ZTNA: Rückblick auf das Zero Trust-Konzept

ztna

In seinem “Market Guide for Zero Trust Network Access (ZTNA)” [01] schätzt Gartner, dass bis zum Jahr 2022 80% der neuen Business Applikationen, die einem Ökosystem an Partnern offen stehen, über eine ZTNA-Lösung zugänglich sein werden. Und immer noch nach Gartner werden bis zum Jahr 2023 60% der Unternehmen ihre Remote-VPN-Zugänge durch Remote-ZTNA-Zugänge ersetzt haben. ZTNA. Das Zero Trust setzt sich also als eines der Schlüsselthemen der kommenden Jahre für IT-Leiter und CISO durch.

 

ZTNA / Zero Trust: welcher Ursprung?

Das Konzept des Zero Trust ist relativ neu und obwohl das Thema von einer steigenden Anzahl an Organisationen aufgenommen wird, hat dieses Modell noch nicht den Bekanntheitsgrad wie VPN, das es ersetzen soll. John Kindervag [02], Vizepräsident und Chef-Analyst im Team Sicherheit und Risiken des Planungsbüro Forrester, hat das Konzept Zero Trust im Jahr 2010 entwickelt oder zumindest formalisiert.

Heute empfiehlt das Repräsentantenhaus der Vereinigten Staaten allen staatlichen Einrichtungen, das Modell Zero Trust anzunehmen. Diese Empfehlung entstand als Folge aus einem massiven Diebstahl von Daten im Jahr 2014, den das Office of Personnel Management (OPM) erlitten hat [03] [04], die Haupt-Organisation für Personalverwaltung und Personalpolitik der Bundesregierung der Vereinigten Staaten. Diese Verletzung von Daten wird als schlimmste in der Geschichte angesehen, da sie die personenbezogenen Daten von 21,5 Millionen ehemaliger Angestellter und Angestellter unter Vertrag mit der Regierung der Vereinigten Staaten betrifft.

Im Rahmen dieses Datendiebstahls haben die Cyber-Piraten wahrscheinlich Zugangsberechtigungen durch Social Engineering erhalten, welches darin besteht, Personen zu beeinflussen, um ihr Vertrauen zu gewinnen und Informationen zu erhalten. Durch Einsatz des Zero Trust-Konzept hätte diese massive Verletzung von Daten höchstwahrscheinlich vermieden oder die Auswirkungen deutlich reduziert werden können.

 

Das Konzept des Zero Trust

Das Zero Trust ist ein Modell, das darauf abzielt, das IT-System und die Daten der Organisationen zu schützen, indem es vom Prinzip ausgeht, dass man niemandem vertrauen kann. Daher müssen sowohl die Identitäten der Personen geprüft werden, die auf das IT-System zugreifen, als auch die für den Zugriff verwendeten Geräte, unabhängig davon, ob sie sich außerhalb oder innerhalb des Netzwerks der Organisation befinden. Das war bei früheren Konzepten für IT-Sicherheit nicht der Fall, bei denen der Ansatz die Grundlage bildete, dass die Nutzer und Geräte innerhalb des Unternehmens-Netzwerks vertrauenswürdig waren, da sie schon die äußere Schutzwand des Unternehmens überwunden hatten. 

Dieses Vertrauen, das früher einem Nutzer innerhalb eines IT-System gegeben wurde, ist Quelle für Verwundbarkeit, denn wenn ein Angreifer erst einmal in das Netzwerk einer Organisation eingedrungen ist, kann er potenziell auf deren sensible Daten zugreifen. Mehrere Prinzipien ermöglichen es den Organisationen, eine Zero Trust-Sicherheit einzuführen, darunter:

Prinzip der minimalen Rechte: Den Nutzern nur den Zugriff auf Ressourcen oder Daten geben, den sie zur Erledigung ihrer Aufgaben benötigen. Es handelt sich hierbei um ein Hauptprinzip der ANSSI in ihren Empfehlungen zur Umsetzung einer Abschottung des IT-Systems, wodurch die Wirkungsfläche im Falle eines bösartigen Angriffs reduziert wird (Dokument PG-040 [05]): “Standardmäßig jede Aktion verbieten und ausdrücklich die Erlaubnis erteilen für das, was für die Aufgaben notwendig ist, stellt die wirksamste Strategie der Umsetzung des Prinzips der minimalen Rechte dar”.

Kontrolle der auf das IT-System zugreifenden Geräte: Die alleinige Kontrolle der Personen, die auf das IT-System zugreifen, ist nicht ausreichend. Wenn dieser Nutzer berechtigt ist, auf das IT-System zuzugreifen, muss auch das Gerät kontrolliert werden, über das er zugreift. Ein wohlwollender Nutzer kann nämlich, ohne es zu wissen, ein bösartiges Programm auf seinem Gerät installiert haben und so das IT-System infizieren, auf das er zugreift.

Multi-Faktor-Authentifizierung: Als anderes wichtiges Element des Zero Trust Modell ermöglicht die Multi-Faktor-Authentifizierung (MFA), bösartige Zugriffe komplexer zu machen, indem mehrere Identitätsnachweise von dem Nutzer verlangt werden, der auf das IT-System zugreifen möchte. Aktuell erfolgt die einfache Authentifizierung oft durch die Eingabe von Login und zugehörigem Passwort, wobei Missbrauch durch Social Engineering jedoch einfach ist, wie der Datendiebstahl im Office of Personnel Management im Jahr 2014 gezeigt hat. Mit der MFA authentifiziert sich der Nutzer mit mindestens zwei Authentifizierungs-Faktoren aus den drei Arten: etwas, das er weiß, wie die Eingabe von Login/Passwort, etwas, das er hat, durch zum Beispiel einen Code, den er auf seinem Smartphone erhalten hat, und etwas, das er “ist” mit zum Beispiel seinem digitalen Fingerabdruck oder einem Netzhautscan.

 

Zero Trust innerhalb seiner Organisation einsetzen

Mehrere Lösungen ermöglichen es Unternehmen, mit den Zero Trust Prinzipien konform zu gehen. Die Einführung einer Lösung zur Zugangskontrolle mit starker Authentifizierung, wie Systancia Access, kann zum Beispiel Organisationen ermöglichen, die Multi-Faktor-Authentifizierung für alle Mitarbeiter zur Pflicht zu machen.

Eine ZTNA-Lösung wie Systancia Gate kann ihrerseits einen hoch gesicherten Zugang auf ausgewählte Ressourcen des IT-Systems ermöglichen für jede Art Nutzer (auf Dienstreisen, Home Office-Mitarbeiter, IT-Dienstleister…) und durch einen einzigen Zugang, ohne eingehende Datenflüsse und ohne Öffnen von Netzwerk-Ports, und so werden die Risiken für das IT-System beschränkt. Die durch die Mitarbeiter einer Organisation verwendeten Geräte können auch kontrolliert werden, um die Konformität des PC zu gewährleisten. Konkret können Regeln eingerichtet werden, um zum Beispiel das Vorhandensein einer Anti-Viren-Software, einer Firewall oder von Updates zu bestätigen. So kann das Zero Trust sich an eine Vielzahl an Anwendungsfällen anpassen und insbesondere an Home Office oder BYOD (Bring Your Own Device), welche eigentlich von der IT-Leitung als wenig sicher angesehen werden.

 

 

Referenzen

[01] Gartner – Market Guide for Zero Trust Network Access (ZTNA)

[02] Bio John Kindervag

[03] Datendiebstal im Office of Personnel Management

[04] About – Office of Personnel Management

[05] Empfehlungen für den Einsatz einer System-Abschottung