Zero Trust
Überhaupt kein Vertrauen ist auch keine Lösung
Die scheinbare Einfachheit des „Zero Trust“-Ansatzes ist verlockend. Allerdings findet das Konzept in einem komplexen Umfeld Anwendung. Wie Risikoverringerung mittels Zero Trust trotzdem funktionieren kann und welche Rolle der Umgang mit „implizitem Vertrauen“ dabei spielt.
„Zero Trust“ hat sich in den letzten Monaten zu einem der bestimmenden Schlagworte in der Cybersicherheit entwickelt. Dies hat mehrere Gründe: Zum einen erhält es das Wort „Zero“, das in der Welt der Informationssicherheit eine gewisse Geschichte hat, wenn wir beispielsweise an Zero-Day-Schwachstellen denken. Zum anderen ist es ein einfacher und einprägsamer Begriff, der sich ausgezeichnet für das Produktmarketing eignet. Der Verkauf von „Zero Trust“ als Lösung suggeriert, dass alle Probleme einfach verschwinden und alles ganz einfach wird, sobald man sich keine Sorgen mehr um Vertrauen machen muss. Und genau das ist das Ärgerliche an dem Begriff: Verwendet man ihn als Produkt oder Substantiv ist er ein falsches Versprechen: Realistisch betrachtet kann es niemals ein Umfeld ohne Vertrauen geben. Null Vertrauen würde schlicht dazu führen, dass es keine Interaktionen mehr gibt – und das will wirklich niemand. Jedes vernetzte Unternehmen braucht ein gewisses Maß an Vertrauen, um zu funktionieren.
Was die meisten Leute also meinen, wenn sie heute von „Zero Trust“ sprechen, ist in Wirklichkeit die Beseitigung des impliziten Vertrauens, weil genau dieses in der Regel ausgenutzt wird. Das klassische Beispiel dafür ist ein VPN. Externe Mitarbeiter verbinden sich mit einem VPN, erhalten eine IP-Adresse in dem anderen Netz und können dann überall hingehen, wo ihnen dieses Netz den Zugang erlaubt. Es handelt sich hierbei um ein großes Maß impliziten Vertrauens, das auch gerne von Angreifern ausgenutzt wird. Entsprechend erscheint es sinnvoll, über neue Wege zur Verringerung der Risiken nachzudenken, die derzeit aufgrund von zu viel implizitem Vertrauen bestehen. Eine reflexartige Reaktion in die entgegengesetzte Richtung einer „Kein-Vertrauen-für-niemand-und-nichts“-Sperre erscheint hierbei jedoch nicht zielführend.
Kontext ist der neue Perimeter: Kontinuierliches und adaptives Vertrauen
Wenn wir über Zero-Trust-Netze nachdenken und das implizite Vertrauen, das mit einer IP-Adresse einhergeht, aufheben und stattdessen die Prinzipien des kontinuierlichen und adaptiven Vertrauens anwenden, sind wir in der Lage, den Menschen nur genau den Zugang zu ermöglichen, den sie benötigen, und zwar auch nur wann sie ihn benötigen. Mitarbeiter müssen mit Ressourcen und Daten interagieren. Allerdings darf diese Interaktion nicht auf „alles oder nichts“ hinauslaufen. Moderne Sicherheitssysteme sollten uns in die Lage versetzen, kontinuierlich zu bewerten, wie viel Vertrauen einem Nutzer bei jeder Interaktion entgegengebracht werden sollte, und zwar auf der Grundlage einer Vielzahl von Kontextfaktoren. Dabei geht es nicht nur darum, wer der Benutzer ist, sondern auch um Variablen wie die Qualität seines Geräts, seinen Aufenthaltsort und die Sensibilität der angeforderten Daten.
Seit einiger Zeit hört man, dass die Nutzeridentität der neue Perimeter sei. Jedes Projekt, das darauf abzielt, implizites Vertrauen zu verringern, beginnt mit einer soliden Grundlage für das Identitäts- und Zugriffsmanagement (IAM). Allerdings ist die Identität nur ein Punkt in einer Reihe von Kontextelementen, die für eine effektive Bewertung und Gewährung von Vertrauen erforderlich sind. Die Identität ist allgegenwärtig. Wir können leicht feststellen, wer der menschliche Nutzer ist. Wir wissen fast immer, um welches Gerät es sich handelt, solange es eine eigene Identität besitzt, die wir überprüfen können. Ebenso wissen wir, welche Anwendungen und Dienste beteiligt sind, da sie ebenfalls über Identitäten verfügen. Aber es reicht nicht aus, dass ich mich nur bei einer Anwendung authentifiziere. Die Anwendung muss sich auch mir gegenüber authentifizieren. Nur so kann ich sicherstellen, dass ich mit der richtigen Anwendung und nicht etwa einer gefälschten Seite interagiere. Dies entspricht der Idee von Identifizierung und gegenseitiger Authentifizierung.
Deshalb wird der Kontext zum neuen Perimeter. Wenn wir alle kontextbezogenen Informationen, die eine Interaktion umgeben, betrachten können, sind wir in der Lage, eine intelligente Entscheidung darüber treffen, wie viel Vertrauen wir unter bestimmten, bestätigten Umständen gewähren sollen. Gleichzeitig müssen wir in der Lage sein, diese Bedingungen kontinuierlich zu bewerten. Wenn sich etwas im Kontext ändert, muss sich möglicherweise auch der Vertrauensgrad der Interaktion ändern. So darf beispielsweise ein Administrator unter „normalen“ Umständen (wie Zeit, Ort und Gerät) auch eher ungewöhnliche Admin-Aktionen durchführen. Er verfügt jedoch nicht implizit die ganze Zeit über Administratorrechte, sondern erhält erhöhte Berechtigungen nur dann, wenn er sie in risikoarmen Kontexten ausführt.
Ein anderes Beispiel: Ein Mitarbeiter hält sich in einer als riskant eingestuften Region auf. Wenn die Interaktion des Benutzers mit relativ harmlosen Daten beginnt, ist das in Ordnung. Wenn er dann aber mit Daten interagiert, bei denen es sich um vertrauliches geistiges Eigentum handelt, wird der Zugriff auf der Grundlage seines Standorts auf den Lesezugriff in einem Browser eingeschränkt oder komplett gesperrt.
Auf dem Weg zur personenzentrierten Sicherheit
Der klassische Perimeter ist tot. In einer modernen, hypervernetzten Welt gibt es nicht mehr ein einziges Datenzentrum, sondern viele „Datenzentren“. Wir müssen Mechanismen implementieren, die automatisch gerade so viel Vertrauen zuweisen können, wie für die jeweilige Situation erforderlich ist. Die Richtlinien sollten den Daten folgen, egal wohin sie gehen, und sie sollten darauf abzielen, den größtmöglichen Zugriff im Rahmen der Geschäftsanforderungen zu bieten.
Die scheinbare Einfachheit des „Zero Trust“-Ansatzes ist sicherlich verlockend. Allerdings muss das Konzept in einem Rahmen angewandt werden, der ein wenig komplexer ist. Dadurch wird es auch in der Praxis anwendbar und trägt wesentlich zur Risikoreduzierung bei. Wenn es richtig implementiert wird, bietet ein kontinuierliches adaptives Vertrauensmodell einen wirklich personenzentrierten Sicherheitsansatz, der den richtigen Personen zur richtigen Zeit das richtige Maß an Zugriff auf die richtigen Informationen gewährt.
Lesen Sie mehr zum Thema
