Kommentar
Zero Trust tut weh - und das ist gut so!
Foto: chaiyapruek youprasert - shutterstock.com
Ende letzten Jahres hörte ich von einem befreundeten Manager von einem großen Security-Problem in seinem Unternehmen. Dieses hatte drei Sicherheitsebenen eingezogen und gerade einen Audit abgeschlossen. Dabei kam ans Licht, dass seit dem Abschluss der Installation fünf Sicherheitsvorfälle aufgetreten waren, die das Gros der Schutzmaßnahmen umgehen konnten. Was dieses Unternehmen erlebt hat, ist alles andere als selten - die Ursachen der Probleme sind komplex, die Wege zur Behebung ebenfalls alles andere als einfach.
Wir neigen dazu, Sicherheit als einen Zielzustand zu betrachten, der mit einem Toolkit zu erreichen ist. Dem ist nicht so. Sicherheit ist viel mehr der Zustand, den man idealerweise erreicht, wenn man sich mit allen potenziellen Bedrohungen auseinandersetzt und jede auf ihre ganz eigene Art und Weise angeht.
Probleme können dadurch entstehen, dass sich kriminelle Hacker von außen Zugang zu einer Anwendung oder Datenbank verschaffen, etwa mit Hilfe gestohlener Anmeldedaten oder indem sie schwache Authentifizierungsmechanismen ausnutzen. Security-Probleme können auch von Exploits ausgehen, bei denen Fehler in einem Programm (einer Anwendung, Middleware oder einem Betriebssystem) missbraucht werden. Schließlich können sie auch durch Malware entstehen, die auf irgendeine Weise eingeschleust wird. Angriffe, die alle drei Aspekte miteinander kombinieren, treten immer häufiger in Erscheinung.
3 Regeln für den Security-Fokus
Um sich gegen erstgenanntes Sicherheitsprobleme zu wappnen, haben viele Unternehmen (wie auch mein eingangs erwähnter Kontakt) vor allem die Sicherheit am Netzwerkrand in den Fokus gerückt. Dabei werden die beiden letztgenannten Probleme leider oft übersehen - oder besser gesagt, unterschätzt. Sie zu beheben oder anzugehen, erfordert nicht, das Konzept der Perimetersicherheit über Bord zu werfen, sondern sich mit allen möglichen Problemquellen zu beschäftigen. Die folgenden drei Regeln helfen Ihnen dabei, Ihren Sicherheitsfokus zu schärfen:
Regel 1: Es nützt nichts, eine Mauer zu bauen, wenn man anschließend das Tor offen lässt. Die meisten Unternehmen schützen die Geräte ihrer Mitarbeiter viel zu lasch und allzu oft entstehen Probleme durch einen infizierten Laptop. So auch im Fall meines Bekannten: In diesem Fall bedeutete Remote Work, den VPN-Zugang des Unternehmens auf Geräte auszudehnen, die nicht nur ungesichert - sondern nicht einmal inspiziert waren. Wenn möglich sollten Arbeitsgeräte nicht für private Zwecke verwendet werden - und umgekehrt.
Regel 2: Latein lernen. Oder zumindest die Phrase "Quis custodiet ipsos custodes". Bedeutet frei übersetzt: "Wer bewacht die Wächter?" Überwachungs-, Verwaltungs- und sogar Sicherheitstools haben oft privilegierten Zugriff auf Ressourcen und Anwendungen. Allein in den letzten sechs Monaten gab es zwei aufsehenerregende Fälle im Zusammenhang mit der Kompromittierung solcher Tools: der Solarwinds-Hack und die Java-Schwachstelle Log4j. Diese Vorfälle zeigen, dass uns die Dinge, die wir für den Betrieb unserer Netzwerke, Anwendungen und Rechenzentren benötigen, auf die Füße fallen können. Umso wichtiger ist es deshalb, auf Details und ungewöhnliche Verhaltensmuster zu achten.
Regel 3: Software-Updates. Die Aktualisierung von Software ist der Schlüssel zur Anwendung von Regel 1 und 2 - stellt allerdings für Unternehmen oft ein Problem dar. Die Aktualisierung von Desktop-Software ist immer eine Herausforderung - besonders aber in Remote-Work-Szenarien. Eine Kombination aus zentralisiertem Software-Management und planmäßiger Überprüfung der Versionen auf den Heimsystemen kann an dieser Stelle helfen. Geht es um Operations Tools, sollten Sie sich nicht dazu verleiten lassen, Versionen von Open-Source-Tools zu überspringen: Es ist ratsam, eine Versionsüberprüfung kritischer Betriebssoftware in Ihr Gesamtprogramm zur Softwareverwaltung aufzunehmen und neue Versionen mindestens alle sechs Monate unter die Lupe zu nehmen.
Trotz alledem ist es unrealistisch anzunehmen, dass ein Unternehmen alle möglichen Bedrohungen durch verschiedene böswillige Akteure vorhersehen kann. Das am wenigsten genutzte Sicherheitsprinzip ist, dass sich bösartiges Verhalten verhindern lässt, indem man gutartiges Verhalten versteht. Auf verschiedene Verhaltensmuster zu achten, ist genau das, worum es bei Zero Trust geht - eigentlich. Leider wird der Begriff allerdings oft missbräuchlich beziehungsweise in falschem Zusammenhang verwendet.
Was Zero Trust wirklich bedeutet
Es gibt letztendlich nichts Einfacheres, als ein Produkt oder einen Service mit einem kundenwirksamen Etikett zu versehen. Wenn Sie einmal recherchieren was eine Zero-Trust-Lösung genau ist, stellen sie fest, dass über die Definition derzeit kein Konsens herrscht.
Ich habe besagten Bekannten gefragt, auf wie viele Anwendungen ein durchschnittlicher Mitarbeiter zugreifen kann - das Unternehmen war nicht in der Lage, diese Frage zu beantworten. Woher sollte das Unternehmen also wissen, ob der Mitarbeiter oder jemand, der mit seinem Laptop arbeitet, Daten stiehlt oder den Betrieb beeinträchtigt? Da niemand genau wusste, was erlaubt war, konnte auch niemand erkennen, was nicht erlaubt war. Genau an dieser Stelle setzt Zero Trust an: Ein solches System geht per se davon aus, dass es kein implizites Recht auf den Zugriff zu irgendetwas gibt. Verbindungsrechte sind explizit, nicht permissiv - und das ist die Eigenschaft, die sowohl für die Zero-Trust-Sicherheit als auch für das Behavior Monitoring entscheidend ist.
Die zulässige Konnektivität für jeden Mitarbeiter sowie die Verbindungsanforderungen für Verwaltungs- und Betriebssoftware sowie Middleware zu definieren, ist eine echte Herausforderung. Das ist auch der Grund dafür, dass ein echter Zero-Trust-Ansatz in vielen Unternehmen nicht greift und Anbieter Produkte mit "Interpretationsspielraum" als Zero Trust etikettieren. Die bittere Wahrheit ist: Ja, Zero Trust bedeutet Arbeit und Aufwand. Und nein, das lässt sich nicht vermeiden. Denn selbst wenn die eben genannten Herausforderungen gemeistert sind, ist der Schmerz noch nicht vorbei.
Ein Zero-Trust-System muss Versuche, nicht autorisierte Verbindungen herzustellen, erkennen und protokollieren. Tatsächlich ist es diese Funktion, die Zero Trust so wichtig macht. In einem guten Zero-Trust-System werden diese Erkundungen erkannt und protokolliert, wodurch auffällt, dass etwas nicht stimmt. Sofortiges Handeln kann dann unter Umständen massive Schäden verhindern.
Der beste Weg, ein von einem Anbieter empfohlenes Zero-Trust-System zu überprüfen: Sehen Sie sich an, wie es angewendet wird:
Das Zero-Trust-System sollte einen hierarchischen Rahmen für die Zuweisung von Verbindungsrechten unterstützen.
Zudem sollten protokollierte Ausnahmen so gespeichert werden, dass traditionelle Analyse- oder auch KI-Tools sie auf Muster untersuchen können.
Das sollte Ihnen den Schweiß auf die Stirn treiben, denn Produkte (auch wenn Zero Trust kein Produkt im eigentlichen Sinne ist), die Ihnen nicht viel abverlangen, werden Ihnen wahrscheinlich auch wenig bringen.
Die Erstellung von Verbindungsberechtigungen und Ausnahmeprotokollen ist für die Sicherheit von entscheidender Bedeutung, daher sollten Sie diese Funktionen nicht vernachlässigen, nur um es sich leicht zu machen. Sicherheit ist schwierig, aber die Behebung von Sicherheitsvorfällen noch schwieriger. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.