© Rawin Tanpin, 123RF.com

Vertrauenswürdige Netze, Rechner, Benutzer und Dienste – das war einmal. Sichere IT ist möglich, erfordert aber ein grundsätzliches Umdenken.

Vertrauen sei gut, aber Kontrolle besser – das schreibt man als Zitat fälschlich häufig Wladimir Iljitsch Lenin (Abbildung 1) zu. Ungeachtet dessen boomt das entsprechende Konzept der IT-Security seit ein, zwei Jahren wieder. Zero Trust erfreut sich unter Beratern und Sicherheitsexperten so inflationären Gebrauchs, dass sich zahlreiche Admins genervt abwenden – zu Unrecht, denn wer sich den Ideen öffnet, findet klare, gut begründete Ansätze. Schade nur, dass diverse Legacy-Fallen nachhaltige Lösungen behindern.

Abbildung 1: Obwohl Lenin den berühmten Satz vom Vertrauen nie gesagt hat, ist das Prinzip unter Sicherheitsexperten wieder stark en vogue. Quelle: Wiktor Karlowitsch Bulla, Bibliothèque nationale de France

Erstmals erwähnte 1994 eine Doktorarbeit aus Schottland den Begriff Zero Trust [1], dann dümpelte er vor sich hin. Im frühen 21. Jahrhundert beschrieb Googles BeyondCorp [2] eine an Zero Trust angelehnte Sicherheitsarchitektur, der sich das US-amerikanische National Institute of Standards and Technology (NIST [3]) und das britische National Cyber Security Centre (NCSC [4]) anschlossen. Als das mächtige Office of Management and Budget (OMB) ankündigte, alle US-Bundesbehörden der USA zu Zero Trust zu verpflichten [5], stieg die Nachfrage nach Zero Trust bei Google massiv.

Fünf Grundsätze

Zero Trust setzt auf wenige, simple Prinzipien: Grundsätzlich gilt es, jedem und allem zu misstrauen. Zugriffsrechte bleiben minimal und werden idealerweise zeitlich beschränkt vergeben. Alle Faktoren sind ständig zu überprüfen, Datenflüsse und Netzwerke kleinteilig aufzuteilen und zu überwachen. Dazu braucht es starke Mehrfaktorauthentifizierung bei jedem Zugriff, Protokollierung, Monitoring sowie kontinuierliche Schwachstellenerkennung.

Der Teufel steckt dabei im Detail. Sowohl NIST und NCSC als auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und Hersteller wie Red Hat [6] definieren ihre eigenen Vorstellungen von Zero Trust. Experten des Berufsverbands für IT-Auditoren (ISACA, Information Systems Audit and Control Association) sehen da schwarz. Sie halten die Ansätze angesichts der “Unmengen von Legacy Systemen, IoT-Geräten, privilegierten Accounts, Diensten von Dritten” sowie ständig neuer Technologien und Anwendungen “für wenig geeignet, die heutigen Sicherheitsprobleme zu lösen” [7]. Und als Mitte 2023 das BSI ein Grundlagenpapier mit Empfehlungen veröffentlichte [8], rieben sich Sicherheitsexperten daran.

Aufgeben? Niemals!

Viele Admins teilen die Meinung der ISACA, weder alte Hard- und Software noch generell das veraltete Active-Directory-Konzept ließen sich einfach ablösen. Aber hat, wer “praxisgerechtere” Sicherheit fordert, nicht schon aufgegeben? Kein Wunder in einer Branche, die mit viel Schlangenöl dafür sorgt, dass die Wurzeln des Problems unangetastet bleiben, so meinen Kritiker. Gegen Fehlmanagement, mangelnde Planung und vermeintliche Ausweglosigkeit hilft keine Antivirussoftware, gegen Dummheit ist kein Kraut gewachsen.

Auch der umstrittene, aber stets meinungsstarke Blogger und Sicherheitsexperte Felix von Leitner (Fefe [9]) kritisiert das BSI-Papier dahingehend. Zero Trust sei “viel besser als [die Situation] im Moment, wo niemand sich traut, irgendetwas jemals wieder anzufassen, weil gar nicht bekannt ist, was (…) alles davon abhängt und wie das verzahnt ist”. Bereits 2022 [10] schilderte er in einer Präsentation, wo die Hauptprobleme liegen (Ransomware, Datenverlust, Innentäter) und wie Hacker in die Systeme gelangen.

Eine wichtige Ursache für die Unsicherheit unserer IT-Systeme beginnt auf dem Desktop: “Wer unter Windows in Word Datei öffnen anklickt, bekommt ein Auswahlfenster von Word. Das ist aber bloße Konvention. Word hätte auch ohne Nachfrage jede Datei öffnen können, die der angemeldete Nutzer lesen darf. Auf dem Smartphone kommt die Auswahl vom System. Dort kann Word keine einzige Datei selbst öffnen, ohne dass der Nutzer sie in dem Dialog ausgewählt hat.”

Experten wie Felix von Leitner oder der Security-Papst Bruce Schneier loben die Sandkästen moderner Smartphones oder Chromebooks, wo Hacker im Idealfall lediglich die Funktionen der jeweiligen App missbrauchen können. Ganz anders läuft das auf dem Rechner: In Active Directory verleihen Kerberos-Tickets Benutzern, Diensten und Maschinen sogenannte Vertrauensstellungen, um Single-Sign-on und domänenweite, anmeldefreie Zugänge zu ermöglichen. Nutzerfreundlichkeit gehe da vor Sicherheit, kritisieren Experten. Fefe bringt es auf den Punkt: “Dass Angreifer sich lokale Admin-Rechte verschaffen, geht nur, weil Sie Windows benutzen”. Dass von da aus die Domain Controller unter Beschuss geraten, “geht, weil Sie Active Directory benutzen”.

Wenn Sie jetzt denken, Linux sei da sicherer, irren Sie sich. Auch hier besitzt ein E-Mail-Anhang oft mehr Berechtigungen als nötig, im Normalfall genau die des Anwenders. Android und ChromeOS machen das besser, iOS vermutlich ebenso. Letzteres teilt mit Windows aber den Nachteil, nicht quelloffen zu sein, und verliert deshalb in Sachen Sicherheit und digitaler Souveränität.

Von Leitner weiß zudem, wo wir falsch abgebogen sind: smarte Fat Clients. Lange Zeit waren Computerarbeitsplätze “dumme” Terminals und ausschließlich durch Hardwareeingriffe zu hacken. Es gab weder einen lokalen Speicher noch ein Betriebssystem, keine lokal installierte Software, keinen lokalen Admin-Account, kaum Sicherheitslücken, wenige Patches, nur einen Netzwerkzugang, und ohne Login ging gar nichts. Viel von damals ähnelt dem heutigen Zero-Trust-Paradigma und reduziert die Angriffsfläche gegenüber einem PC deutlich.

Chronisch verletzlich

Unsere Rechner leiden unter chronischer Unsicherheit, weil sie dem Benutzer (und damit auch Angreifern) vieles so einfach machen und dabei wichtige Security-Grundsätze verletzen. Vielerorts trennen Unternehmen deshalb betriebliche Hardware von (ungeschützten) privaten Geräten, segmentieren Netze und stellten am Perimeter Firewalls auf. So entwickelt sich der physische Standort (innen vs. außen) zum Sicherheitskriterium, mit Hybriden wie den DMZs und VPNs.

Doch VPNs, Firewalls und Antivirensoftware können nur (noch) schwer dagegen schützen, dass ein vertrauenswürdiger AD-Anwender oder die Ransomware das ganze lokal gemountete Samba-Laufwerk verschlüsselt. Wer eine API dazwischenschaltet und immer wieder starke Authentifizierung verlangt, hat deutlich mehr Sicherheit und Optionen. Bei Owncloud beispielsweise lassen sich SMB-Laufwerke auf dem Owncloud-Server mounten (Windows Network Drive App) und über das Web-Interface und Desktop-Apps für authentifizierte und eingeloggte Benutzer freigeben. Es gibt fein einschränkbare Permissions, starke Authentifizierung mit zeitlich begrenzt gültigen Tokens sowie Tests, die auf dem Server hochgeladene Dateien untersuchen, bevor sie Schaden anrichten können. Ganz ohne VPN bedeuten verseuchte Clients so (fast) keine Bedrohung mehr, die wertvollen Samba-Laufwerke sind nicht mehr exponiert.

Fazit

Wer sich eingehend mit Zero-Trust-Architekturen auseinandersetzt, findet viele gute Ansätze. Für die Legacy-Falle, in der sich zahlreiche Unternehmen befinden, trägt schlussendlich der Markt die Verantwortung.

Für Hersteller ist es weder wünschenswert noch rentabel, dauerhaft sichere Systeme oder Software zu bauen. Sie müssen neue Produkte verkaufen, nicht alte reparieren. Hersteller, Unternehmen und Privatanwender können kaum so oft neue Hard- oder Software anschaffen oder Migrationen angehen, wie die Hersteller es wollen.

Gut, dass sich inzwischen immer mehr Verantwortliche mit der Thematik auseinandersetzen und Zero-Trust-Konzepte sich etablieren. Vielleicht gelingt es ja doch, den Weg zu sicherer IT finden. (csi)