Brauchen wir eine Zero-Trust-Strategie?

Angesichts der eben skizzierten Angriffe reicht dies natürlich nicht mehr aus. Vertrauen ist gut, Kontrolle ist besser! Um die Notwendigkeit eines soliden Misstrauens als integralen Bestandteil der Informationssicherheit sichtbarer zu verankern, wurde vor einigen Jahren von Forrester der provokative Begriff Zero Trust geprägt. Kernelemente des Zero-Trust-Paradigmas sind dabei bis heute [1]:

• Explizite Prüfung: Jeder Zugriffsversuch auf die IT sollte hinsichtlich der Identität des Zugreifenden, der Systeme und Netze, über die der Zugriff erfolgt, sowie des Ziels und Zwecks des Zugriffs hinsichtlich einer möglichen Bedrohung analysiert und bewertet werden.
• Beschränkung der Zugriffsrechte auf das Nötigste: Zugriffsrechte sollten auf Anwendungs-, System- jedoch auch auf Netzebene auf das Nötigste beschränkt werden.
• Angriffe als Normalzustand: Ein Angriff sollte nicht als Ausnahmezustand, sondern als Normalfall gesehen und ein entsprechendes anwendungs- und systemübergreifendes Security Monitoring in Verbindung mit einer möglichst kontinuierlichen Reaktionsbereitschaft etabliert werden.

Interessanterweise sind dies Elemente, die in einem gewissen Umfang auch seit Jahren praktisch von jedem Information Security Information Management System (ISMS) reflexartig gefordert werden, ob sehr allgemein gehalten nach ISO 27001 oder sehr detailliert nach BSI IT-Grundschutz. Entsprechende Sicherheitskomponenten mit Anomalie-Erkennung (z.B. Next Generation Firewalls, Web Application Firewalls, Secure Web Gateways oder Secure Email Gateways) ergänzt um ein intelligentes Security Monitoring mit (automatisiertem) Schwachstellen-Scanning und Security Information and Event Management (SIEM) sind inzwischen Best Practice.

Trotzdem besteht Handlungsbedarf. Denn eigentlich sollten sich doch mit einer immer stärkeren Etablierung eines ISMS und einer entsprechenden operativen Informationssicherheit in den verschiedenen Institutionen die Schadensstatistiken von Angriffen und speziell Schadsoftware über die Jahre automatisch signifikant verbessern. Das ist aber anscheinend nicht so richtig der Fall, wie beispielsweise mit dem jährlichen Bericht des BSI zur Lage der IT-Sicherheit in Deutschland leicht nachvollzogen werden kann [2].

Das Definieren eines Begriffs wie „Zero Trust“ ist offensichtlich nur das eine, das vielleicht mit wenigen Zeilen Text auskommt, die nachhaltige Umsetzung des Begriffs jedoch ein ganz anderes Kapitel. Notwendig ist als Bestandteil des ISMS einer Institution ebenfalls eine langfristige Zero-Trust-Strategie und zugehörige Architektur, die als treibende Kraft und roter Faden für die Umsetzung dienen. Wichtig ist dabei, dass die Strategie ganzheitlich alle Bereiche der IT berücksichtigt, d.h. Identitäten, Anwendungen, Endgeräte, Netze und Plattformen sowohl auf Ebene der produktiven IT-Nutzung als auch im Kontext von Entwicklung / Test sowie Administration und Monitoring. Dabei können in der Strategie auch konkrete Hinweise zur Dosierung gegeben werden, mit der Zero Trust über die nächsten Jahre weiter umgesetzt werden soll. Bei der Netzsegmentierung ist z.B. die Frage der Mikrosegmentierung mehr als aktuell, und dieser Punkt könnte in der Zero-Trust-Strategie sogar explizit angesprochen werden. Ähnliches gilt im Security Monitoring: Bei einer SIEM-Lösung besteht neben der Frage der Breite und Tiefe der Analyse insbesondere die Frage, inwieweit man die Möglichkeit nutzt, automatisiert durch das SIEM Aktionen anzustoßen (Security Orchestration, Automation and Response, SOAR). Hier geht es ebenfalls um eine strategische Richtungsentscheidung, die sich durchaus in der Zero-Trust-Strategie verankern lässt.

In diesem Zusammenhang ist eine aktuelle Nachricht von Microsoft erwähnenswert. Microsoft gehört seit Jahren zu den Unternehmen mit einer ausgeprägten Informationssicherheit, die sowohl in der Produktentwicklung mit dem Security Development Lifecycle (SDL) als auch in Provisionierung und Betrieb der Anwendungen und Dienste (z.B. ISO 27001, ISO 27017, BSI C5 und Co.) verwurzelt ist. Trotzdem hat es auch Microsoft im Rahmen des SolarWinds-GAU unlängst erwischt [3]. Die Analyse des Vorfalls hatte als interessante Konsequenz die strategische Entscheidung für eine noch stärkere Konzentration auf Zero Trust. Microsoft hat hierzu eine entsprechende Umsetzungsstrategie veröffentlicht [4].

Zero Trust hat sich also insgesamt als ein entscheidender Paradigmen-Wechsel erwiesen. Auch wenn der Name provokativ scheint, das Grundkonzept wird künftig nicht nur unsere Informationssicherheit, sondern unsere gesamte IT nachhaltig prägen.

Verweise

[1] Siehe z.B. https://www.microsoft.com/security/blog/2021/01/19/using-zero-trust-principles-to-protect-against-sophisticated-attacks-like-solorigate/
[2] Siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.html
[3] Siehe https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/
[4] Siehe https://docs.microsoft.com/de-de/security/zero-trust/