Moderne Systeme erfassen, verteilen und verarbeiten Unmengen von Daten – am besten systemübergreifend und in Echtzeit. Sicherheit wird dabei zur Herausforderung: Auf der einen Seite stehen oft veraltete industrielle Kontrollsysteme mit teils unbekannten Sicherheitsrisiken. Auf der anderen Seite kommen IoT-Services mit teils vernachlässigten Sicherheitsaspekten zum Einsatz. Aufgabe ist es, Sicherheit für das Gesamtsystem zu erreichen und zu erhalten.
Zero Trust-Architektur als ultimativer Lösungsansatz?
Mit seinem „Market Guide for Zero Trust Network Access“[1] machte Gartner den Ansatz 2019 erneut zum Trendthema. Zero Trust wird seit zehn Jahren immer wieder aufgegriffen und weiterentwickelt. Stark vereinfacht gesehen findet es bereits in Internet- und Cloud-Services Anwendung: Keinem Endgerät oder Nutzer wird bedingungslos vertraut. Jeder Service kontrolliert bei Interaktion die Identitäten und Berechtigungen.
In Unternehmensnetzwerken wurden Zero Trust-Architekturen bisher kaum umgesetzt, da sie wesentliche Änderungen zur „traditionellen“ Herangehensweise erfordern.
Wo liegen die Unterschiede für Nutzer und Netzwerke?
Traditionelle Systemarchitekturen sehen Cybersecurity oft als implizit gegeben an und setzen sie extern und vorgelagert um. Nicht das System selbst, sondern isolierte Netzsegmente und zusätzliche Kontrollen wie Firewalls sollen Perimeterschutz bieten. Systemen innerhalb eines gewissen Bereichs wird vertraut. Wird ein solches System kompromittiert oder findet ein unerlaubter Zugriff statt, hat der Angreifer sein Ziel schon fast erreicht. Denn innerhalb eines vertrauenswürdigen Segments kann meist ohne Einschränkungen auf Ressourcen oder Nachbarsysteme zugegriffen werden.
Ganz im Gegensatz dazu wird beim Zero Trust-Ansatz keinem Endpunkt oder Nutzer vorab vertraut. Benutzer, Systeme und Rechte werden bei jeder Kommunikation oder Aktion überprüft. Die Grundlagen zur Umsetzung sind ständige Authentifizierung und Autorisierung. Sie werden über alle Dienste und Applikationen hinweg integriert und sind fixer Bestandteil aller Kommunikationsvorgänge. Der Fokus liegt also auf der vollständigen Absicherung einzelner Endsysteme und der bereitgestellten Services.
Was sind die Vor- und Nachteile des Zero Trust Konzepts?
Ein wesentlicher Vorteil ist, dass die Services durch die Zusatzprüfungen unabhängiger von der Netzanbindung und den verwendeten Endgeräten werden. Zugriffskontrollen sind tief in die Endsysteme und Applikationen integriert.
Nachteile sind der höhere technische Aufwand und der nötige Overhead für die zusätzlichen Abfragen von Zugriffen und Rechten. Nicht nur die Applikationen, auch die Endgeräte müssen diese Funktionalität unterstützen. Besonders bei industriellen Geräten, die ohne Benutzerinteraktion auskommen sollen, erfordert dies eine durchdachte Lebenszyklusplanung. Organisatorisch müssen Rollen und Rechte vorab genau bekannt und definiert sein. Ein zentrales System, das die Identitäten und Rechte verwaltet und kontrolliert, muss immer verfügbar sein.
Detaillierte Kontrollen ermöglichen mehr Sichtbarkeit und Analysen
Detaillierte Datenauswertungen eröffnen viele Möglichkeiten. Die Informationsverarbeitung in einem zentralen SIEM System (Security Information and Event Management System) hilft, Abweichungen zu erkennen. Mithilfe von KI (Künstlicher Intelligenz) können bestehende Muster aufgedeckt werden. Es kann auch automatisch ein Standardverhalten erlernt werden. All dieses Wissen hilft, das Gesamtsystem besser zu schützen. Dank der ständigen Kontrollen können außerdem einzelne Systeme schneller isoliert werden, um mögliche Sicherheitsvorfälle wie Malware-Infektionen einzudämmen.
Der Zero Trust-Ansatz sollte bereits bei der Planung und Umsetzung berücksichtigt werden. Gerade ältere Produktionssysteme können meist nur mit hohem Aufwand umgestellt werden. Er erfordert auch einige organisatorische Vorbereitungen. Erst die Analyse von Prozessen und Informationsflüssen ermöglicht eine sinnvolle Vergabe und Verwaltung von Berechtigungen. Die Wahrscheinlichkeit, über verschiedene Hersteller und Systeme hinweg alle Anforderungen auf einer kompatiblen, gleichwertigen Ebene erfüllen zu können, ist sehr gering. Auch grundlegende Protokolle und Basisfunktionen von Betriebssystemen wie DHCP, DNS, Multicast und ähnlichen Netzwerk-Standardservices sind oft nicht integrierbar. Dann ist weiterhin eine Perimeter-Trennung und Netzwerk-Segmentierung notwendig, um Basisschutz und Kontrollmöglichkeiten für diese Systeme zu erhalten.
Eine Lösung für alle denkbaren Sicherheitsrisiken?
Zusätzliche Systeme, die eine umfassende Rechtekontrolle erfordern, bergen immer die Risiken technischer und organisatorischer Lücken. Mangelndes Wissen, unvollständige Planung und Inkompatibilitäten verschiedener Plattformen können neue Sicherheitsrisiken eröffnen. Auch der Lebenszyklus der Endgeräte kann sich deutlich verändern, wenn zusätzliche Informationen oder z.B. Zertifikate und Identitäten möglichst automatisiert ausgerollt werden müssen.
Der Zero Trust-Ansatz ist eine gute und sinnvolle Ergänzung bei der Umsetzung von sicheren verteilten Systemen, gerade bei großflächigen IoT-Services. Um die hohen Erwartungen zu erfüllen und nicht selbst zum Sicherheitsrisiko zu werden, ist jedoch von Beginn an eine gute Planung notwendig. Bestehende Systeme können nicht vollständig ersetzt, jedoch sinnvoll um einzelne Funktionen ergänzt werden.
[1] https://www.gartner.com/en/documents/3912802/market-guide-for-zero-trust-network-access (Download kostenpflichtig)