Übersicht:
- Weißes Haus veröffentlicht neue Cybersecurity-Richtlinien
- Strategie-Änderung durch Solarwind Vorfälle & Co.
- Zero-Trust für mehr Sicherheit
- Paradigmenwechsel auf mehreren Ebenen
- Mehrdimensionaler Ansatz
- Staatliche Behörden als Technologietreiber?
- Muss ich jetzt handeln?
- Paper der US-Regierung
Weißes Haus veröffentlicht neue Cybersecurity-Richtlinien
Von der Öffentlichkeit weitgehend unbemerkt, hat die US-Regierung vor wenigen Tagen ihre neueste Cybersecurity Richtlinie veröffentlicht. Ähnlich wie hierzulande das Bundesamt für Sicherheit in der Informationstechnik z.B. den IT-Grundschutzkatalog erarbeitet, wird auch in den USA von den dort zuständigen Behörden definiert, welche neuen Sicherheitsstandards in Zukunft für die Datenverarbeitung sowohl der Regierungsorgane als auch aller ihr untergeordneten Bundesbehörden gelten.
Strategie-Änderung durch Solarwind Vorfälle & Co.
Vor dem Hintergrund der enormen Schäden, die zum Beispiel durch den Solarwinds-Hack und die erfolgreichen Angriffe auf kritische Infrastrukturen wie Energieversorger, Krankenhäuser und Sozialversicherungen entstanden sind, wurden die gegenwärtig eingesetzten Cyber Sicherheitskonzepte kritisch überprüft und auf ihre Schwachstellen hin analysiert.
Zero-Trust für mehr Sicherheit
Das Ergebnis: Die heutigen Sicherheitskonzepte sind den modernen, hybriden Angriffsmethoden längst nicht mehr gewachsen. Die konzeptionelle Unterteilung in ein internes Netzwerk, welches inhärent sicher ist und das Internet, welches potentiell gefährlich ist, wird als veraltet betrachtet und führt darüber hinaus zu fatalen Fehleinschätzungen über die tatsächliche Bedrohungslage im Netzwerk. Daraus wird nun ein radikaler Paradigmenwechsel abgeleitet: Zero Trust.
Zero Trust bedeutet, dass von nun an das interne Firmennetz grundsätzlich als kompromittiert angesehen werden muss. Eine Verteidigung des internen Netzes nur über Perimeter, z.B. mittels Firewalls, wird als sinnlos oder gar schädlich angesehen.
Paradigmenwechsel auf mehreren Ebenen
Man darf sich also nicht mehr auf den Schutz der Netzwerkgrenze verlassen, um Geräte und Applikationen vor unbefugtem Zugriff zu schützen. Die Benutzer sollen sich in Zukunft bei Anwendungen und nicht bei Netzwerken anmelden.
Warum also ist die Authentifizierung auf der Anwendungsebene sicherer als auf der Netzwerkebene? Die Netzwerkebene ist zu umfassend. Im übertragenen Sinn ist es so, als würde man dem Mitarbeiter den Schlüssel für das komplette Bürogebäude aushändigen, anstatt ihm den Zugang nur auf seinen Arbeitsplatz (oder nur auf bestimmte Akten) einzuschränken. Die Anwendungsauthentifizierung ist hingegen auf individuelle Benutzeraktionen ausgerichtet, wie die Zuweisung und Durchsetzung spezifischer organisatorischer Rollen und Verantwortlichkeiten. Vor diesem Hintergrund schätzen die Behörden einen Netzwerkzugriff über VPN als nicht mehr zeitgemäß ein.
Einzelne Applikationen und Hosts müssen demzufolge genauso gut abgesichert sein, als wenn sie aus dem Internet erreichbar wären. Denn sind diese nur aus bestimmten Netzsegmenten zu erreichen, werden Sicherheitslücken von den Verantwortlichen oft als nicht so dringlich angesehen. Schließlich ist das Netz noch durch die vorgeschaltete Firewall abgesichert. Dieses Denken erzeugt aber lediglich eine scheinbare Sicherheit und wirkt sich bei einem Angriff negativ aus.
Sicherheit muss von der Netzwerkebene heruntergebrochen werden auf Host- und Applikationsebene. Dies führt zu der Anforderung, dass jeglicher „interner“ Datenverkehr verschlüsselt sein muss. So zum Beispiel die Kommunikation mit Fileservern oder auch DNS-Abfragen.
Mehrdimensionaler Ansatz
Der weitaus größte Teil des Papers beschäftigt sich mit der Einführung eines zeitgemäßen, zentralen Identitätsmanagements:
- Alle Behördenmitarbeiter sollen ein zentral verwaltetes Identity Management für den Zugriff auf alle Anwendungen, die sie bei ihrer Arbeit benötigen, verwenden. Phishing-resistente Multi Faktor Authentifizierung schützt die Mitarbeiter dabei vor Onlineangriffen. Als Phishing-resistente MFA Methoden werden beispielsweise der Web-Authentication-Standard mit WebAuthn und der Fido2 Standard des W3C genannt. Systeme, die als nicht Phishing-resistent gelten, dürfen dann nicht mehr genutzt werden: Zum Beispiel das Registrieren über Telefonnummern für SMS oder Sprachanrufe um Einmalcodes oder Push-Benachrichtigungen zu erhalten. Auch OTP über Apps auf dem Handy gilt als nicht sicher. Stattdessen sollen zwingend Hardware Security-Tokens oder -Karten zum Einsatz kommen.
- Passwörter sollen nach Möglichkeit nicht mehr eingesetzt werden. Falls sie doch noch benötigt werden, soll man auf Regeln zur Komplexität eines Passworts, wie die verpflichtende Verwendung von Klein- und Großbuchstaben, Sonderzeichen und Ziffern, verzichten. Auch der Zwang, in regelmäßigen Abständen Passwortänderungen einzufordern, soll beendet werden. Diese Regeln haben im Alltag einen diametralen Effekt gezeigt und führen zu unsicheren Passwörtern und Prozessen.
- Außerdem heißt es, dass eine rollenbasierte Zugangskontrolle (RBAC) zwar gut ist, die Behörden sich aber nicht zu sehr auf statische, vordefinierte Rollen verlassen sollten. Stattdessen soll der Zugang feinkörniger und dynamischer gewährt werden. Das bedeutet letztendlich eine „Just-in-Time“ Zugangskontrolle, bei der einem Benutzer nur so lange Zugang zu einer Ressource gewährt wird, wie er sie benötigt, und der Zugang wieder entzogen wird, wenn er nicht mehr benötigt wird.
Staatliche Behörden als Technologietreiber?
Es mag verwundern, dass die US-Regierung hier richtungsangebend agiert. Bislang galt die öffentliche Verwaltung nicht unbedingt als Leuchtturm der Innovation in der Informationstechnologie.
Das verdeutlicht, wie ernst man die Bedrohungslage von staatlicher Seite einschätzt.
Vor diesem Hintergrund kann man die langfristigen Auswirkungen dieses Paradigmenwechsels auf die Cybersicherheit gar nicht groß genug einschätzen.
Muss ich jetzt handeln?
Die Richtlinie enthält ausführliche Handlungsanweisungen und Best Practices für die Transformation von Legacy Sicherheitskonzepten hin zu einem Zero Trust Environment mit einem holistischen Blick auf Benutzer, Anwendungen und Funktionen.
Zero Trust bedeutet dabei zunächst den Aufbau starker Authentifizierungs-, Autorisierungs- und Verschlüsselungssysteme. Gleichzeitig schottetet man den Zugang auf wichtige Anwendungen erfolgreich gegen Angriffe ab und erhält zudem eine bessere betriebliche Agilität.
IT-Verantwortliche sollten sich spätestens jetzt mit der Architektur eines Zero-Trust-Netzwerks und wie man dieses plant und mit der derzeit verfügbaren Technologie aufbauen kann, vertraut machen.
Gleichzeitig sollte man vorsichtig mit größeren Investitionen in Sicherheitstechnologien sein, die gegebenenfalls in wenigen Jahren als veraltet gelten.
Die Transformation in Richtung Zero Trust erfordert eine genaue Evaluierung aller Anwendungen und Prozesse. Umsichtige Planung ist erforderlich, um dabei Betriebsabläufe nicht zu gefährden oder unnötig kompliziert zu gestalten. Denn neben aller Technologie ist der Faktor Mensch nach wie vor die wichtigste Komponente jedes Sicherheitskonzepts.