Am 26. Januar 2022 veröffentlichte das Office of Management and Budget (OMB) der US-Bundesregierung die neue Strategie für eine Zero-Trust-Cybersicherheitsarchitektur für die US-Bundesbehörden. Der erste Entwurf wurde im September 2021 veröffentlicht. Die Strategie muss bis Ende 2024 umgesetzt sein – wenig Zeit, aber angesichts der Gefahren durch Cyberangriffe ist diese Eile absolut richtig. Für Deutschland und Europa ist diese Strategie und ihr Umsetzungsplan ein gutes Beispiel.

Was genau bedeutet „Zero Trust“?

Die meisten Organisationen unterscheiden mindestens zwei Sicherheitszonen: ihre internen Systeme, also ihr Intranet, und den Rest der Welt, das Internet. Die Übergänge zwischen beiden werden durch Firewalls und VPNs abgesichert. Dieser sogenannte Perimeterschutz allein genügt aber nicht. Dies belegen zum einen die vielen erfolgreiche Angriffe gegen große Organisationen. Zum anderen wird es immer schwieriger, einen sinnvollen Perimeter festzulegen: Mobile Geräte erlauben Mitarbeitern, von überall auf die Unternehmens-IT zuzugreifen, wo es Internet gibt. Teile der Unternehmens-IT wandern in öffentliche Clouds. Die Grenzen zwischen innen und außen werden dadurch zunehmend verwischt.

Schon Anfang der 2000er Jahre beschrieb das Jericho-Forum diese Entwicklung und schlug einen Paradigmenwechsel vor hin zu dem, was damals „De-perimeterisation“ hieß und heute „Zero Trust“ genannt wird. Zero Trust soll den Schutz des Perimeters ersetzen.

Zero Trust bedeutet zunächst, ein IT-System so abzusichern, dass nichts oder zumindest möglichst wenig über die Sicherheit anderer IT-Systeme angenommen werden muss. Ganz kann das natürlich nicht gelingen, einzelne Komponenten eines IT-Systems können immer korrumpiert werden, etwa wenn ein Angreifer erfolgreich den Hersteller der Komponente angreift. Das zweite Ziel von Zero Trust ist deshalb, es dem Angreifer zumindest so schwer wie irgend möglich machen, sich nach einem erfolgreichen Angriff auf eine Komponente weiter im IT-System auszubreiten.

Konkrete Empfehlungen, wie Zero Trust umgesetzt werden kann, findet man in dem schon erwähnten Memorandum des OMB.

Umfassende Ende-zu-Ende-Verschlüsselung: Alle IT-Dienste müssen davon ausgehen, dass sie direkt vom Internet aus zugreifbar sind und deshalb Cyberkriminelle alle Nachrichten mitlesen können. Folglich müssen alle Nachrichten verschlüsselt übertragen werden. Das gilt beim OMB explizit für allen Web-, Email- und auch DNS-Verkehr. Damit werden VPNs eigentlich überflüssig und da sie für Administratoren und Nutzer kompliziert sind und leicht ein falsches Gefühl von Sicherheit vermitteln, soll man sie laut OMB besser weglassen.

Zero-Trust-Authentifizierung und minimale Rechte: Nutzer, Anwendungen und Geräte brauchen sichere Identitäten, und sie müssen vor jedem Zugriff authentifiziert werden. Alles erhält attribut- und rollenbasiert nur die zu jedem Zeitpunkt minimal notwendigen Rechte.

Viel Wert wird auf die sichere Authentisierung gelegt. Passwörter sollen möglichst ganz aufgegeben werden, da sie eines der größten Risiken für die Cybersicherheit darstellen. Empfohlen wird Multifaktor-Authentifizierung (MFA), möglichst ohne Passwörter und robust gegen Phishing. Wer Passwörter als einen Faktor nutzen möchte, muss den Zwang zu unmerkbaren und deshalb für die Sicherheit eher schädlichen Passwörtern mit Sonderzeichen aufgeben. SMS und Telefonanrufe sollen nicht mehr für Zwei-Faktor-Authentifizierung genutzt werden, da sie zu anfällig für Phishing sind.

Darüber hinaus empfiehlt OMB auch regelmäßige Sicherheitstests und einen verantwortungsvollen Umgang mit Schwachstellen: Behörden sollen die Sicherheit ihrer Anwendungen und Dienste regelmäßig intern und von externen Dienstleistern testen lassen. Sicherheitsexperten werden explizit ermuntert, Behördendienste und IT-Systeme zu analysieren und gefundene Schwachstellen zu berichten, und alle Behörden müssen einen entsprechenden Prozess dafür aufsetzen.

Ähnliche Empfehlungen werden auch von Unternehmen gemacht, z.B. in der BeyondCorp-Sicherheitsarchitektur von Google.

Natürlich verhindert Zero Trust nicht alle Angriffe, aber Zero Trust macht Angreifern das Leben deutlich schwerer. Um das zu verstehen, kann man prominente Angriffe der letzten Jahre ansehen, etwa den Cyberspionage-Angriff auf SolarWinds und seine Kunden, oder den Ransomware-Angriff auf Colonial Pipeline.

Bei SolarWinds gelang es den Angreifern, unbemerkt in Orion eine Hintertür einzubauen. Orion ist ein weit verbreitetes Monitoring-System von SolarWinds, d.h. es ist dazu gebaut, IT-Systeme zu überwachen. In der Folge wurde die Hintertür als Teil eines Updates von Orion an die SolarWinds-Kunden ausgeliefert, wodurch die Angreifer ebenfalls den Netzverkehr der Kunden beobachten konnten. Sie sammelten Passwörter ein, breiteten sich auf den anderen Systemen der Kunden aus und griffen vertrauliche Daten ab. Hätte Zero Trust die Verteilung der Hintertür an die SolarWinds-Kunden verhindert? Nein, denn das Update mit der Hintertür war authentisch, es stammte tatsächlich von SolarWinds. Zero Trust hätte aber den Nutzen einer solchen Hintertür für die Angreifer sehr stark eingeschränkt. Alle Nachrichten wären verschlüsselt und damit für die Angreifer wertlos gewesen. Mangels abgehörter Passwörter und dank Zero-Trust-Authentifizierung wäre ein weiteres Ausbreiten in den Kundensystemen nicht mehr so einfach möglich gewesen.

Beim Ransomware-Angriff auf Colonial Pipeline drangen die Kriminellen mittels eines im Darknet geleakten VPN-Passworts in das Netz von Colonial Pipeline ein und breiteten sich danach im gesamten Netz aus. Zero Trust hätte schon das erste Eindringen verhindert, denn statt Passwörter wird Multifaktor-Authentifizierung verwendet. Hätten es die Kriminellen aber doch irgendwie geschafft einzudringen, so hätte es ihnen Zero Trust zumindest sehr schwer gemacht, sich von dem ersten korrumpierten Rechner im gesamten Netz auszubreiten und so die gesamte Organisation lahmzulegen.

In der Summe gehen die OMB Empfehlungen zu Zero Trust weit über das hinaus, was die Mehrheit der Firmen und Behörden heutzutage tun, in den USA wie in Deutschland. Für die USA ist diese Strategie also ein großer Schritt in die richtige Richtung, und für uns eine gute Anregung für die Weiterentwicklung der Cybersicherheit einzelner Organisationen als auch für die Cybersicherheitsstrategie Deutschlands.

Aus praktischer Sicht gibt es bei der Umsetzung von Zero Trust eine Vielzahl von Herausforderungen zu bedenken.

Eine offensichtliche Herausforderung ist der durch Zero Trust verursachte Managementaufwand: Alles braucht sichere Identitäten. Der Zugriff wird über feingranulare, attribut- und rollenbasierte und damit sehr komplexe Policies geregelt. Beides erfordert entsprechend aufwändige Managementsysteme.

Die Forderung, alles zu verschlüsseln, klingt einfach – es gibt ja TLS – ist aber in der Praxis ebenfalls sehr aufwändig. Verschlüsselung von Internet-Verkehr ist zudem oft fehlkonfiguriert und dadurch unsicher, wie unsere eigenen Untersuchungen regelmäßig belegen.

Sehr sinnvoll ist die Forderung, auch DNS-Verkehr zu verschlüsseln. Dies schützt den Verkehr zwischen Nutzer-Client und dem DNS Resolver, der die DNS-Auflösung im Internet durchführt. Dem DNS-Resolver muss der Nutzer aber natürlich vertrauen. Die großen öffentlichen DNS Resolver werden heute alle von US-amerikanischen Anbietern betrieben. Unter dem Gesichtspunkt der digitalen Souveränität ist es jetzt auch an der Zeit, einen europäisch betriebenen öffentlichen DNS-Resolver zu schaffen. Initiativen wie DNS4EU sind deshalb zu begrüßen.

Limitierungen von Zero Trust

Richtig umgesetzt kann Zero Trust das Sicherheitsniveau deutlich verbessern. Es gibt aber auch einige Limitierungen, die zu bedenken sind.

Abhängigkeit von dritten Parteien: Auch eine Zero-Trust-Architektur setzt die Sicherheit einer ganzen Reihe von dritten Parteien voraus. Diese Limitierung ist unvermeidbar, und statt „Zero Trust“ sollte man deshalb eigentlich eher von „Minimal Trust“ sprechen. Vertrauen ist offensichtlich gefordert in die Hersteller der verwendeten Soft- und Hardware, aber auch in dritte Parteien, die digitale Ressourcen verwalten, wie z.B. CAs, Internet-Registrare und Cloud-Plattformen. Auf der Konferenz USENIX Security 2021 zeigten wir, dass viele dieser dritten Parteien vergleichsweise einfach anzugreifen sind. 

Fehlende Validierung von Server-Input: Die aktuell verwendeten ZTA, z.B. BeyondCorp by Google, regeln nur, wer zur Kommunikation mit wem berechtigt ist, und wie die Kommunikation gesichert werden muss. Dies genügt aber nicht. Es ist seit langem bekannt, dass viele Anwendungen mittels manipulierter Nutzereingaben („String Injections“) angegriffen werden können. Deshalb ist es üblich, dass Anwendungen Nutzereingaben zuerst validieren, bevor sie sie verarbeiten. Auch hier haben wir auf der USENIX Security 2021 gezeigt, dass im Gegensatz dazu Eingaben von anderen Servern oft nicht validiert werden. Im konkreten Fall ging es um Anwendungen wie Web-Browser, Netzwerkzeuge und Router, denen über lokale und deshalb als vertrauenswürdig eingestufte DNS-Resolver manipulierte DNS-Records zugespielt werden konnte. Gut 27 Prozent aller untersuchten Anwendungen in Deutschland akzeptierten in unseren Versuchen unvalidierte DNS-Records. Unsere Forschung zeigt, wie wichtig es ist, Zero Trust entsprechend zu erweitern: Auch den Nachrichten, die zwischen Servern ausgetauscht werden, darf man nicht vertrauen, sondern muss sie validieren.

Zero Trust sollte ein Bestandteil jeder Cybersicherheitsstrategie sein. Das gilt für Firmen genauso wie für die öffentliche Hand. Alle sollten die Prinzipien von Zero Trust anwenden und in ihren Produkten und Angeboten unterstützen. Digitalisierung muss sicher sein, und Zero Trust kann dazu einen großen Beitrag leisten.

Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Forschungszentrum ATHENE. 

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Haya Shulman im Background Cybersicherheit erschienen: Cyberabwehr – Aktive Verteidigung ist oft die einzige Möglichkeit.