Im Artikel „Zero Trust – Ein neues Zeitalter der Cyber Security“ hat unser Experte Anton Peter bereits seine Einschätzung zum Zero Trust-Modell gegeben. In diesem Blogbeitrag möchten wir uns mit ein paar grundlegen Fragen beschäftigen: Was bedeutet Zero Trust eigentlich? Was ist das Prinzip hinter Zero Trust? Was ist der Nutzen? All dies und mehr klären wir hier.
Vorab die Theorie
Zero Trust ist ein Sicherheitsmodell aus der Cyber-Security. Bevor Zugang zu Daten oder IT-Ressourcen generell gewährt wird, müssen verschiedene Prüfmechanismen ausgeführt werden, um die Identität des Anfragenden und die Legitimität des Zugriffes zu verifizieren. Der Zugriff darf – wie der Begriff schon ausdrückt – auf keinen Fall auf Basis von Vertrauen erteilt werden. Ziel ist es, unberechtigte Zugriffe und mögliche Folgerisiken, wie beispielsweise Datenverlust oder andere nachteilige Ereignisse dieser Art, zu vermeiden. Zero Trust ist ein Denkmodell und keine exakte Handlungsvorgabe: Auf Basis des Ansatzes werden operative Modelle entwickelt, um dem Ziel des Datenschutzes und der Datensicherheit so nahe wie möglich zu kommen.
Und in der Praxis?
Um das Konzept ein wenig greifbarer zu machen, möchten wir das Ganze anhand eines Praxisbeispiels näher beleuchten. Folgendes Szenario: Wohnungen in einem Mehrfamilienhaus.
In den Wohnungen werden mehr oder weniger schützenswerte Gegenstände aufbewahrt und der Zugang ist folglich durch Türen eingeschränkt: Eine Tür zum Treppenhaus, weitere Türen zu den jeweiligen Wohnungen.
Es klingelt – ohne Nachfrage wird der Türöffner betätigt, der Klingelnde betritt das Treppenhaus – ohne Verifizierung der Identität und Legitimation.
Es klingelt – die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz! Ich bin’s Ihr Nachbar Meier. Könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“. Der Türöffner wird betätigt, der Klingelnde betritt nach einfacher Verifizierung der Identität und Legitimation das Treppenhaus.
Situation 2 scheint zunächst kein schlechter Schachzug: Zumindest wurde eine Abfrage der Identität durchgeführt und die Legitimation abgefragt – allerdings ohne Gegenprüfung. So können sowohl Situation 1 als auch Situation 2 schwerwiegende Konsequenzen mit sich ziehen: Wir vertrauen und setzen darauf, dass unser Vertrauen nicht missbraucht wird. Kommen wir zu Situation 3 aka „Zero Trust“:
Es klingelt, die Gegensprechanlage wird bemüht, um herauszufinden, wer vor der Tür steht und warum. Der Klingelnde informiert mit: „Hallo Herr Schmitz, ich bin’s Ihr Nachbar Meier, könnten Sie mich bitte mal reinlassen? Ich habe meinen Schlüssel vergessen.“
Nach dem Zero Trust Modell ergeben sich folgende Handlungsoptionen:
- Prüfung der Identität: Sie erkennen, dass im Haus kein Meier wohnt. Der Klingelnde wird abgewiesen.
- Prüfung der Identität: Im Haus wohnt eine Familie Meier, allerdings haben Sie die Stimme nicht erkannt. Sie fragen bei der Nachbarwohnung an, ob die Situation zutreffend ist. Der angegebene Herr Meier verneint die Situation, der Klingelnde wird abgewiesen.
- Prüfung der Identität: Es ist eine Gegensprechanlage mit Videofunktion installiert. Sie erkennen den Klingelnden nicht als Herrn Meier, die Person wird abgewiesen.
- Prüfung der Identität: Keine der vorherigen Optionen ist ausführbar. Sie delegieren die Entscheidung an eine höher gestellte Autorität, beispielsweise den Hausmeister.
- Prüfung der Legitimität: Sie bestehen darauf, dass der Klingelnde einen Schlüssel nutzt, um den geschützten Bereich zu betreten
Die alles entscheidende Frage ist also: Wann und unter welchen Umständen darf jemandem die Tür geöffnet werden, nur aufgrund…
- …der Kenntnis Ihres Namens.
- …der Angabe des Namens eines möglichen Nachbarn.
- …der Aussage, dass der eigentlich legitime Weg nicht möglich ist, man aber trotzdem gerne den geschützten Raum betreten möchte.
Und in der digitalen Welt?
Verhält es sich ähnlich. Es werden digitale Dienste in Form von Websites, Apps etc. bereitgestellt, deren Nutzung im Idealfall erheblich zum ökonomischen Vorteil eines Unternehmens beitragen. Aufgrund diverser Regularien sowie im Interesse des Business und des unternehmerischen Selbstschutzes sind manche Funktionen nicht nutzbar und bestimmte Daten ohne erfolgreiche Identifizierung, Authentisierung und Autorisierung nicht zugreifbar – das heißt, der Anwender muss sich einloggen.
In den meisten Fällen müssen Anwender leider nur einen Benutzernamen und ein passendes Kennwort (auch „Credentials“ genannt) angeben und der Zugang ist gewährt. Doch wie sicher ist diese Art der Zugriffskontrolle? Nur bedingt.
Das Risiko
Credentials sind heutzutage nicht mehr sicher. In den Medien wird regelmäßig über „digitale Einbrüche“ berichtet – meistens handelt es sich um den Verlust von Zugangs- und Bezahldaten, auf Basis von Spoofing und Phishing, d.h. dem Vorgaukeln falscher (Identitäts-)Tatsachen bzw. dem Verlust der Credentials durch Betrug oder Diebstahl. Den eigentlichen Eigentümern der Daten ist der Verlust erstmal nicht bewusst, kann aber ungeahnte Folgen haben und eine große Sicherheitslücke hinterlassen. Es ist hinreichend bekannt, dass Credentials über illegale Wege sehr einfach zu beschaffen sind, sodass sich in den letzten Jahren ein Markt entwickelt hat.
Die verlorenen Credentials können nun missbraucht werden, weil die Prüfung der Originalität und Authentizität auf Seiten der Service-Anbieter nicht mehr stattfindet. Es wird darauf vertraut, dass derjenige, der die Credentials präsentiert, auch dazu legitimiert ist, diese zu nutzen. Die unrechtmäßige Aneignung wird leider häufig übersehen.
Die Lösung
Eigentlich sollte der Service-Anbieter im eigenen Interesse eine weiterführende Prüfung der Legitimität durchführen. Das ist sehr einfach möglich: In der digitalen Welt lassen sich diverse Informationen beschaffen und als Indizien nutzen, ohne dass dies dem Anwender zur Last fällt.
- Die Uhrzeit: Der erwartete Eigentümer der Credentials sitzt in Deutschland, die Nutzung erfolgt allerdings um 3:44 Uhr in der Nacht?
- Die Lokation der Anfrage: Der Zugriff erfolgt von einem anderen Kontinent?
- Das genutzte Gerät bzw. dessen Einstellungen: Der Inhalt der Services wird aufgrund der erkannten Settings nicht in Deutsch, sondern in einer anderen Sprache angezeigt?
- Nutzerverhalten in der Anwendung: Der Eigentümer weicht von seinem regulären Verhalten stark ab?
- Die Nachfrage nach einem weiteren Faktor, über den der rechtmäßige Nutzer verfügt. Beispiel: Ein SMS Code zusätzlich zu den Credentials.
Fazit
Die Handlungsempfehlung nach Zero Trust sollte immer in Betracht gezogen werden, wenn Zugriffe auf Daten und Ressourcen bereitgestellt werden – egal, ob für die eigenen Mitarbeiter, Kunden oder Partner. Datenschutz und -sicherheit haben insbesondere aufgrund der derzeit gültigen und in Zukunft weiter verschärften Datenschutzrichtlinien immer die höhere Priorität gegenüber möglichen Kosten. Aber auch im eigenen Interesse, um das Unternehmen, die Marke und die Reputation zu schützen. Wir von der TIMETOACT unterstützen und helfen unseren Kunden schon seit Jahren: Sollten Sie Interesse an lösungsorientierten Vorschlägen haben, können Sie hier mehr erfahren.