|

Zero Trust ist ein Etikettenschwindel: Warum die Security Journey der bessere Ansatz ist

Blogbeitrag anhören

Zero Trust Network Access-Lösungen werden heute als Nachfolger des VPNs verkauft. Doch wer glaubt, mit dem Kauf einer solchen ZTNA-Lösung sei Zero Trust erreicht, sitzt einem Etikettenschwindel auf. Zero Trust ist kein Schalter, den man umlegt, sondern ein Konzept, das man über Jahre hinweg in kleinen Schritten realisiert. Das aussagekräftigere Instrument ist die Security Journey. Sie beinhaltet alle Zero Trust-Aspekte und macht die den Fortschritt in der Implementierung messbar.

Die IT-Welt liebt Schlagworte. Heute heisst eines der Zauberworte «Zero Trust Network Access», kurz ZTNA.

Viele Anbieter preisen diese Lösungen als moderne Nachfolger des VPNs an. Die implizite Botschaft: Kauf' unser Produkt, und du hast Zero Trust erreicht.

Die Lösungen sind gut, das kritisiere ich nicht. Aber es gibt damit ein Problem: Zero Trust ist kein Produkt.

Es ist ein Konzept, das beschreibt, wie man Systeme so gestaltet, dass niemandem blind vertraut wird. Weder innerhalb noch ausserhalb des eigenen Netzwerks.

ZTNA-Lösungen sind dabei nur ein kleines Puzzleteil. Wer glaubt, mit deren Einsatz sei «Zero Trust» erledigt, verwechselt das Werkzeug mit Ziel.

Gegenüberstellung von Fortinet von VPN versus ZTNADie Grafik stammt von Fortinet und stellt das Virtual Private Network VPN einer Zero Trust Network Access-Lösung gegenüber.

Das Problem: Zero Trust kann man nicht erreichen

Zero Trust ist ein Weg, kein Zustand. Oder, wie es die amerikanische Behörde Cybersecurity and Infrastructure Security Agency CISA ausdrückt:

The path to zero trust is an incremental process that may take years to implement.

Das heisst: Es gibt keinen Knopf, den man drückt, um Zero Trust zu aktivieren.
Es ist eine schrittweise Transformation, organisatorisch, technisch und kulturell.

Und hier liegt die Ironie: Viele Unternehmen sind überzeugt, sie hätten Zero Trust, weil sie ein ZTNA-Produkt im Einsatz haben. In Wahrheit haben sie einfach ein VPN durch etwas ersetzt, das sich «moderner» anhört.

Was ist Zero Trust?

Zero Trust bedeutet im Kern: Vertraue niemandem per se, überprüfe jeden Zugriff.
Das gilt für Benutzer, Geräte, Applikationen und Daten. Egal, ob sie intern oder extern auf das Netzwerk zugreifen.

Die 7 Grundprinzipien von Zero Trust gemäss NIST

Laut dem National Institute for Standards and Technology NIST basiert Zero Trust auf sieben Grundsätzen:

  1. Alles ist ein potenzielles Ziel. Jeder Server, jedes Gerät, jede Anwendung und jedes Datenpaket wird als Ressource behandelt.

  2. Kein Standort ist automatisch vertrauenswürdig. Auch wer «im internen Netz» ist, muss dieselben Prüfungen durchlaufen wie jemand von aussen.

  3. Zugriff erfolgt pro Sitzung. Ein einmaliges Login reicht nicht. Jeder Zugriff wird kontextabhängig neu bewertet.

  4. Zugriffsentscheidungen sind dynamisch. Sie werden gefällt anhand Identität, Geräte-Zustand, Verhalten und situativen Faktoren wie Ort oder Uhrzeit.

  5. Die Integrität aller Geräte wird laufend überwacht. Kein Endgerät gilt per se als vertrauenswürdig.

  6. Authentifizierung und Autorisierung sind kontinuierlich. Auch während einer Sitzung kann das Vertrauen entzogen werden, wenn sich der Kontext ändert.

  7. Alle Aktivitäten werden gemessen und analysiert. Das Ziel ist, aus Telemetrie-Daten zu lernen und die Sicherheitsrichtlinien laufend zu verbessern.

Hier findet ihr die offizielle Zero Trust-Dokumentation des NIST.

Wie ist Zero Trust entstanden?

Um Zero Trust zu verstehen, muss man zurück in die Frühzeit der Informatik.
Damals stand der Computer in einem eigenen Raum, mit Zutrittskarte, Türschloss und Wachmann. Sicherheit war physisch.

Wer in den Raum durfte, dem wurde vertraut und der hatte automatisch Zugriff auf das System. 

Dann kam das Internet und schliesslich kamen Laptops und danach noch die Smartphones dazu. Diese neue Mobilität hat die physische Security komplett obsolet gemacht. Dadurch ist das Bedürfnis nach «Zero Trust» entstanden.

Man kann und darf Akteuren in einem Netzwerk nicht mehr per se vertrauen, im Gegenteil. Die Grundhaltung wurde umgedreht: Es gilt Zero Trust.

Jeder User in einem System muss beweisen, dass er oder sie zugriffswürdig ist.

Der bessere Ansatz: Die Security Journey

Statt Zero Trust als Produkt zu verkaufen, sollte man Sicherheit als Reise verstehen: als «Journey».

Diese «Security Journey» misst den Reifegrad eines Unternehmens nicht nur technisch, sondern auch prozessual.

Dazu kombinieren wir zwei etablierte Perspektiven:

Die Prozess-Perspektive: NIST Cybersecurity Framework (CSF)

Das NIST CSF gliedert Security in fünf Prozessschritte: Identifizieren, Schützen, Entdecken, Reagieren, Wiederherstellen.

NIST_CSF_2

Damit lässt sich messen, wie gut ein Unternehmen seine Sicherheitsaufgaben organisatorisch abbildet.

Die Architektur-Perspektive: CISA Zero Trust Maturity Model (ZTMM)

Das CISA-Modell betrachtet die Architektur-Ebenen: Identitäten, Geräte, Netzwerke, Applikationen, Daten.

Für jede Ebene werden Reifegrade definiert, von «traditionell» bis «optimal».

CISA_ZeroTrust_MaturityModel

Das CISA Zero Trust Maturity Modell findet Ihr hier.

Security Journey Matrix bietet umfassende Sicht auf Reifegrad der IT-Sicherheit

Die beiden Modelle werden in einem Matrix-Plan einander gegenübergestellt. Dadurch entstehen 25 Schnittpunkte.

Jeder Schnittpunt ist ein fokussiertes Handlungsfeld in der IT-Sicherheit. 

Der Reifegrad des jeweiligen Handlungsfeldes wird mit einem Wert von 1 «kritisch» bis 5 «gut» bewertet. 

Den Wert «sicher» gibt es nicht in diesem Modell. Microsoft's Interpretation von Zero Trust gibt vor, dass man jederzeit von einem Breach ausgehen sollte («assume breach»). Wir beherzigen diese Vorgabe und vergeben als höchstes Prädikat lediglich den wert «gut»

Es entsteht eine umfassende Landkarte, die anhand der Farbcodes sofort sichtbar macht, wo ein Unternehmen gut aufgestellt ist und wo gehandelt werden muss.

Als theoretische maximale Punktzahl kann in der Security Journey Matrix der Wert 250 erreicht werden. Ein perfekter Score gibt es in der Realität nicht. 

FFN_Security_Journey_Matrix

So werden die Werte für den Security Journey Reifegrad gemessen

Wir erheben die Werte für den Reifegrad mit einer Mischung verschiedener Methoden:

  • Kontinuierliche Reportings in Microsoft Defender XDR
  • Tägliches Testen von rund 200 Einstellungen in Microsoft 365
  • Punktuelles Durchführen von Assessments wie bspw. das Zero Trust Assessment von Microsoft
  • Strukturiertes Abfragen der Vorgehen und Systematiken im persönlichen Gespräch 

 

Fazit: Zero Trust ehrlich deklariert

Mit der Security Journey Matrix wird auf dem Etikett ehrlich deklariert, wie viel Zero Trust tatsächlich drin ist. 

Die schrittweise Umsetzung wird wahrheitsgetreu abgebildet und auf die Bausteine etablierter Cybersecurity-Frameworks aufgeschlüsselt. 

Philippe Hirzel

Philippe Hirzel's Aufgabe ist es, die Managed Security Services bei der first frame networkers ag auf- und auszubauen. IT-Sicherheit ist ein Prozess und nicht ein alleinstehendes Projekt. Aus diesem Grund ist ihm die Kundenbetreuung auf dem Weg zu einer besseren IT-Sicherheit wichtig. Neben der Arbeit kocht Philippe Hirzel gerne, ist Jugend- und Sport-Leiter (Ski) und absolviert am SANS Technology Institute einen Master of Science in Information Security Engineering.

Philippe Hirzel