Der Begriff »Zero Trust« gewinnt aufgrund seiner zunehmend strategischen Rolle in der Cybersicherheit immer mehr an Bedeutung. Die Anwendung des Zero-Trust-Mantras spielt vor allem bei sogenannten kritischen Infrastrukturen eine entscheidende Rolle.

Bei Zero Trust geht es hauptsächlich darum, die Angriffsfläche zu reduzieren, damit bei einem erfolgreichen Angriff der Angreifer in seinen weiteren Möglichkeiten beschränkt bleibt. Hierzu werden die Verbindungen zu und zwischen den wichtigsten Ressourcen eines Unternehmens soweit wie möglich voneinander getrennt oder mit zusätzlichen Sicherheitskontrollen ausgestattet. Generell ist kein Benutzer oder Asset vertrauenswürdig, und der gesamte Datenverkehr muss immer überprüft und protokolliert werden.

Der aktuelle Trend zur Vernetzung von operationellen Technologien (OT) erhöht zunehmend für sensible industrielle Kontrollsysteme (ICS) bei kritischen Infrastrukturen das Cybersicherheits-Risiko. Zero Trust stellt für diese Bereiche die sinnvollste Strategie dar, um trotz steigender Vernetzung das Sicherheitsniveau hoch zu halten.

Kritische Infrastrukturen (KRITIS) sind laut Bundesamt für Bevölkerungsschutz und Katastrophenhilfe »Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen. Ihre Systeme und Dienstleistungen, wie die Versorgung mit Energie, Wasser oder Wärme, ihre Infrastruktur und Logistik sind immer stärker von einer reibungslos funktionierenden Informationstechnik abhängig.« Weiter heißt es: »Eine Störung, Beeinträchtigung oder gar ein Ausfall durch einen Cyberangriff oder IT-Sicherheitsvorfall kann zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen.«

Solche Störfälle gilt es unbedingt zu verhindern. In Zusammenhang mit Zero-Trust-Strategien und kritischen Infrastrukturen sind vor allem drei Aspekte zu beachten: Zero Trust gegenüber Technologieanbietern, Zero Trust in Architekturen und Zero Trust in Prozessen.

Zero Trust gegenüber Technologieanbietern. Jede Software hat Sicherheitslücken. Die Frage, die wir uns aber stellen sollten, ist: Wie geht der Softwarehersteller mit Sicherheitslücken in seiner Software um? Welche Optionen haben die Unternehmen in dieser Situation auf den Hersteller einzuwirken? Nach aktuellen Einschätzungen geht man von 60 % der Cyberangriffe aus, die direkt oder indirekt aufgrund der Sicherheitsmängel in der Lieferkette der Unternehmen ermöglicht wurden. Unternehmen und gerade Betreiber kritischer Infrastrukturen müssen sich daher mehr auf die Cybersicherheit von OT-Umgebungen beziehungsweise ICS-Systemen konzertieren. Im Vergleich zu Software-Monokulturen wie Windows, Citrix etc. gibt es für ICS-Systeme nur selten Patches und wenn es die gibt, können diese oft nur mit einer großen Verzögerung eingespielt werden. Es ist also vertraglich sicherzustellen, dass der Technologieanbieter auf mögliche Sicherheitslücken sowohl heute als auch morgen zeitig reagiert.

Während Sicherheitsteams sich oft auf die Software konzentrieren, können erhebliche Schwachstellen in neu erworbener Hardware beziehungsweise Firmware eingebettet sein, bevor diese überhaupt geliefert wird. So sind seit Jahren kritische Sicherheitslücken bekannter Hersteller im BIOS, UEFI als auch in Management-Konsolen von Servern (BMC) bekannt die sogar schon für gezielte Angriffe etwa APT28 LoJax ausgenutzt worden sind. Bei kritischen Infrastrukturen gilt es also auch die Integrität und Sicherheit der Hardware zu überprüfen, indem diese immer einem Sicherheitstest unterzogen wird. Dabei wird geprüft, ob die Firmware nicht manipuliert wurden und die Updates auf dem aktuellen Stand sind.

Zero Trust in Architekturen. Zero-Trust-Strategie legt aus der Architekturperspektive nahe, alle kritische Infrastrukturen von nichtkritischen Infrastrukturen und vom Internet soweit wie möglich zu segmentieren. Ebenfalls ist eine Segmentierung unter den einzelnen kritischen Infrastrukturen vor allem im OT-Umfeld streng notwendig, damit einzelne kompromittierte Geräte kein Risiko für weitere Geräte darstellen. Für die Segmentierung der OT-Netzwerke bietet sich das Perdue-Modell als eine mögliche Referenzarchitektur an. Ein positiver Aspekt bei der Segmentierung der OT-Netzwerke ist auch, dass der Datenverkehr beziehungsweise der Datenverkehrtyp relativ statisch ist und sich nicht wie bei einem Endbenutzer auf dem Computer ständig verändert. Die Segmentierung kann daher ohne viel Aufwand auf einer spezifischen Applikationsprotokoll-Ebene definiert werden und nicht auf einer breiten Port-Ebene. Somit wird die Angriffsfläche noch weiter reduziert. Insgesamt löst sich mit diesem Ansatz der bisherige Netzwerkperimeter einer IT-/OT-Netzwerkumgebung zugunsten von Network Segmentation Gateways auf.

Weiterhin kann die gleiche Strategie auf die Benutzer und den einzelnen Geräten eines Netzwerks angewendet werden. Zum Beispiel kann bei sensitiven oder kritischen Segmenten eine Zwei-Faktor-Authentifizierung angeschaltet werden, um die Benutzer über ein zweites Gerät (etwa Hardware- oder Software-Token) zu verifizieren. Auf den Geräten selbst kann über Application-Whitelisting eine zusätzliche Hürde geschaffen werden, damit kein Vertrauen zu nicht bekannten Prozessen besteht. Dieses Verfahren kommt bereits seit Jahren bei Geldautomaten erfolgreich zum Einsatz.

Zero Trust in Prozessen. Auch auf Prozessebene kann durch Einschränkung von Vertrauen zusätzliche Sicherheit gewonnen werden. Hierzu eigenen sich bekannte Verfahren, wie zum Beispiel das Least-Privilege-Prinzip. Dieses stellt sicher, dass die Anwender immer nur die Berechtigungen erhalten, die sie auch wirklich benötigen.

Ebenso ratsam ist es, sich einen redundanten Prozess aufzubauen falls mal etwas schiefläuft. Dabei sollte man sich nicht nur auf digitale Prozesse verlassen. Warum dies so wichtig ist, zeigt der Hack auf das ukrainische Stromnetz im Jahr 2016. Cyberangreifer nutzten eine Sicherheitslücke aus, um kritische Komponenten der OT-Infrastruktur zu sabotieren. In diesem Fall führte dies zu einem kompletten Stromausfall im Großteil des Landes. Die Ukrainer haben das Problem nur in den Griff bekommen, weil es ihnen gelang, einige kritische Systeme auf manuelle Steuerung umzustellen.

Deswegen gilt es bei kritischen Infrastrukturen, resiliente Prozesse aufzubauen. So sollten digitale Technologien im Notfall auch manuell gesteuert werden können. Ebenso wichtig ist es, den Notfallszenarien und -prozessen auf Papier nicht zu vertrauen und diese stets einem praktischen Stresstest zu unterziehen. Die Blaupause dazu liefern Methoden wie Red Teaming oder Tabletop Exercises im Cybersicherheitsumfeld. Letztlich geht es immer darum, was im Ernstfall zu tun ist, wenn einzelne Komponenten abgeschaltet werden müssen, weil diese kompromittiert sind.

Sergej Epp,
CSO Central Europa
bei Palo Alto Networks

Illustration: © Avgur /shutterstock.com

116 Artikel zu „Zero Trust“

NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS

Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme

12. Februar 2020

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…

Der Begriff »Zero Trust« gewinnt aufgrund seiner zunehmend strategischen Rolle in der Cybersicherheit immer mehr an Bedeutung. Die Anwendung des Zero-Trust-Mantras spielt vor allem bei sogenannten kritischen Infrastrukturen eine entscheidende Rolle.

Sergej Epp, CSO Central Europa bei Palo Alto Networks

116 Artikel zu „Zero Trust“

Sergej Epp,
CSO Central Europa
bei Palo Alto Networks