Security-Bausteine: Null Vertrauen - Zero-Day und Zero Trust

"Am Anfang steht … der Verlust allen Vertrauens." Eine zeitgemäße Beschäftigung mit Security fängt ziemlich genau so an wie das Gegenteil eines Werbespots für eine Versicherung. Mit diesem erwünschten Vertrauensverlust ist nicht reine Awareness gemeint. Dass Security wichtig, sogar sehr wichtig ist, hat sich heute weitgehend herumgesprochen. Aber es bedarf eines anderen gedanklichen Schritts, um zu verstehen, wie tiefgreifend unsere Abhängigkeit von ihr ist.

Inhalt der Artikelreihe​ "Security-Baukasten"

Theoretische Einführungen in und umfangreiche Standards zur IT-Sicherheit gibt es viele. Wenn man den Gedanken dieser sechsteiligen Miniartikelreihe folgt, entsteht unterwegs die Basis für ein schlankes und schlagkräftiges Securityprogramm.

• Teil 1: Null Vertrauen: Zero-Day und Zero Trust
• Teil 2: Ein Passwort: Assets und Zugriff
• Teil 3: Zwei Faktoren: Authentifizierung und Backup
• Teil 4: Drei Werte: CIA or DIE
• Teil 5: Vier Levels: Risiko und Security-Levels
• Teil 6: Fünf Bedrohungen: Threats und Models

Der Begriff Zero-Day ist besonders gut geeignet, sich und der eigenen Organisation klarzumachen, was und wie groß die Aufgabe ist. Und zwar nicht, weil er hip und gefährlich klingt – immerhin werden sogenannte Zero-Day-Exploits von Geheimdiensten gejagt und gehortet und teilweise für Millionenbeträge gehandelt. Sondern weil er uns mehrere Dinge bewusst macht:

Ein Zero-Day ist eine Schwachstelle, die denjenigen, die sie hätten vermeiden oder beheben sollen, bisher nicht bekannt war. Aus dieser Definition folgt direkt:

1. "Andere" suchen nach Schwachstellen. Auch in "unserer" Software.
2. Und finden diese so häufig, dass es dafür einen Begriff braucht.
3. Die "anderen" sind dabei öfters mal so schnell, dass es zunächst keine Abhilfe gibt (übrigens manchmal für lange Zeit nicht).
4. Hersteller wie auch Anwender/Betreiber von Software schaffen es daher nicht durchgängig, Systeme sicher zu halten.

Ein ständiger Zustand der Unsicherheit

Wir befinden uns also, wenn wir nicht komplett auf Digitalisierung verzichten, in einem ständigen Zustand der Unsicherheit, des potenziellen Angriffs und der hektischen Flickschusterei – mithin ein Grund, warum Burn-out in der Profession der CISOs (Chief Information Security Officer) so verbreitet ist.

Zero-Days sind längst nicht die einzigen Schwachstellen und erst recht nicht die einzigen Themen, mit denen sich IT-Sicherheitsbeauftragte herumschlagen müssen. Aber allein ihre Existenz zeigt, dass unverdientes Vertrauen in unsere IT-Systeme und Anwendungen eine gefährliche Illusion ist.

Die Erkenntnis, dass jedweder Vertrauensvorschuss eine Gefahr birgt, nennt sich, konsequent zu Ende gedacht, Zero Trust. Auch wenn dieses Schlagwort für das Marketing von "Lösungen" (wie wir oben gesehen haben, ein frivoler Euphemismus) des Securityproblems missbraucht wird, umschreibt er eigentlich eine Haltung, quasi das Zen der modernen Security:

1. Hundertprozentige Sicherheit kann es prinzipiell nicht geben.
2. Im Gegenteil müssen wir an jeder einzelnen Stelle unseres Sicherheitskonzepts bei null anfangen. "Assume breach", wie es heißt: Geh davon aus, dass die Angreifer schon da sind – und schau von da, wie du Stück für Stück sauberere Räume baust.
3. Insbesondere muss jedes kleinste bisschen Vertrauen mühsam erarbeitet und verdient werden.
4. Das gilt vor allem, aber nicht nur für das Netzwerk. Mein angeblicher "Ort" im Netzwerk alleine beweist noch gar nichts. Traditionelle und gefühlte Privilegien dürfen in der neuen Welt nichts zählen.

Defense in Depth

Daraus folgt: Security ist ein Prozess, der bei den zu schützenden Werten (siehe kommenden Artikel "Ein Passwort") beginnt. Wenn wir diesem folgen und dabei alles aufbringen, was uns einfällt, um Vertrauen einräumen zu können, landen wir beim Prinzip der "Defense in Depth". Die deutsche Übersetzung "gestaffelte Verteidigung" täuscht insofern etwas, als sie Bilder eines Hintereinanders von Maßnahmen entstehen lässt, wie bei einer mittelalterlichen Burg, wo vor dem Tor erst der Graben zu überwinden ist.

Der Begriff Zero Trust lässt keinen Zweifel, dass die Bedrohung längst bereits im Rittersaal sein kann. Tiefenverteidigung muss daher vielmehr die gleichzeitige Nutzung verschiedener Domänen und Dimensionen umfassen, um den Risiken zu begegnen. Das kann zeitlich-logisch geschehen (zum Beispiel Prävention, Detektion, Reaktion), technisch-funktional (Zugriffskontrolle, Backup, Logging) oder konzeptionell (Pentesting, Red Teaming, Security Chaos Engineering).

Entscheidend ist, sich zu Beginn des Prozesses der Beschäftigung mit Security der Unsicherheit hinzugeben und mit dieser zu arbeiten – auch wenn das für viele Organisationen immer noch ein Schock ist und die schmerzhafte Erkenntnis beinhaltet, dass Security nicht durch die Beschaffung eines glitzernden Produkts zu erhalten ist.

(ur)