Institut für Internet-sicherheit - if(is)
Zero Trust: Immer das richtige Werkzeug (Teil 2)
Die Umsetzung von Zero Trust wird durch verschiedene Technologien und Strategien unterstützt, die darauf abzielen, die IT-Sicherheit zu stärken, während gleichzeitig die Effizienz optimal erhalten bleibt. Der zweite Artikel der Zero Trust Trilogie behandelt die mögliche Umsetzung dieses Ziels und die verwendeten Werkzeuge.
Zero Trust (Teil 2) zeigt verschiedene “Werkzeug-Optionen”
Einführen von Dokumentenklassen: Die Einführung von Dokumentenklassen beginnt mit der zentralen Frage: “Wo sind die wertvollen Daten zu finden?” Die Beantwortung dieser Frage ist nicht so einfach, wie es auf den ersten Blick erscheinen mag. Durch die Verwendung von Dokumentenklassen werden Dateien mit Labels versehen, die anzeigen, wie sie behandelt werden sollen. Ist eine Datei beispielsweise als “Öffentlich” gekennzeichnet, erfordert sie keine zusätzliche Behandlung. Bei einem Label wie “Streng vertraulich” muss hingegen besonders darauf geachtet werden, wie die Datei behandelt und gespeichert wird, um zu verhindern, dass vertrauliche Informationen nach außen gelangen. Bei der Umsetzung macht es Sinn, sich an der ISO/IEC 27001-Norm zu orientieren, um eine bewährte Methode anzuwenden.
Gestaltung eines Berechtigungskonzepts: Die Ausgestaltung eines Berechtigungskonzepts erfordert eine umfassende Strategie, um das Prinzip der minimalen Rechteverteilung effektiv umzusetzen. Dabei genügt es nicht, lediglich eine Grundmenge an Rechten festzulegen; vielmehr ist ein sorgfältiges Prozessmanagement erforderlich. Bevor eine solche Strategie implementiert wird, sollten verschiedene Fragen geklärt werden. Beispiele hierfür sind: “Wer ist berechtigt, Rechte zu beantragen, und welche Voraussetzungen müssen dafür erfüllt sein?”, “Wie wird mit Krankheitsausfällen umgegangen?” “Dürfen Rechte temporär übertragen werden?”, und “Wie werden externe Mitarbeiter behandelt?” Die Beantwortung dieser und weiterer Fragen bildet eine grundlegende Voraussetzung, um das Prinzip der minimalen Rechtevergabe aufrechtzuerhalten.
Identitäts- und Zugriffsmanagement: Identitäts- und Zugriffsmanagement bilden eine zentrale Komponente von Zero Trust und gewährleistet, dass lediglich autorisierte Nutzer auf spezifische Ressourcen zugreifen können. Ein bekanntes Beispiel für diese IT-Sicherheitspraxis ist die Multifaktor-Authentifizierung (MFA). Es zielt darauf ab, den Zugang zu einem System oder Konto durch die Verwendung mehrerer Identifikationsmethoden zu schützen. Im Gegensatz zur herkömmlichen Ein-Faktor-Authentifizierung, bei der nur ein Identifikationsmerkmal, wie bspw. ein Passwort, erforderlich ist, verlangt MFA mindestens zwei oder mehr der folgenden Faktoren: Wissensbasierte Faktoren (Passwörter, PINs), Besitzbasierte Faktoren (Mobilgeräte, Smartcards, Sicherheitscodes), Biometrische Faktoren (Fingerabdruck, Iris- oder Retina-Scans, Stimme). Die Idee hinter MFA besteht darin, die Sicherheit zu erhöhen, indem mehrere Ebenen der Authentifizierung kombiniert werden. Selbst wenn ein Faktor kompromittiert wird (bspw. ein gestohlenes Passwort), ist der Zugang ohne die anderen Faktoren immer noch geschützt. Dies erhöht die Sicherheit erheblich und reduziert das Risiko von unbefugtem Zugriff auf sensible Daten oder Systeme.
Um das Prinzip einer strikten Authentifizierung und Autorisierung umzusetzen, ist es ratsam für Unternehmen, sich mit den Konzepten “Zero Trust Network Access” (ZTNA) und “Zero Trust Edge” (ZTE) vertraut zu machen. Statt das gesamte Netzwerk als vertrauenswürdig anzusehen, erlaubt ZTNA nur nachweislich autorisierten Entitäten den Zugriff. Dies ermöglicht eine präzise Kontrolle des Zugriffs auf Anwendungen und Ressourcen anhand verschiedener Kriterien wie Identität, Gerätetyp und IT-Sicherheitszustand. ZTE repräsentiert eine IT-Sicherheitslösung, die den Internet-Datenverkehr unter Einsatz von Zero-Trust-Prinzipien mit entfernten Standorten verbindet. Hierbei werden vor allem cloudbasierte IT-Sicherheits- und Netzwerkdienste verwendet, um eine sichere Internetanbindung zu gewährleisten. ZTE-Netzwerke sind von nahezu jedem Standort aus zugänglich, erstrecken sich über das gesamte Internet und authentifizieren Anwender und Geräte mittels ZTNA während des Verbindungsaufbaus.
Eine zusätzliche Strategie besteht in der Implementierung des “Single Sign-On” (deutsch: “Einmalanmeldung”), um das Risiko erfolgreicher Phishing-Angriffe zu minimieren. Hierbei müssen Nutzer ihre Anmeldedaten nur an einer einzigen Stelle eingeben, anstatt an mehreren verstreuten Orten. Dieser Zugangspunkt kann leichter auf seine Richtigkeit überprüft werden, da die URL und das Serverzertifikat eine klare Validierung ermöglichen.
Risikomanagement: Im Kontext des Risikomanagements ist die Einführung eines Systems gemäß ISO 31000 in Erwägung zu ziehen. Mit Hilfe von Projektmanagement-Software wie Jira können Verantwortliche Risiken in eine Datenbank eintragen und einen Workflow implementieren, um die angemessene Behandlung dieser Risiken sicherzustellen und potentielle Schwachstellen im System zu minimieren. Es ist hierbei nicht nur wichtig, die Software zu implementieren, sondern auch das Personal für Risiken zu sensibilisieren. Dadurch werden Mitarbeiter proaktiv in der Lage sein, mögliche Schwachstellen zu identifizieren und die entsprechenden Informationen in die vorgesehene Datenbank einzutragen.
Um optimale Ergebnisse zu erzielen, ist eine enge Zusammenarbeit zwischen Risikomanagement und Prozessmanagement unerlässlich. Dies gewährleistet, dass Risiken nicht zu unvorhergesehenen Problemen werden und dass die Organisation in der Lage ist, proaktiv auf mögliche Herausforderungen zu reagieren.
Automatisierung zur Umsetzung der Richtlinien: Die alleinige Implementierung eines soliden Systems genügt nicht, um eine sichere Umgebung zu gewährleisten. Es ist von höchster Bedeutung, dass das gesamte Unternehmen die festgelegten Richtlinien strikt befolgt. Ohne den Einsatz von Automatisierung kann nicht sichergestellt werden, dass diese Richtlinien effektiv umgesetzt werden, da es immer Mitarbeiter geben kann, die sie aus Bequemlichkeit bewusst oder unbeabsichtigt ignorieren. Es existieren zahlreiche Software-Lösungen, die diese Herausforderung bewältigen können. Administratoren können damit Abläufe über verschiedene Anwendungen oder Datensilos hinweg automatisieren, um sicherzustellen, dass Geschäftsprozesse ordnungsgemäß eingehalten werden. Abhängig von den Anforderungen des Unternehmens und der verwendeten Software gibt es unterschiedlich gut passende Lösungen. Beispielsweise lässt sich “Power Automate” von Microsoft optimal mit anderen Microsoft-Produkten integrieren. Alternativ dazu bietet die Produktreihe der XFT GmbH aus Deutschland eine spezielle Fokussierung auf SAP-Produkte, während die Lösung der JobRouter AG die Unterstützung mehrerer Softwarefamilien ermöglicht.
Mikrosegmentierung: Die Umsetzung des Prinzips der Mikrosegmentierung variiert je nach den spezifischen Anforderungen eines Unternehmens. Dennoch gelten in der Regel ähnliche Grundprinzipien.
In vielen Mikrosegmentierungslösungen wird die Verwendung von sogenannten “Next-Generation-Firewalls” (NGFWs) zur Abgrenzung der einzelnen Segmente eingesetzt. NGFWs zeichnen sich im Vergleich zu herkömmlichen Firewalls durch ein Anwendungsbewusstsein aus, das es ihnen ermöglicht, den Netzwerkverkehr auf der Anwendungsschicht des ISO/OSI-Modells zu analysieren, nicht nur auf der Netzwerk- und Transportschicht. Der Einsatz von Hardwareknoten wird obsolet, da die Mikrosegmentierung hauptsächlich über Software konfiguriert wird. Die Segmentierung erfolgt somit virtuell, und Administratoren müssen keine Router, Switches oder andere Netzwerkgeräte anpassen.
Administratoren haben zudem die Möglichkeit, Sicherheitsrichtlinien pro Segment individuell anzupassen. Dies ermöglicht es, dass Workloads unterschiedliche Zugriffsberechtigungen haben können. Ein Workload kann beispielsweise umfassenden Zugriff gestatten, während ein anderer stark eingeschränkt ist – abhängig von der Bedeutung des jeweiligen Workloads und den verarbeiteten Daten. Während ein Workload beispielsweise API-Abfragen von verschiedenen Endpunkten akzeptieren kann, darf ein anderer möglicherweise nur mit einem bestimmten Server kommunizieren.
Kontinuierliche Überwachung: Die kontinuierliche Überwachung von Aktivitäten fällt stark ins Gewicht, doch es stellt sich die Frage, welche Aktivitäten tatsächlich relevant sind. Mikrosegmentierungslösungen liefern Informationen darüber, welche Anwendungen miteinander kommunizieren und wie der Netzwerk-Traffic zwischen ihnen fließt. Im Vergleich dazu liefert eine typische Netzwerkprotokollierung hauptsächlich Informationen zur Netzwerk- und Transportschicht, wie Ports und IP-Adressen. Durch die Mikrosegmentierung werden auch Anwendungs- und Workload-Kontexte bereitgestellt. Die Überwachung des gesamten Netzwerk-Traffics und das Hinzufügen von Anwendungskontext ermöglichen es Unternehmen, Sicherheitsrichtlinien in ihren Netzwerken konsistent anzuwenden. Dies liefert auch die erforderlichen Informationen, um die Richtlinien bei Bedarf zu optimieren.
Neben Netzwerkaktivitäten sind auch Nutzeraktivitäten von Relevanz. Dieser Prozess kombiniert Analysen, Filter und Protokollierung, um das Verhalten der Nutzer zu überprüfen und kontinuierlich nach Anzeichen von Gefahr zu suchen. Wenn ein Nutzer oder Gerät Anzeichen einer Verhaltensänderung zeigt, wird dies als mögliche Bedrohung erkannt und überwacht. Parameter wie der Standort des Zugriffs, das genutzte Gerät oder die Art der angeforderten Daten können Aufschluss über das Verhalten geben.
Ende-zu-Ende-Verschlüsselung: Die Verschlüsselung als IT-Schutzmaßnahme beruht auf der Umsetzung von Ende-zu-Ende-Verschlüsselung, bei der Daten von einem Punkt zum anderen verschlüsselt und ausschließlich an den autorisierten Endpunkten entschlüsselt werden können. Die Verbindung von Verschlüsselung mit einer präzisen identitätsbasierten Zugriffskontrolle stellt sicher, dass nur berechtigte Benutzer oder Systeme Zugriff auf die benötigten Entschlüsselungsschlüssel haben. Es trägt vor allem dazu bei, die Integrität der verschlüsselten Datenübertragung zu gewährleisten und potentielle Schwachstellen gegenüber Man-in-the-Middle-Angriffen zu minimieren.
Die Integration von Verschlüsselung in der Segmentierung von Netzwerken bietet zusätzlichen Schutz, indem der Datenverkehr zwischen verschiedenen Segmenten abgesichert wird. Dies gewährleistet, dass selbst bei einer Kompromittierung einzelner Netzwerkbereiche der Zugriff auf verschlüsselte Daten begrenzt bleibt.
Trotz der vielversprechenden Ansätze ist zu bedenken, dass keine dieser Methoden universell anwendbar ist und eine sorgfältige Ausrichtung an individuellen Anforderungen unerlässlich ist.
