Was beim Einstieg in Zero Trust beachtet werden sollte, schildert Etay Maor, Senior Director of Security Strategy – Cato Networks , in einem Gastbeitrag.
Autor: Etay Maor, Senior Director of Security Strategy – Cato Networks
Eine der Positionen, die sich im Zuge der Pandemie verändert haben, ist die des Chief Information Security Officer (CISO). Zuvor bestand seine Aufgabe darin, das Informationssicherheitsprogramm eines Unternehmens zu entwickeln und umzusetzen, den Cybersicherheitsstatus aufrechtzuerhalten und Sicherheitsprodukte und -dienstleistungen einzukaufen. Und schließlich zählen Incident-Response-Planung und Business Continuity zu den Aufgabenfeldern eines CISO. Die beschleunigte Digitalisierung hat jetzt dafür gesorgt, dass sich diese Rolle entsprechend weiterentwickelt.
Digitalisierungsprojekte, die bisher meist als zwei- bis dreijährige Prozesse angelegt waren, mussten, angetrieben durch den Bedarf and Remote-Working-Modellen plötzlich nach drei bis vier Monaten zur Verfügung stehen. Genauso schnell erkannten CISOs, dass herkömmliche Sicherheitsarchitekturen, insbesondere VPNs, nicht mehr ausreichen, wenn nur autorisierte Benutzer Zugang zu kritischen Ressourcen haben sollen. All das stärkt die Rolle eines CISO innerhalb des Unternehmens. Mit der wachsenden Zahl der Bedrohungen wächst der Grad an Verantwortung ebenso wie der Bedarf, Sicherheitsrichtlinien und -strategien weiterzuentwickeln, um der aktuellen Bedrohungslandschaft gerecht zu werden. Im Gegenzug muss der Zugang zu kritischen Daten streng kontrolliert werden.
Einstieg in Zero Trust
Immer mehr Firmen stellen auf Work-from-anywhere-Modelle (WFA) um. Damit ist
Zero Trust für jeden CISO extrem wichtig geworden. Denn Zero Trust schreibt fest, dass alle Geräte, ob intern oder extern, ob in der Cloud, in Zweigstellen oder Rechenzentren, authentifiziert, autorisiert und validiert werden müssen, bevor Geräte oder Nutzer auf wichtige Daten zugreifen dürfen. Dadurch will man einen soliden Rahmen für den Aufbau einer ganzheitlichen Sicherheit innerhalb des digitalen Zeitalters und den damit verbundenen Daten schaffen. Zero Trust eignet sich besonders gut für moderne digitale Infrastrukturen, weil das Konzept auch WFA-Mitarbeiter, Lieferketten, hybride Cloud-Umgebungen und sich weiterentwickelnde Bedrohungen berücksichtigt. Trotzdem sollte man Zero Trust nicht als eigenständige Produktlösung betrachten, die man einfach implementiert. CISOs sollten dazu die drei wichtigsten Sicherheitsstandards berücksichtigen: Forrester ZTX, die Gartner Carta und die des National Institute of Standards and Technology (NIST) SP-800-207.
NIST anwenden
NIST ist das am weitesten verbreitete Rahmenwerk, um Cybersicherheitsrisiken zu senken
Im Wesentlichen befassen sich die Vorgaben mit zwei Schlüsselfunktionen: der Daten- und der Kontrollebene. Die Datenebene fungiert als Datensammler aus zahlreichen Quellen, darunter Anwendungsdaten, Informationen über Endgeräte der Nutzer, die Benutzeridentität usw. Die Kontrollebene ist hingegen das Gehirn des Modells. Hier werden die Entscheidungen darüber getroffen, was als gut, schlecht oder klärungsbedürftig betrachtet wird. Diese Ebenen greifen ineinander und ermitteln so, welche Benutzer und Geräte welche Zugriffsberechtigungen brauchen und bekommen. Dazu sollte man stets den Kontext berücksichtigen, weil er solche Entscheidungen beeinflusst und diese jederzeit praktikabel, effektiv und skalierbar sein müssen. Außerdem sollte man bedenken, dass die Datenflüsse in kaum einem Unternehmen identisch sind, ebenso wenig wie die damit verbundenen Sicherheitsbedenken. Der Kontext ist also für jedes Unternehmen unterschiedlich. Je mehr von diesen Kontextinformationen einem Zero Trust-Modell zur Verfügung stehen, desto besser funktioniert die Implementierung.
Die 5 häufigsten Fallstricke in Sachen Zero Trust
Fakt ist, dass Zero Trust ein Konzept ist, das immer noch missverstanden wird. Das führt nicht selten zu Strategien, die den Sicherheitsanforderungen eines Unternehmens nicht unbedingt gerecht werden. Laut Gartner definiert Zero Trust „wichtige Sicherheitsziele“ dadurch, dass es das implizite Vertrauen in IT-Architekturen ad acta legt. CISOs sollten deshalb bei ihrer Zero-Trust-Strategie bestimmte Überlegungen anstellen, um die folgenden Tücken auszuschließen:
- Schlüsselkomponenten für Zero Trust werden nicht berücksichtigt
So simpel es klingt, es passiert, dass CISOs versehentlich den Hauptzweck von Zero Trust außer acht lassen und wichtige architektonische Komponenten übersehen. Die Terminologie sollte allgemeingültig sein, um eine bessere Sicherheitsarchitektur zu unterstützen und zu gewährleisten, dass die Strategien im gesamten Unternehmen übereinstimmen. Das gilt insbesondere für allzu freizügig vergebene Zugangsberechtigungen, die nur zu mehr Sicherheitsrisiken führen.
Die folgenden Zero-Trust-Komponenten sollten Sie auf keinen Fall außer Acht lassen:
- Implementierung einer dynamischen Richtlinie, die den Zugang zu Ressourcen festlegt. Bei der Entscheidung, ob der Zugang gewährt oder verweigert wird, stehen die Verhaltensmerkmale von Nutzern und Geräten im Mittelpunkt. Das können auch Untergruppen von Merkmalen wie Standort, Gerätestatus, Datenanalyse und Nutzungsmuster sein. Unternehmen sollten berücksichtigen, ob sich der Nutzer an einem Standort mit eingeschränktem Zugriff befindet und ob Nutzer- und Geräteanmeldedaten korrekt verwendet werden. Das alles hilft bei der Entscheidung, ob ein Zugang gewährt wird oder nicht.
- Kontinuierliche Überwachung und Bewertung im Sinne von „Never trust, always verify.“ Alle risikobehafteten Geräte sollten dementsprechend behandelt werden. Und das auch, um den Zugang einzuschränken oder gänzlich zu verweigern.
- Segmentierung und Umsetzung des Least-Privilege-Prinzips. So etwas wie „blindes Vertrauen“ sollte es gar nicht geben. Dies bedeutet aber auch, dass keiner der Mitarbeiter, Auftragnehmer und Partner innerhalb der Lieferkette pauschal Zugang zu allen Ressourcen und Standorten bekommt. Tatsache ist nämlich, dass nur ein minimaler Zugriffsumfang erforderlich ist, um die Produktivität zu gewährleisten. Im Umkehrschluss begrenzt die Maßnahme den potenziellen Schaden und die Wahrscheinlichkeit von Sicherheitsverstößen.
- Für den optimalen und effektiven Zero-Trust-Einsatz ist der Kontext entscheidend. Damit die Lösung fundierte Entscheidungen über die Zugriffsberechtigungen von Nutzern und Geräten treffen kann, sollten Unternehmen eine Vielzahl von Daten sammeln. Je mehr Daten (also Kontext) vorhanden sind, desto besser die Entscheidungen. Und desto höher ist letzten Endes der Sicherheits-Level insgesamt.
- Mit Zero Trust umgehen wie in einem herkömmlichen VPN
Im Jahr 2021 stellte Gartner fest, dass einige Firmen ihre Zero-Trust-Implementierungen zunächst ganz ähnlich wie ein VPN konfiguriert haben – mit vollem Zugriff auf sämtliche Anwendungen. Leider hat eine solche VPN-ähnliche Konfiguration etliche Mängel. Das insbesondere deshalb, weil herkömmliche VPNs keinen partiellen oder spezifischen Zugriff auf ausgewählte Anwendungen oder Ressourcen erlauben. Die meisten der bestehenden Sicherheitslösungen beruhen auf diesem Konzept des impliziten Vertrauens. Und genau das muss ein CISO neu bewerten, um das immense Risiko seitens unnötiger Nutzer und Geräte zu senken.
- Unkenntnis hinsichtlich der Auswirkungen auf Nutzer, IT und Sicherheit
Obwohl IT und Sicherheit technisch gesehen Hand in Hand gehen, setzen die Abteilungen nicht immer identische Prioritäten, und sie arbeiten auch nicht zwingend auf dieselben Ergebnisse hin. Wenn die IT-Abteilung ihre eigenen Projekte als vorrangig betrachtet, dann fehlt es bei den Zero-Trust-Bemühungen an der nötigen Abstimmung zwischen den Teams. Das schlägt sich in falsch konfigurierten oder inkompletten Implementierungen nieder, was wiederum mehr blinde Flecke provoziert und die allgemeine Sicherheitslage schwächen kann. CISOs zeichnen verantwortlich dafür, dass die Zero-Trust-Reise möglichst effizient verläuft. Im Idealfall ist die Lösung einfach zu implementieren, zu verwalten und in der Geschwindigkeit des Unternehmens skalierbar. Gleichzeitig sollte sie allen betroffenen Parteien ein positives Ergebnis liefern und keinesfalls die Nutzer beeinträchtigen.
- Unzureichender Überblick über die Anwendungsfälle
In Anbetracht der schieren Menge von Sicherheitsproblemen, mit denen sich CISOs tagtäglich auseinandersetzen müssen, ist es unmöglich, jedes einzelne davon zu identifizieren. Das kann dazu führen, dass in Projekten (unter Umständen kleinste) Details übersehen werden, die das Gesamtprojekt zum Entgleisen bringen können. Viele Anwendungsfälle hängen von den individuellen Unternehmenserfordernissen ab. Aber drei von ihnen sollte man hervorheben, denn sie wirken sich auf jeden Nutzer aus, auch unternehmensfremde:
- Standorte mit mehreren Zweigstellen. Die meisten Unternehmen bestehen heute aus einem Hauptsitz mit mehreren weltweit verteilten Standorten. Obwohl dies zu einer räumlichen Trennung führt, bei der das physische Netzwerk und die Konnektivität vom Unternehmen unabhängig sind, benötigen die Mitarbeiter dennoch Zugriff auf Anwendungen des Unternehmens sowie auf die Ressourcen am Hauptsitz oder im Rechenzentrum. Daher sollten Unternehmen penibel darauf achten, den Zugriff nur dort zu gewähren, wo er notwendig ist, und ihn für empfindliche Bereiche verweigern oder einschränken.
- Nutzung von Multi-Cloud-Umgebungen. Heutzutage nutzen immer mehr Unternehmen Multi-Cloud-Anbieter zum Hosten ihrer Anwendungen und Daten. Wenn Anwendungen und Datenquellen in verschiedenen Clouds vorhanden sind, sollten diese (im besten Fall) miteinander verbunden werden, um die optimale Leistung zu gewährleisten.
- Beschäftigung von Auftragnehmern/Drittparteien. Wenn es um Dritte geht, müssen die Unternehmen sicherstellen, dass diese überprüft werden und nur bei Bedarf Zugang bekommen. CISOs sollten beim Zugriff auf kritische Dienste und unkritische Dienste genau abwägen. Sie müssen dabei jedoch diese spezifischen Anwendungsfälle berücksichtigen, damit das Zero-Trust-Projekt keine wichtigen Partner außerhalb des Unternehmens abschreckt.
- Unrealistische Renditeerwartungen
Die Rendite oder der Return on Investment (ROI) sind schwer zu messen, insbesondere für CISOs, da Sicherheit nicht unbedingt quantifizierbar ist. Die folgenden Fragen helfen:
- Was können wir erwarten?
- Wann können wir es erwarten?
- Wie können wir das wissen?
Auch wenn CISOs zögern, Sicherheitsinvestitionen mit spezifischen Zahlen zu verknüpfen, kann man davon ausgehen, dass jede Verzögerung bei der Einführung von Zero Trust deutlich höhere Kosten zur Folge hat. Diese lassen sich beispielsweise an einer wachsenden Zahl von Datenschutzverletzungen ablesen, an weiterhin bestehenden und bislang unerkannten Sicherheitslücken, an einem nicht angemessenem Zugang zu wichtigen Ressourcen und am Missbrauch von Nutzerberechtigungen und Privilegien. Nur mit der geeigneten Strategie und dem richtigen Lösungsansatz fungiert Zero Trust für einen CISO als ROI-Enabler. Dann lässt sich auch die Cybersicherheitsinfrastruktur innerhalb des Unternehmens verbessern und Kosten für unvermeidliche Sicherheitsverstöße einsparen.
Mit dem wachsenden Bewusstsein und verbesserten Cybersicherheitslösungen wird es glücklicherweise einfacher, implizites Vertrauen in Zero Trust umzuwandeln. Es ist nicht immer leicht für einen CISO, den richtigen Ansatz zu finden, damit sich auch die Unternehmensziele erreichen lassen. Trotzdem sind sie bereits auf dem Weg zu einer robusten Cybersicherheit, wenn sie die Linie vorgeben und die richtigen Kontrollen implementieren. Letztlich kann ein Unternehmen mittels Zero Trust Network Access (ZTNA), die in eine SASE-Lösung integriert ist, den potenziellen Schaden tatsächlich begrenzen. Und das selbst dann, wenn ein böswilliger Akteur in der Lage sein sollte, das Netzwerk zu kompromittieren.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de