Zero Trust: Allheilmittel oder fauler Zauber?
Um die Antwort auf die Frage in der Überschrift vorwegzunehmen: irgendwas dazwischen! Bei der Diskussion, was „Zero Trust“ bedeuten kann und was es bedeuten sollte, kommt unser Autor zur Erkenntnis, dass es gut ist, Vertrauen zu hinterfragen, aber notwendig bleibt, es aufzubauen – der wahre Gewinn steckt dann im Detail dessen, wie man „Zero Trust“ umsetzt und nutzt.
Eine Zero-Trust-Architektur (ZTA) ist in ihren Grundzügen vergleichbar mit zwischenmenschlichen Beziehungen: Zunächst muss Vertrauen aufgebaut werden, erst danach teilt man Persönliches, wichtige Informationen oder eben schutzwürdige Daten. Es beginnt mit „Zero Trust“ und geht irgendwann in Vertrauenswürdigkeit über – dieses Prinzip ist letztlich dasselbe, nach dem bereits in den 1990er-Jahren Konzepte der multilateralen Sicherheit erforscht wurden. Wer hingegen unter „Zero Trust“ verstehen will, dauerhaft nichts und niemandem zu trauen, der läuft Gefahr, paranoid zu werden und viel Zeit und Energie in ständigen Kontrollen sowie deren minutiöser Planung und Verwaltung zu verlieren.
Klassische Sicherheitsmodelle sind das andere Extrem und setzen über einen langen Zeitraum voraus, dass weder die Identität der Nutzer:innen und Systeme kompromittiert wird noch diese verantwortungslos agieren beziehungsweise fehlerhaft implementiert sind. Das Zero-Trust-Modell erkennt demgegenüber an, dass Vertrauen durchaus ein Risiko sein kann: Die zielführende Idee ist daher, bei null Vertrauen anzufangen und dann Vertrauensbeziehungen zwischen allen beteiligten Parteien explizit aufzubauen, bis ein Teilnehmer bereit ist, Daten mit anderen zu teilen. Um potenzielle Zielkonflikte aufzudecken, werden vorher Schutzmechanismen ausgehandelt, welche die Interessen aller Beteiligten berücksichtigen. Angewandt wird das beispielweise im Online-Handel, bei dem die Zahlung für die Ware und der tatsächliche Versand im jeweiligen Interesse der Beteiligten liegen – multilaterale Sicherheitsmaßnahmen wahren die Sicherheitsinteressen aller Seiten, indem sie Zahlungsverkehr und Versand gleichermaßen absichern und diese den Parteien gegenseitig nachweisen.
Um moderne digitale Umgebungen zu schützen, müssen wir neu lernen, IT-Systemen zu vertrauen. Und hier gilt der Satz: Vertrauen ist gut, Kontrolle ist besser. Zero Trust bedeutet also auch, das Konzept der Vertrauenswürdigkeit zu hinterfragen, um einen Überblick und letztlich die Kontrolle über ein Gesamtsystem zu erhalten. Dazu kann man etwa eine Netzwerksegmentierung nutzen, um die Bedrohungs-Abwehr zu stärken oder die Ausbreitung einer Bedrohung auf der Anwendungsebene zu verhindern – auch die Zugriffskontrolle der Nutzer lässt sich so vereinfachen.
Hochhaus-Architektur
ZTA-bezogene Konzepte wie eine „datenzentrierter Sicherheit“ setzen genau dort an. Um das zu veranschaulichen, vergleicht der Autor ZTA gerne mit der Architektur eines Wolkenkratzers: Wenn die Zuverlässigkeit der Daten selbst (und nicht die Sicherheit von Netzwerken, Servern oder Anwendungen) im Vordergrund steht, ist es als würde man einen ZTA-Wolkenkratzer von ganz oben aus einer supersicheren Kommandozentrale heraus überblicken und hoffen, dass alles darunter sicher ist.
Da man sich aber mit Hoffnung nicht begnügen und – Stichwort: Zero Trust – niemandem einfach so vertrauen will, werden alle Stockwerke darunter regelmäßig kontrolliert. Wenn dort dann eine Menge Leute herumlaufen, die bröckelnden Putz ausbessern und Löcher in der Wand zuspachteln, ist wahrscheinlich gerade „Patch Day“. Das ist zunächst einmal nichts Schlechtes: Natürlich müssen Schwachstellen geflickt werden und heutzutage sind wir ja recht gut darin, Löcher in der Wand im Handumdrehen zu schließen. Dazu dienen eben Patches – und sie erleichtern die Arbeit der Administratoren und deren Planungen für Updates. Ein mulmiges Gefühl stellt sich allerdings ein, wenn jeden Tag jemand klingelt und ein Loch repariert, von dem man bislang gar nichts geahnt hatte. Solche außerplanmäßigen Besuche oder ungeplante Updates weisen schließlich auf ein hohes Gefährdungspotenzial aufgrund gravierender Sicherheitslücken hin.
Aber lassen Sie uns ein bisschen positiver sein: In einem Wolkenkratzer, der nach den Prinzipien der ZT-Architektur gebaut ist, ist die Kommandozentrale im obersten Stockwerk der wohl sicherste Ort. Denn alle Stockwerke darunter sind mehrfach mit starken Stützpfeilern ausgestattet. Wenn etwas zusammenbricht oder zum Einsturz gebracht wird, gibt es stets eine weitere Verteidigungslinie. In der Sicherheitstechnik ist es mittlerweile gängige Praxis, Systeme auf der Grundlage dieses Defense-in-Depth-Konzepts aufzubauen. Die gestaffelten Verteidigungsmechanismen schalten sich immer dann ein, wenn ein Mechanismus fehlschlägt, und richten sich so gegen möglichst viele verschiedene Angriffsvektoren.
Wann immer es möglich ist, sollte man von diesem Prinzip Gebrauch machen – schließlich kann man mit einer einzigen Säule nur selten genügend Sicherheit herstellen. Ob die Gesamtarchitektur dann unter dem Namen ZTA läuft oder morgen schon wieder anders heißt, ist zweitrangig, denn das Prinzip stimmt. Gleichermaßen helfen auch Zwei-Faktor-Authentifizierung (2FA) oder die Verwendung virtueller Maschinen als zweite Trennschicht um Container-Workloads herum zu mehr Stabilität im Angriffsfall.
Mehrschichtige Sicherheit
Eine verteilte oder geschichtete Anordnung von Kontrollpunkten – auch „Policy-Enforcement-Points“ genannt – stellt eine weitere Zero-Trust-Variante dar: In Netzwerken oder in dem fiktiven ZTA-Wolkenkratzer gibt es schließlich viele verschiedene Hausbewohner, die allesamt verschiedene Vorstellungen von „Vertrauen“ haben. Nur eine einzige Kontrolle am Eingang wäre also nicht ausreichend. Zwar könnte diese eine Basisprüfung von Identitäten und Berechtigungen umsetzen – eine eingehende Kontrolle aller Pakete und Lieferungen wäre dort jedoch nicht möglich, denn in Netzwerken kommt heute überall (Ende-zu-Ende-) Verschlüsselung zum Einsatz. Das führt auch gleich wieder zur Vertrauenswürdigkeit: Ein guter, mehrschichtiger Ansatz benötigt deshalb eine Rechteverwaltung auf der Anwendungsdatenschicht, Transportverschlüsselung und Client-Zertifikatsvalidierung mit TLS sowie eine eher grobe Zugangskontrolle auf der Netzwerkschicht mit VPNs.
Da also der vertrauenswürdige und „allmächtige“ Wachmann im Erdgeschoss entfällt und sich seine Verantwortung nun auf viele Kontrollpunkte verteilt, lassen sich solche vielschichtigen Sicherheitskonzepte nicht mehr so einfach verwalten wie beispielsweise eine Perimeter-Firewall. Aus diesem Grund ist es umso wichtiger, dass ZTA-Produkte dabei helfen, all die verschiedenen Ebenen im Griff zu behalten! Vertrauenswürdige Pakete aus bekannter Quelle stellen dabei nicht das Problem dar – wesentlich wichtiger ist es, auch vor Lieferungen geschützt zu sein, die aus unbekannter Quelle stammen: ZTA-Bausteine auf der Basis virtueller Maschinen für isolierte Umgebungen bilden in diesem Fall einen „Bunkerraum“, in dem man sie gefahrlos öffnen kann – ohne darauf vertrauen zu müssen, dass sie wirklich unschädlich sind.
Konzepte im Wandel
Wenn ein gangbarer Mittelweg zwischen Naivität und Paranoia ganz ohne Vertrauenswürdigkeit nicht auskommt, lautet eine wesentliche Frage: Wie stellt man sie her? Zumal der sinnbildliche ZTA-Wolkenkratzer enorme Dimensionen besitzt: Denn der riesige Technologie-Stack und die eingesetzte Infrastruktur sind ja heute auf viele Länder verteilt und werden von unzähligen Menschen und Unternehmen aufgebaut und betrieben. Um zu gewährleisten, dass all das auch sicher ist, müssen fortlaufend Verbesserungen vorgenommen werden. Dazu zählt beispielsweise die sichere Programmiersprache „Rust“ (siehe www.rust-lang.org), die bei der Fehlerbehandlung über das sogenannte panic!-Makro aufräumt und so Schäden vermeiden soll. Sie erhöht wie superstabile Ziegel eines Hauses dessen Stabilität, was gleichermaßen für unkaputtbare Türen (oder Transportkisten) gilt, als die man die heutzutage gut erforschte Kryptografie ansehen könnte.
Viele zuvor undurchsichtige Wände mit fragwürdiger Tragfähigkeit werden zusätzlich durch stabile Glasbausteine in Form von Open-Source-Software ersetzt, die sich auf Peer-Review und Community-Produktion stützen und viel mehr Transparenz bieten: Sie lassen klar erkennen, wie stabil eine Wand wirklich ist. Außerdem verstehen wir zunehmend die „Naturgesetze“ in der schönen neuen IT-Welt und fangen an, wie Statiker und Ingenieure bei echten Bauwerken, nunmehr auch bei den virtuellen Gebilden der IT mathematische Korrektheitsnachweise und automatisierte Testmethoden einzusetzen, um Stabilität zu gewährleisten.
Nichts daran ist wirklich neu, aber durch die Vielzahl ineinandergreifender Ansätze und Verfahren wird IT-Sicherheit immer praktikabler. Gleichzeitig wird das Thema auch dringlicher: Der Aufbau unseres heutigen Datenökosystems hat viele Jahre gedauert. Das Wissen, mit dem der Bau startete, ist dabei nicht vergleichbar mit dem Wissen, das heute vorliegt. Deshalb ist – wie oft bei alten Gebäuden – eine Renovierung fällig.
Ein Zero-Trust-Datengebäude braucht nicht immer eine gänzlich neue Infrastruktur – meistens wäre das auch gar nicht realistisch. Eine allmähliche Renovierung ist beispielsweise durch einen schrittweisen Umstieg weg von physisch definierten Systemen möglich. Auch Systeme, die erkennen, welche Zugriffsbeziehungen untereinander bestehen, können dabei helfen, Schritte in Richtung Zero Trust zu gehen.
Das Prinzip „Zero Trust“ fordert im Kern, Vertrauenslevel zu überprüfen, zu messen und infrage zu stellen. Es ist damit ein Konzept, das dazu anleitet, neues Wissen stetig in wirklich sichere Infrastrukturen umzumünzen. Wenn „Zero Trust“ uns dazu bringt, so zu arbeiten, hat sich das Konzept schon gelohnt.
Dr. Kai Martius ist Chief Technology Officer der secunet Security Networks AG.