Trau niemandem

«Vertrauen ist gut, Kontrolle ist besser!» Nach diesem Bonmot, das dem russischen Revolutionsführer Wladimir Iljitsch Lenin zugesprochen wird, haben Firmen bislang ihre IT abgesichert. Zwar wurde diese am Rande gut geschützt und jeder, der um Einlass bat, gut kontrolliert. Einmal drin, wurde aber auf Vertrauen gesetzt.
Diese Strategie, nämlich den Perimeter von Unter­nehmensnetzwerken gut zu schützen und zu überwachen, ist je länger, je unzureichender. Und nicht nur, weil sie an den Schutz mittelalterlicher Burgen mit sehr hohen Mauern und tiefen Wasser­gräben erinnert, wirkt die Methode aus der Zeit gefallen.

Auch weil sich die IT-Landschaft der Unternehmen drastisch geändert hat – nicht zuletzt in den letzten beiden Jahren –, kommt einem der reine Perimeterschutz etwas antiquiert vor. Dies ist vor allem darauf zurückzuführen, dass sich die Grenzen zwischen «drinnen» und «draussen» vermischen. Beflügelt wird das durch IT-Trends wie Bring Your Own Device (BYOD), hybride Nutzungsformen wie das Arbeiten von zu Hause, von unterwegs und doch gelegentlich auch im Büro sowie den Einbezug von immer mehr Endgeräten ohne Einfriedung wie etwa dem Internet der Dinge.

Die Folge: Mit dem Vertrauen ist das so eine Sache. Eigentlich kann hier nichts und niemandem mehr vertraut werden, was notgedrungenermassen zum wohl grössten Paradigmenwechsel in der IT-Security führt. Das neue Konzept segelt denn auch unter der Bezeichnung «Zero Trust» und geistert spätestens seit 2010, als John Kindervag vom Marktforschungs- und Beratungsunternehmen Forrester Research den Begriff prägte, durch Cybersecurity-Diskussionsrunden und -Vorträge.

Laut Forrester beruht «Zero Trust» darauf, keiner Entität zu trauen – also keiner Person, keinem Netzwerk, keinen Daten, keinem Gerät und keinem Prozess oder Workload. Schliesslich greifen nicht nur Personen auf wertvolle Daten zu, sondern auch Geräte, Netzwerke und Applikationen. Auch sie werden zu Akteuren, die sich plötzlich durch Fehlverhalten auszeichnen oder schlicht und einfach im Unternehmen Amok laufen könnten. Verkürzt könnte man das Konzept auf «Vertraue nie, kontrolliere immer alles» eindampfen.

Drei Prinzipien für die Praxis kann Forrester dieser neuen konzeptionellen Leitlinie abgewinnen, die auf Misstrauen und Skepsis beruht. «Zero Trust» führt im Cybersecurity-Alltag dazu, dass erstens alle Netzwerke als nicht vertrauenswürdig behandelt werden. Folglich muss nicht nur das Firmennetz selbst gut abgesichert werden, sondern auch die Heimnetze der Mitarbeitenden und öffentliche WLANs (beispielsweise in Bahnhöfen und Restaurants). Bei der Absicherung des Firmennetzwerks kommt dabei das Konzept der Mikrosegmentierung ins Spiel. Das heisst, dass ein Netzwerk in möglichst viele Teilstücke oder Segmente unterteilt wird, die logische und sichere Einheiten darstellen. Dies soll vor allem verhindern, dass sich Angreifer lateral im ganzen Netzwerk bewegen können.

Besonders wichtig laut Forrester ist zweitens, dass das Prinzip der geringsten Berechtigungen waltet. Denn schliesslich kann den Benutzern der Firmen-IT nicht vertraut werden. Deren Zugang oder Konto könnte ja gehackt sein oder die Mitarbeitenden selbst könnten zu böswilligen Insidern mutiert sein. Somit sollen User nur so viele Zugriffsberechtigungen auf IT-Ressourcen im Unternehmen erhalten, die für die Erledigung ihrer Aufgaben unbedingt notwendig sind. Darüber hinaus müssen diese Berechtigungen regelmässig überprüft und wieder entzogen werden, wenn sie nicht mehr angemessen sind.

Drittens schlägt Forrester vor, eine «Zero Trust»-Mentalität im ganzen Unternehmen zu etablieren. Nicht nur IT- und Security-Verantwortliche sollten ständig skeptisch und immer auf Sicherheitsvorfälle vorbereitet sein, sondern auch alle Mitarbeitenden müssen eine Kultur sowie Praxis der Wachsamkeit verinnerlichen und jederzeit damit rechnen, dass es zu Verstössen und Einbrüchen kommen kann.