum Beispiel sind Sicherheitsteams oft in der Lage, eine MFA-Lösung ohne Komplikationen auf Legacy-Systeme zu übertragen."

Und Umar appelliert: "Auf dem Weg zu Zero-Trust muss ein Unternehmen zuerst den Reifegrad seiner aktuellen Umgebung bewerten, seine Fähigkeiten ermitteln und dann eine Zielarchitektur und eine Roadmap zur Erreichung dieses Ziels entwickeln." Der Weg zu Zero Trust erfordere einen Plan zur Integration von Legacy-Technologien in die neue Architektur. Schließlich müssten deren Einschränkungen in Sachen Zugriffskontrolle durch neuere Technologien ausgeglichen werden.

All diese Maßnahmen sind natürlich auch mit Kosten verbunden. Die Finanzierung von Zero-Trust-Projekten ist eine weitere Hürde, mit der sich CISOs konfrontiert sehen. An dieser Stelle gilt es, gemeinsam mit den C-Level-Kollegen die Umgebungen zu ermitteln, die die größten Risiken darstellen. Anschließend können Sie berechnen, wie viel die Umstellung auf Zero Trust kosten wird und ob sich das am Ende rechnet. In dieser Hinsicht unterscheidet sich Zero Trust also nicht wesentlich von anderen sicherheitsstrategischen Entscheidungen.

Staab empfiehlt Entscheidern sehr bewusst vorzugehen: "Man muss nicht alles auf einmal machen. Niemand erwartet, dass alles sofort perfekt läuft. Ein Perimeter-basierter Sicherheitsansatz ist allerdings überholt und muss durch Zero Trust ersetzt werden. Alles ist machbar - aber man muss dazu bereit sein." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.