Zero Trust und kritische Infrastrukturen – »Niemals vertrauen, immer verifizieren«

Der Begriff »Zero Trust« gewinnt aufgrund seiner zunehmend strategischen Rolle in der Cybersicherheit immer mehr an Bedeutung. Die Anwendung des Zero-Trust-Mantras spielt vor allem bei sogenannten kritischen Infrastrukturen eine entscheidende Rolle.

Bei Zero Trust geht es hauptsächlich darum, die Angriffsfläche zu reduzieren, damit bei einem erfolgreichen Angriff der Angreifer in seinen weiteren Möglichkeiten beschränkt bleibt. Hierzu werden die Verbindungen zu und zwischen den wichtigsten Ressourcen eines Unternehmens soweit wie möglich voneinander getrennt oder mit zusätzlichen Sicherheitskontrollen ausgestattet. Generell ist kein Benutzer oder Asset vertrauenswürdig, und der gesamte Datenverkehr muss immer überprüft und protokolliert werden.

Der aktuelle Trend zur Vernetzung von operationellen Technologien (OT) erhöht zunehmend für sensible industrielle Kontrollsysteme (ICS) bei kritischen Infrastrukturen das Cybersicherheits-Risiko. Zero Trust stellt für diese Bereiche die sinnvollste Strategie dar, um trotz steigender Vernetzung das Sicherheitsniveau hoch zu halten.

Kritische Infrastrukturen (KRITIS) sind laut Bundesamt für Bevölkerungsschutz und Katastrophenhilfe »Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen. Ihre Systeme und Dienstleistungen, wie die Versorgung mit Energie, Wasser oder Wärme, ihre Infrastruktur und Logistik sind immer stärker von einer reibungslos funktionierenden Informationstechnik abhängig.« Weiter heißt es: »Eine Störung, Beeinträchtigung oder gar ein Ausfall durch einen Cyberangriff oder IT-Sicherheitsvorfall kann zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen.«

Anzeige

Solche Störfälle gilt es unbedingt zu verhindern. In Zusammenhang mit Zero-Trust-Strategien und kritischen Infrastrukturen sind vor allem drei Aspekte zu beachten: Zero Trust gegenüber Technologieanbietern, Zero Trust in Architekturen und Zero Trust in Prozessen.

Zero Trust gegenüber Technologieanbietern. Jede Software hat Sicherheitslücken. Die Frage, die wir uns aber stellen sollten, ist: Wie geht der Softwarehersteller mit Sicherheitslücken in seiner Software um? Welche Optionen haben die Unternehmen in dieser Situation auf den Hersteller einzuwirken? Nach aktuellen Einschätzungen geht man von 60 % der Cyberangriffe aus, die direkt oder indirekt aufgrund der Sicherheitsmängel in der Lieferkette der Unternehmen ermöglicht wurden. Unternehmen und gerade Betreiber kritischer Infrastrukturen müssen sich daher mehr auf die Cybersicherheit von OT-Umgebungen beziehungsweise ICS-Systemen konzertieren. Im Vergleich zu Software-Monokulturen wie Windows, Citrix etc. gibt es für ICS-Systeme nur selten Patches und wenn es die gibt, können diese oft nur mit einer großen Verzögerung eingespielt werden. Es ist also vertraglich sicherzustellen, dass der Technologieanbieter auf mögliche Sicherheitslücken sowohl heute als auch morgen zeitig reagiert.

Während Sicherheitsteams sich oft auf die Software konzentrieren, können erhebliche Schwachstellen in neu erworbener Hardware beziehungsweise Firmware eingebettet sein, bevor diese überhaupt geliefert wird. So sind seit Jahren kritische Sicherheitslücken bekannter Hersteller im BIOS, UEFI als auch in Management-Konsolen von Servern (BMC) bekannt die sogar schon für gezielte Angriffe etwa APT28 LoJax ausgenutzt worden sind. Bei kritischen Infrastrukturen gilt es also auch die Integrität und Sicherheit der Hardware zu überprüfen, indem diese immer einem Sicherheitstest unterzogen wird. Dabei wird geprüft, ob die Firmware nicht manipuliert wurden und die Updates auf dem aktuellen Stand sind.

Anzeige

Zero Trust in Architekturen. Zero-Trust-Strategie legt aus der Architekturperspektive nahe, alle kritische Infrastrukturen von nichtkritischen Infrastrukturen und vom Internet soweit wie möglich zu segmentieren. Ebenfalls ist eine Segmentierung unter den einzelnen kritischen Infrastrukturen vor allem im OT-Umfeld streng notwendig, damit einzelne kompromittierte Geräte kein Risiko für weitere Geräte darstellen. Für die Segmentierung der OT-Netzwerke bietet sich das Perdue-Modell als eine mögliche Referenzarchitektur an. Ein positiver Aspekt bei der Segmentierung der OT-Netzwerke ist auch, dass der Datenverkehr beziehungsweise der Datenverkehrtyp relativ statisch ist und sich nicht wie bei einem Endbenutzer auf dem Computer ständig verändert. Die Segmentierung kann daher ohne viel Aufwand auf einer spezifischen Applikationsprotokoll-Ebene definiert werden und nicht auf einer breiten Port-Ebene. Somit wird die Angriffsfläche noch weiter reduziert. Insgesamt löst sich mit diesem Ansatz der bisherige Netzwerkperimeter einer IT-/OT-Netzwerkumgebung zugunsten von Network Segmentation Gateways auf.

Weiterhin kann die gleiche Strategie auf die Benutzer und den einzelnen Geräten eines Netzwerks angewendet werden. Zum Beispiel kann bei sensitiven oder kritischen Segmenten eine Zwei-Faktor-Authentifizierung angeschaltet werden, um die Benutzer über ein zweites Gerät (etwa Hardware- oder Software-Token) zu verifizieren. Auf den Geräten selbst kann über Application-Whitelisting eine zusätzliche Hürde geschaffen werden, damit kein Vertrauen zu nicht bekannten Prozessen besteht. Dieses Verfahren kommt bereits seit Jahren bei Geldautomaten erfolgreich zum Einsatz.

Zero Trust in Prozessen. Auch auf Prozessebene kann durch Einschränkung von Vertrauen zusätzliche Sicherheit gewonnen werden. Hierzu eigenen sich bekannte Verfahren, wie zum Beispiel das Least-Privilege-Prinzip. Dieses stellt sicher, dass die Anwender immer nur die Berechtigungen erhalten, die sie auch wirklich benötigen.

Ebenso ratsam ist es, sich einen redundanten Prozess aufzubauen falls mal etwas schiefläuft. Dabei sollte man sich nicht nur auf digitale Prozesse verlassen. Warum dies so wichtig ist, zeigt der Hack auf das ukrainische Stromnetz im Jahr 2016. Cyberangreifer nutzten eine Sicherheitslücke aus, um kritische Komponenten der OT-Infrastruktur zu sabotieren. In diesem Fall führte dies zu einem kompletten Stromausfall im Großteil des Landes. Die Ukrainer haben das Problem nur in den Griff bekommen, weil es ihnen gelang, einige kritische Systeme auf manuelle Steuerung umzustellen.

Deswegen gilt es bei kritischen Infrastrukturen, resiliente Prozesse aufzubauen. So sollten digitale Technologien im Notfall auch manuell gesteuert werden können. Ebenso wichtig ist es, den Notfallszenarien und -prozessen auf Papier nicht zu vertrauen und diese stets einem praktischen Stresstest zu unterziehen. Die Blaupause dazu liefern Methoden wie Red Teaming oder Tabletop Exercises im Cybersicherheitsumfeld. Letztlich geht es immer darum, was im Ernstfall zu tun ist, wenn einzelne Komponenten abgeschaltet werden müssen, weil diese kompromittiert sind.


Sergej Epp,
CSO Central Europa
bei Palo Alto Networks

 

 

 

Illustration: © Avgur /shutterstock.com

 

116 Artikel zu „Zero Trust“

Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…

Ein Zero-Trust-Modell mithilfe von File Integrity Monitoring (FIM) und Sicherheitskonfigurationsmanagement (SCM) implementieren

Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen ihrer Netzwerke aus.…

Datenschutz im Home Office: Macht Zero-Trust-Technologie die Cloud sicher?

Rund ein Viertel der Deutschen arbeitet derzeit von Zuhause aus [1]. Rosige Zeiten für Hacker: Sie nutzen die Krise um COVID-19 für gezielte Cyberangriffe. Sicherheitsforscher sprechen im Rahmen der Corona-Pandemie von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde [2]. Auch die deutsche Verbraucherzentrale warnt explizit vor Malware und…

Ein Zero-Trust-Modell mithilfe von FIM und SCM implementieren

Vor inzwischen annähernd zehn Jahren prägte John Kindervag, damals Analyst bei Forrester, den Begriff des »Zero Trust«. Er entwickelte das Modell im Jahr 2010 zu einer Zeit, da viele Unternehmen gerade erst damit begonnen hatten, grundlegende Regelungen zur Cybersicherheit einzurichten. Gleichzeitig gingen Firmen in zu hohem Maße von einer nur angenommenen Sicherheit innerhalb der Grenzen…

Datenpannen in der Cloud – Ist der Zero-Trust-Ansatz die Lösung?

In den vergangenen Monaten gab es zahlreiche, teilweise drastische Meldungen über Datenverluste beziehungsweise die ungewollte Offenlegung von Daten durch ungesicherte Clouds sowie Attacken auf Cloud-Infrastrukturen. Vor dem Hintergrund dieser Ereignisse erläutert Palo Alto Networks das Konzept von »Zero Trust« in der Cloud. Den Begriff »Zero Trust« gibt es seit fast zehn Jahren, aber er hat…

Cyberkriminalität auf dem Vormarsch: Das digitale Wettrüsten hat begonnen

Kaum eine Woche vergeht, ohne dass neue Berichte über Hacker-Angriffe publik werden. So sorgte zuletzt der Angriff auf den französischen Fernsehsender TV5 Monde für Aufsehen. Auch deutsche Unternehmen und Institutionen sehen sich zusehends mit hochprofessionellen Cyber-Attacken konfrontiert. Dabei ist der Cyber-Krieg bereits in vollem Gange – und die heimische Wirtschaft steht unter Zugzwang. Im April…

Der Cloud Act ist eine ganz reale Gefahr

US-Anbieter lassen verlauten, der US Cloud Act sei nur eine »hypothetische Möglichkeit«. Wer’s glaubt, wird selig. Ein Kommentar von Christian Schmitz, Chief Strategy & Innovation Officer bei ownCloud in Nürnberg   Der US Cloud Act ist eine immense Bedrohung für unseren gesamteuropäischen Wirtschaftsraum. Auf seiner Grundlage können US-amerikanische Behörden von Cloud-Providern aus den USA die…

Security-Praxistipps: Wie CIOs in der Krise die Produktivität aus der Ferne sichern können

Nahezu jedes Unternehmen auf der Welt stellt sich den neuen und dringenden Herausforderungen, die sich durch die Coronavirus-Pandemie ergeben haben. IT-Verantwortliche und Unternehmensleiter müssen den Mitarbeitern einen einfachen Zugang zu Diensten, Daten und Anwendungen von zu Hause aus ermöglichen und gleichzeitig ein hohes Maß an Sicherheit gewährleisten. Diesen sicheren Zugang gilt es in einem noch…

Finanzhilfen: Der deutsche Corona-Schutzschirm ist gewaltig

Das Volumen der deutschen Corona-Finanzhilfen umfasst laut einer Aufstellung des Think Tanks Bruegel aktuell über zwei Billionen Euro – das entspricht 60 Prozent der Wirtschaftsleistung des vergangenen Jahres. Damit mobilisieren Bund und Länder deutlich mehr Mittel als andere Staaten, wie der Blick auf die Statista-Grafik zeigt. Der deutsche Schutzschirm setzt sich aus 236 Milliarden Euro…

Stay at Home: Wie Screen-Sharing Familie, Freunde und Kollegen virtuell zusammenbringt

Screen-Sharing macht Nachhilfe und den Austausch mit Freunden und Familie auch in Zeiten von #BleibtZuhause möglich. Wie das geht? Über Screen-Sharing mit Remote-Desktop-Software. Sechs Ideen, mit denen man trotz Quarantäne, Home Office und Co. näher zusammenrückt.   Familie, Freunde und Kollegen müssen in diesen Tagen aufgrund des Coronavirus auf Abstand gehen. Shopping-Trips mit der Freundin…

Weltweiter Einsatz von Verschlüsselungstechnologien nimmt branchenübergreifend zu

Forschungsergebnisse zeigen: Gesundheitsbezogene Daten werden seltener verschlüsselt, Datenschutz wichtiger als Compliance, Datenidentifikation durch Corona-Situation noch weiter erschwert. Das Ponemon-Institut und nCipher Security, ein Unternehmen von Entrust Datacard und tätig auf dem Gebiet der Hardware-Sicherheitsmodule (HSMs), geben jährlich eine multinationale Studie zum Thema IT-Sicherheit und Verschlüsselung heraus. So untersucht die aktuelle 2020 Global Encryption Trends Study, wie und warum Organisationen…

Mann über Bord: Nicht der Geldsack zählt, sondern die Arbeitsplätze

Den Ruf »Mann über Bord« vernimmt man zurzeit sehr oft. Nicht als Hilferuf gedacht, sondern als Befehl an die Personalabteilung. Nicht bei uns! Wir haben einen Plan, ein Rezept, wie 1000 Menschen motiviert bleiben und trotz Corona gerne in die Arbeit gehen! Es wird bei uns keine Kurzarbeit, keine Entlassungen, keine Einbußen geben. Dafür sind…

Über 30 % der kleinen Unternehmen müssen 2020 ihr Office-Paket aktualisieren

Office 2010 trotz bevorstehendem Support-Ende noch vielfach im Einsatz.   Am 13. Oktober 2020 endet der Herstellersupport für Microsoft Office 2010. Doch noch setzt fast ein Drittel der kleinen Unternehmen in Deutschland auf genau dieses, gut zehn Jahre alte Softwarepaket – und die Umstellung geht nur schleppend voran. Das zeigt die diesjährige KMU-Studie des Groupware-…

Antragssoftware für Corona-Soforthilfe startet erfolgreich

Pegasystems hat eine Antragslösung für die bayerische Regierung entwickelt. Damit können Selbständige, Landwirte und Unternehmen die Corona-Soforthilfe viel einfacher und schneller im Internet beantragen. Weil der gesamte Prozess vollständig digitalisiert ist, ist auch die Auszahlung der Mittel deutlich beschleunigt. Betrieben wird die Software in Rechenzentren von T-Systems.     Gemeinsam mit dem bayerischen Wirtschaftsministerium hat…

Holt die pensionierten Experten für das Krisenmanagement

Wankende Wirtschaftsriesen – Corona-Krise als Interims-Turbo. Zur Bedeutung der weltweiten Krise rund um den Covid-19 für die gesamte Automobilbranche und zu der Zeit nach der Pandemie äußert sich Steffen Haas, Geschäftsführer von Automotive Senior Experts GmbH (ASE):   »Nun gerät auch der Taktgeber der deutschen Konjunktur – die Automotive-Branche – vollends ins Stocken. Bei VW,…

Corona und Home Office: Mitarbeiter für IT-Risiken der Fernarbeit sensibilisieren

Das Smart Working ist bei Mitarbeitern beliebt und wird von einer steigenden Anzahl Firmen umgesetzt. Während der Corona-Krise ergibt dieses Konzept umso mehr Sinn. Allerdings müssen Unternehmen auch in Notfällen einige Vorkehrungen treffen, um unangenehme Überraschungen zu verhindern, vor allem in Bezug auf Datensicherheit. Dieser Beitrag stammt vom Cybersecurity-Hersteller Stormshield, Teil des Airbus-Konzerns, der aus…

Hohe Dynamik in der Welt der Daten – Ein Ausblick

Nicht zuletzt die aktuellen Schlagzeilen rund um Home Office und die Leistungsfähigkeit der IT von Unternehmen belegen, dass die datengesteuerte digitale Transformation zu einem zentralen Bestandteil jedes erfolgreichen – und widerstandsfähigen – Unternehmens geworden ist. Betreibe benötigen die entsprechende Technologie, um nicht ausgebremst zu werden. »Ein automatisiertes Datenmanagement setzt Zeit und Ressourcen frei, so dass…

Social Engineering nutzt »Schwachstelle Mensch« – Mitarbeiter für Unternehmensresilienz

Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen. Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering. Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und…