Zero Trust Networking - Interpretationssache?
Was versteht man eigentlich unter „Zero Trust“ wirklich?
Mehr Klarheit im Cybersicherheitsdschungel
Das Sicherheitsprinzip Zero Trust hat in letzter Zeit deutlich an Akzeptanz gewonnen – nicht zuletzt in Folge spektakulärer Cyberangriffe auf diverse Firmennetze. Die Hersteller entwickeln aktuell immer mehr entsprechende Security Lösungen und immer mehr Organisationen greifen diesen Sicherheitsansatz auf. Während das grundsätzliche Konzept an Popularität gewinnt, scheint nicht immer ganz klar zu sein, was Zero Trust wirklich ist. Palo Alto Networks schafft Klarheit.
Eine Möglichkeit, um herauszufinden, ob jemand Zero Trust wirklich versteht, ist zu analysieren, wie er über das Wort „Vertrauen“ spricht. Wenn ein Sicherheitsexperte versucht, etwas in einen „vertrauenswürdigen“ Zustand zu bringen, dann versteht er Zero Trust nicht. Der Sinn von Zero Trust ist es nicht, Netzwerke, Clouds oder Endpunkte vertrauenswürdiger zu machen, sondern das Konzept des Vertrauens aus digitalen Systemen zu eliminieren. Das Vertrauensmaß ist gleich „Null“, daher Zero Trust.
Klassisches „Vertrauen“ ist ein Gefühl, das sich auf das Vertrauen bezieht, das jemand in etwas setzt – aber in einem digitalen System geht es um Verwundbarkeit und Schwachstellen. In digitalen Systemen, wie etwa Netzwerken, ist klassisches Vertrauen fehl am Platz. Der Grund dafür ist, dass Cyberkriminelle dieses Vertrauen für ihren eigenen Vorteil ausnutzen wollen. Somit besteht die große Gefahr, dass das grundsätzlich positiv besetzte Vertrauen in ein digitales System untergraben wird und zum Risiko für die Datensicherheit wird.
Was die Menschen normalerweise verwirrt, ist die Vermenschlichung der digitalen Welt, die im Laufe der Zeit stattgefunden hat. Menschen und das Vertrauen in die physische Welt stehen Datenpakete und Schwachstellen in einem digitalen System gegenüber. Die Menschen sind nicht im Netzwerk, die Datenpakete sind es. Die meisten Menschen verwechseln die Vertrauenswürdigkeit von Menschen mit der Vertrauenswürdigkeit von Datenpaketen. Indem die Pakete entpersonalisiert werden, können wir das tun, was wir tun müssen, nämlich die Pakete inspizieren und Zugriffskontrollmethoden anwenden. Auf diese Weise erhält das Paket nur Zugriff auf genehmigte Ressourcen zum genehmigten Zeitpunkt – und das alles wird protokolliert und analysiert. So lässt sich beurteilen, ob ein bestimmtes digitales Verhalten tatsächlich stattgefunden hat.
Für Unternehmen, die versuchen, in eine Zero-Trust-Umgebung zu wechseln, ist der erste Schritt, das Wort „Vertrauen“ aus ihrem Wortschatz zu eliminieren, wenn es sich auf digitale Systeme bezieht. Vertrauen ist binär; es ist an oder aus. Darüber sollte man nachdenken, statt voreilig den Begriff zu verwenden. Das alte Modell des Versuchs, „vertrauenswürdige“ digitale Systeme zu schaffen, hat nie funktioniert, um Sicherheitsverletzungen zu verhindern. Wenn das Denken bezüglich Zero Trust reift, ist es unerlässlich, das grundlegendste Prinzip des Konzepts zu verstehen: Vertrauen ist nicht der gewünschte Zustand. Vertrauen ist die Schwachstelle, die es zu vermeiden gilt.