IT-Sicherheit: Vertrauen ist schlecht, Kontrolle ist besser

Im normalen Leben ist das Vertrauen in die Handlungen und Fähigkeiten unserer Mitmenschen eine überlebensnotwendige Fähigkeit. Im Umgang mit den komplexen Aufgaben in der IT-Sicherheit hat sich aber ein anderer Ansatz herauskristallisiert: Zero Trust, null Vertrauen. Ein Misstrauensvotum gegen die eigenen Mitarbeiterinnen und Mitarbeiter ist das aber nicht.

Dem Sicherheitsansatz Zero Trust liegt die Überlegung zugrunde, dass potenziell jeder Nutzer von IT Verursacher von Sicherheitsproblemen ist. Das kann daran liegen, dass jemand bewusst zum Beispiel Daten aus einem Unternehmen entwendet oder IT-Infrastrukturen kompromittiert. Sehr viel wahrscheinlicher ist aber, dass Mitarbeiterinnen oder Mitarbeiter eines Unternehmens fahrlässig handeln, weil sie zum Beispiel ihr Smartphone liegenlassen oder sorglos mit vertraulichen Informationen umgehen. Und am Ende werden viele Menschen schlicht Opfer von Cyberkriminellen, die sich über mehr oder weniger elaborierte Tricks und Methoden wie Phishing, Spear-Phishing oder Social Engineering Zugang zu fremden IT-Systemen verschaffen. Dazu kommt, dass die Vielzahl von Endpunkten – Computer, Tablets, Smartphones, aber auch Dinge im (Industrial) Internet of Things oder die Cloud – die Komplexität der IT drastisch erhöht, so dass einzelne Nutzer überhaupt nicht (mehr) in der Lage sind, alle Abhängigkeiten und Interaktionen von Geräten und Anwendungen zu überschauen und zu kontrollieren.

Zero Trust vertraut nicht darauf, dass irgendjemand in einem Unternehmen diese Komplexität beherrscht, nicht einmal die Administratoren. Schon deshalb ist das Konzept weniger ein Misstrauensvotum gegenüber den eigenen Beschäftigten, um sie von der übermenschlichen Last der Verantwortung für eine sichere IT zu befreien.

Sicherheit von Anfang an mitdenken

Die Grundregel für einen sicheren IT-Betrieb mit Zero Trust lautet „Security by Design“: Schon bei der Entwicklung und danach beim Ausrollen, Konfigurieren und Managen von IT-Lösungen sollten Sicherheitsmaßnahmen berücksichtigt werden. Daher sollten Organisationen zu Beginn eines jeden IT-Projekts ihre konkreten Ziele definieren, die dazugehörigen Applikationen bestimmen und in diesem Zusammenhang mögliche Bedrohungsszenarien und die Sensitivität ihrer Daten beurteilen.

Ein auf diese individuellen Anforderungen abgestimmtes Security Stack vervollständigt das Zero-Trust-Konzept. Mit Hilfe dieses mehrschichtigen Verbunds aus Sicherheitstechnologien und -tools sind externe Netzwerke genauso sicher wie interne. Bei der Auswahl eines passenden Security Stack müssen aber auch die üblichen Rahmenbedingungen wie Datenverfügbarkeit, Ausfallsicherheit und die monatlichen Basiskosten berücksichtigt werden.

Datenzugriff regeln

Unternehmen, die in ihrem IT-Betrieb auf Zero Trust setzen, verzichten auf die traditionelle Unterscheidung zwischen externem und internem Netzwerk. Stattdessen behandeln sie alle Dienste so, als befänden sie sich im Internet — und damit in einer prinzipiell für feindliche Angriffe offenen Umgebung. Das macht zum Beispiel VPN-Verbindungen („Virtual Private Network“) überflüssig, die von Angreifern mittels Malware leicht als Einfallstore in Firmennetze missbraucht werden können.

Bei Zero Trust regelt ein zentrales System mittels Zwei-Faktor-Authentifizierung (ZFA) den Zugriff auf die Applikationen und Datenspeicher. Bei ZFA kommen typischerweise zwei voneinander unabhängige Komponenten zum Einsatz: Nutzer ergänzen so zum Beispiel den Login am Computer mit einer biometrischen Kennung oder ein per SMS übermitteltes Token am Smartphone. Zudem wird der gesamte Datenverkehr nach außen durch eine Firewall und nach innen durch spezielle Sicherheitsrichtlinien geregelt. Diese Policies verweigern in einem beliebig differenzierbaren System sowohl einzelnen Mitarbeiterinnen und Mitarbeiter als auch nicht-autorisierten Systemen den Zugriff auf Datenbanken, Ordnerstrukturen oder Server – bis hin zu einzelnen Dateien.

Schlüssel digital verwalten

Damit ausschließlich berechtigte Instanzen auf IT-Ressourcen und -Dienste zugreifen können, muss eine Schlüssel- und Zertifikatsverwaltung (Certification Authority) implementiert sein. In der auf Zero Trust ausgerichteten Infrastruktur übernimmt diese Aufgabe ein Hardware-Sicherheitsmodul (HSM) — eine Art digitaler „Schlüsselkasten“. Hierbei handelt es sich um spezielle Peripheriegeräte, die über kryptographische Verfahren Schlüssel generieren und verwalten und sich außerhalb des Zugriffbereichs des Rechenzentrums befinden. Mit Hilfe eines HSM lassen sich Daten sicher verschlüsseln, denn ohne die vorherige Freigabe durch den Besitzer dieses Schlüsselspeichers können selbst administrative Mitarbeiter eines Providers nicht auf die Schlüsselverwaltung zugreifen.

Auch Zero Trust erfordert Vertrauen

So wirksam Zero Trust ist: Auch diese Methode hat Grenzen. In jedem Unternehmen gibt es Personen beziehungsweise Personengruppen, denen uneingeschränkt vertraut werden muss oder die qua Amt Zugriff auf sämtliche IT-Ressourcen und Assets haben: Geschäftsführer, Administratoren, aber immer auch einzelne Anwender in ihren Teilbereichen. Ganz ohne Vertrauen kommt auch Zero Trust also nicht aus. Dennoch wird der Ansatz, eben weil er die Mitarbeiterinnen und Mitarbeiter eines Unternehmens weitestgehend von ihrer objektiven und subjektiven Verantwortung für die IT-Sicherheit entlastet und stattdessen auf objektive Schutzmechanismen setzt, das Niveau der IT-Sicherheit auf ein neues Level heben können.

Autor: Mirko von Schlachta, Senior Manager, it-economics

Dieser Beitrag ist erstmalig auf www.digitale-exzellenz.de erschienen.