Zero Trust : From Zero to Hero: Wie Zero-Trust mehr als ein Buzzword wird

Zero-Trust und Zero-Trust-Architekturen (ZTA) sollen das neue Allheilmittel für die IT-Sicherheit sein. Sind sie das wirklich – oder eher fauler Zauber? Zunächst einmal ist der Begriff etwas irreführend. Ich möchte schließlich auch nicht in einem Wolkenkratzer leben, den ein Zero-Trust-Architekt gebaut hat. Leser:innen werden gleich verstehen, warum. Auf der anderen Seite möchte ich mich als Ingenieur nicht zu sehr über die – und das ist ernst gemeint – oft sehr kreativen Marketing-Leute beschweren, die derartige Begriffe verbreiten. Nähern wir uns dem Thema also wohlwollend und schauen wir uns an, was Zero-Trust bedeuten kann und was sollte.

Stellen wir uns vor, mein IT-System wäre ein Hochhaus, dass nach der Zero-Trust-Architektur gebaut wäre. Wenn ich mir ZTA-bezogene Konzepte wie datenzentrierte Sicherheit ansehe, stelle ich mir also vor, ich säße ich in einer supersicheren Kommandozentrale ganz oben in meinem ZTA-Hochhaus. Ich hoffe, dass alles darunter sicher genug ist, sodass das Gebäude nicht einstürzt. Weil ich aber nicht darauf vertraue – Zero-Trust –, schaue ich manchmal in ein beliebiges Stockwerk weiter unten. Wenn ich dann eine Menge Leute herumlaufen sehe, die bröckelnden Putz reparieren und Löcher in der Wand zuspachteln, habe ich wahrscheinlich einen Patch-Day erwischt. Das ist zunächst einmal nichts Schlechtes: Natürlich müssen wir Schwachstellen flicken, und heutzutage sind wir sehr gut darin, Löcher in der Wand im Handumdrehen zu schließen. Ein mulmiges Gefühl stellt sich allerdings ein, wenn jeden Tag jemand klingelt und ein Loch repariert, von dem man bisher nichts ahnte.

Die Zero-Trust-Prinzipien: Starke Stützpfeiler, explosionssichere Bunkeranlagen

Wenn gute Architekt:innen den Wolkenkratzer gebaut haben, fühle ich mich in meiner Kommandozentrale im obersten Stockwerk viel wohler. Denn sie haben daran gedacht, alle Stockwerke mit starken Stützpfeilern auszustatten. Wenn etwas zusammenbricht, gibt es eine zweite Verteidigungslinie. In der Sicherheitstechnik ist es gängige Praxis, dass man Systeme auf der Grundlage des Konzepts Defense-in-Depth baut. Dies ist im Grunde ein Redundanzprinzip, um sich nicht nur auf einen einzigen Sicherheitsmechanismus zu stützen. Fällt die erste Linie aus oder ist von einer Schwachstelle betroffen, stehen weitere, über das gesamte System verteilte Sicherheitsvorkehrung bereit. Wann immer es möglich ist, sollte man von diesem Prinzip Gebrauch machen, schließlich kann man mit einer einzigen Säule kaum genügend Vertrauenswürdigkeit herstellen. Ob die Gesamtarchitektur dann unter dem Namen ZTA läuft oder morgen schon wieder anders heißt, ist zweitrangig, denn das Prinzip stimmt.

Eine weitere Variante von Zero-Trust ist eine verteilte oder geschichtete Anordnung von Kontrollpunkten. Da es in meinem Hochhaus viele verschiedene Hausbewohner:innen mit vielen verschiedenen Vorstellungen von „Vertrauen" gibt, wäre ein einzelner Wachposten im Erdgeschoss überfordert. Natürlich wäre es genauso wenig ratsam, den Zugang nur von meinem Kontrollzentrum im obersten Stock zu kontrollieren.

Eine grobe Zugangskontrolle am Gebäudeeingang könnte also darin bestehen, eine Basisidentität zu überprüfen. Eine Kontrolle sämtlicher Pakete und Lieferungen im Erdgeschoss ist allerdings kaum möglich: Datenpakete sind heute überall verschlüsselt. Wenn ein Paket von einem vertrauenswürdigen Lieferdienst kommt, kann es durchaus in den zweiten Stock geschickt werden. Letztlich sollte man das Paket sowieso nur öffnen, wenn man weiß, wer es geschickt hat.

Ein guter mehrschichtiger Ansatz könnte also folgendermaßen aussehen: Rechteverwaltung auf der Anwendungsdatenschicht, Transportverschlüsselung und Client-Zertifikatsvalidierung mit Transportverschlüsselung (TLS) und eine eher grobkörnige Zugangskontrolle auf der Netzwerkschicht mit VPNs.

Manchmal muss man auch Pakete von Absender:innen annehmen, die man nicht kennt. Dann wäre es gut, einen Bunkerraum zu haben, der stark genug ist, um unseren Wolkenkratzer nicht zum Einsturz zu bringen, wenn etwas explodiert. Heute gibt es solche Bausteine auf der Basis virtueller Maschinen für isolierte Umgebungen.

Die Vielzahl von Vertrauensbeziehungen, mit denen wir es in den heutigen Architekturen und Betreibermodellen zu tun haben, wurde bereits in den Neunziger Jahren in den Konzepten der multilateralen Sicherheit gut erforscht. Die Idee dahinter war, bei null Vertrauen anzufangen – und dann Vertrauensbeziehungen zwischen allen Beteiligten aufzubauen, bis ein Teilnehmer bereit war, Daten mit anderen zu teilen – im Rahmen ausgehandelter Schutzmechanismen. Auch im menschlichen Alltag tun wir das ständig: Vertrauen aufbauen, bis eine Beziehung vertrauenswürdig genug ist, um Daten zu teilen. Es beginnt sozusagen mit Zero-Trust, aber endet mit Vertrauenswürdigkeit.

Werkzeuge, die Vertrauen schaffen können

Ganz ohne Vertrauenswürdigkeit kommen wir also nicht aus. Die Frage ist: Wie stellt man sie her? Wir müssen uns einen riesigen Technologie-Stack vorstellen, der über viele Länder verteilt von Menschen und Unternehmen aufgebaut und betrieben wird – hoffentlich auf sichere Weise. Wenn Sie sich diesen vernetzten Technologie-Stack vor Augen führen, können Sie sich vorstellen, welche Ausmaße unser imaginärer Wolkenkratzer haben muss.

Zum Glück ist eine Menge Arbeit im Gange, um die Situation im Hochhaus systematisch zu verbessern. Eingebaut werden zum Beispiel neue felsenfeste Ziegel („Rust“, eine sicherere Programmiersprache) oder magische Türen (gut erforschte Kryptographie). Viele undurchsichtige Wände werden durch Glasbausteine (Open Source) ersetzt, die mehr Transparenz bieten und erkennen lassen, wie stabil eine Wand wirklich ist. Und wir beginnen, die Gesetze der Physik zu verstehen und die Statik des Gebäudes zu berechnen (mathematische Korrektheitsnachweise, automatisierte Testmethoden für Software).

Die einzelnen Werkzeuge sind nicht neu, aber durch die Vielzahl ineinandergreifender Ansätze und Technologien wird IT-Sicherheit immer praktikabler. Gleichzeitig wird das Thema immer dringlicher. So wie neue Maschinen und neues Wissen es uns erst im 20. Jahrhundert ermöglicht haben, Wolkenkratzer zu bauen, sind wir heute erst in der Lage, wirklich sichere IT-Infrastrukturen umzusetzen.

Als wir vor vielen Jahren angefangen haben, unseren heutigen „Weltcomputer" zu bauen – haben wir das so getan, wie wir im Mittelalter einen Wolkenkratzer gebaut hätten? Möglicherweise. Aber mit den technologischen Bausteinen und dem Wissen, das wir seit einiger Zeit haben, können wir ihn renovieren. Wir sollten unser Vertrauenslevel ständig überprüfen, messen und in Frage stellen. Wenn Zero-Trust uns dazu bringt, so zu arbeiten, hat sich das Konzept schon gelohnt.

Kai Martius ist Chief Technical Officer der Secunet Security Networks