Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Zero Trust – Vom Buzzword zur regulatorischen Realität
Zero Trust Architecture ist in aller Munde und spielt langsam auch in den regulatorischen Vorgaben eine Rolle –in den USA, auf EU-Ebene und auch in Deutschland. Grund genug, Zero Trust einmal unter die Lupe zu nehmen. Was genau hat es damit auf sich? Was planen die Gesetzgeber in Washington, Brüssel und Berlin? Vor allem aber, was kommt auf Unternehmen und Behörden in Deutschland zu?
Was ist Zero Trust?
Zero Trust ist ein Sicherheitskonzept, bei dem das grundlegende Prinzip darin besteht, dass jeder Netzwerkbenutzer, ob innerhalb oder außerhalb des Unternehmensnetzwerks, standardmäßig als nicht vertrauenswürdig betrachtet wird. Im Gegensatz zu traditionellen Sicherheitsansätzen, die auf einer vertrauensbasierten Annahme beruhen, dass sich Bedrohungen innerhalb des Netzwerks befinden, geht Zero Trust davon aus, dass das Netzwerk bereits kompromittiert sein könnte.
Bei Zero Trust wird jedem Benutzer, Gerät oder jeder Netzwerkressource ein strenges Identitäts- und Zugriffsmanagement auferlegt. Es werden umfangreiche Authentifizierungs-, Autorisierungs- und Verschlüsselungsmechanismen verwendet, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf spezifische Ressourcen erhalten, und zwar basierend auf Faktoren wie Identität, Gerätegesundheit, Standort und anderen Kontextinformationen.
Zero Trust verfolgt einen risikobasierten Ansatz, der auf kontinuierlicher Überwachung, Verifizierung und dynamischer Anpassung basiert. Dadurch wird das Sicherheitsniveau erhöht, indem das Netzwerk in kleinere, segmentierte Bereiche unterteilt und der Datenverkehr zwischen ihnen sorgfältig überwacht wird. Durch die Implementierung von Zero Trust können Organisationen ihre Netzwerke besser gegen Bedrohungen schützen und die Auswirkungen von Sicherheitsverletzungen minimieren.
Zero Trust in den USA
Wie bei vielen Themen sind uns die USA auch beim Thema Zero Trust einen Schritt voraus: Im August 2020 legte die US-Cyber-Behörde National Institute of Standards and Technology (NIST) die „Zero Trust Architecture“ vor, indem sie erste Grundlagen für eine Definition und Implementierung von Zero Trust lieferten. Bei der Implementierung und der vorgeschlagenen ZT-Architektur setzt die NIST auf sieben Säulen:
- Ressourcen sollen alle Datenquellen und Rechendienste, einschließlich IoT, SaaS-Anwendungen, Drucker und andere verbundene Geräte und Dienste umfassen.
- Die Sicherheit der gesamten Kommunikation wird unabhängig vom Netzwerkstandort gewährleistet. Sowohl interne Transaktionsanfragen innerhalb des Netzwerks als auch externe Anfragen müssen die gleichen Sicherheitsanforderungen erfüllen.
- Der Zugriff auf Unternehmensressourcen wird jeweils nur für eine Sitzung gewährt und nur, wenn er für die Durchführung der Aufgabe erforderlich ist.
- Der Zugriff auf Ressourcen erfolgt anhand dynamischer Richtlinien, die Verhaltens- und Umgebungsfaktoren berücksichtigen können.
- Das Unternehmen überwacht und bewertet kontinuierlich die Integrität und Sicherheit aller Assets.
- Alle Ressourcenauthentifizierungen und -autorisierungen erfolgen dynamisch und werden strikt durchgesetzt, wobei das Vertrauen kontinuierlich neu bewertet wird.
- Das Unternehmen sammelt umfangreiche Informationen über den aktuellen Zustand von Assets, Netzwerkinfrastruktur und Kommunikation, um seinen Sicherheitsstatus zu verbessern.
Und auch regulatorisch machen die USA ernst: Bundesbehörden müssen bis Ende 2024 für ihre IT-Systeme Zero-Trust Architekturen entwickeln und umsetzen. Die US-Bundesbehörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat im April diesen Jahres ein Update des Zero Trust Maturity Model (ZTMM) veröffentlicht. Das ZTMM stellt eine schrittweise Umsetzung über fünf verschiedene Säulen von ZTA dar, in denen im Laufe der Zeit Optimierungen vorgenommen werden können. Zu den Säulen gehören Identität, Geräte, Netzwerke, Anwendungen und Arbeitslasten sowie Daten. Jede Säule umfasst allgemeine Details zu den folgenden übergreifenden Funktionen: Sichtbarkeit und Analyse, Automatisierung & Orchestrierung, und Governance. Das ZTMM bietet Behörden eine Roadmap, um den Übergang zur Zero-Trust-Architektur zu unterstützen und ersetzt die ursprüngliche Version, die im September 2021 veröffentlicht wurde. Das ZTMM umfasst fünf verschiedene Säulen, die eine schrittweise Umsetzung ermöglichen und den Bundesbehörden erlauben, ihre Implementierung im Laufe der Zeit schrittweise zu optimieren. Das Weiße Haus gab im Januar 2022 auch ein Memorandum heraus, das den Leitsätzen des ZTMM konkrete Handlungsaufforderungen an US-Bundesbehörden mitgab:
“In the current threat environment, the Federal Government can no longer depend on conventional perimeter-based defenses to protect critical systems and data.”
Behörden müssen den Vorgaben des Memorandums bis Ende des Jahres 2024 entsprechen. Ebenso wie in Deutschland machen die Bundesbehörden der USA jedoch nur einen kleinen Teil des öffentlichen Dienstes aus: Während im Jahr 2021 rund 2,85 Mio. für die dem Weißen Haus unterstellten Bundesbehörden arbeiteten, machen die 18,83 Mio. Angestellten der Bundesstaaten und Kommunen den Löwenanteil aus. Trotzdem ist diese angekündigte Implementierungspflicht ein wichtiger Schritt, der in anderen Behörden und der Wirtschaft kopiert werden könnte.
Zero Trust in der Europäischen Union
Die Europäische Union beschäftigt sich ebenso mit dem Thema Zero Trust und lässt es in wichtige Strategiepapiere für Cyber- und Digitalstrategie einfließen. Die neue Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie) betont die Wichtigkeit von Zero Trust für die Sicherheit von Anlagen der kritischen Infrastruktur:
„Die wesentlichen und wichtigen Einrichtungen sollten eine breite Palette grundlegender Praktiken der Cyberhygiene anwenden, z. B. Zero-Trust-Grundsätze, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement oder Sensibilisierung der Nutzer, Schulungen für ihre Mitarbeiter organisieren und das Bewusstsein für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken schärfen“ (S.89).
Auch in der Digitalstrategie “Next Generation Digital Commission” setzt die EU-Kommission sich selbst das Ziel, Zero Trust einzuführen. Die EU-Kommission plant, angesichts der steigenden Zahl komplexer Cyberangriffe und des Übergangs zu flexiblen Arbeitsmodellen Maßnahmen zu ergreifen. Dazu gehört die Einführung einer Zero-Trust-Architektur, die Implementierung von eingebauter Sicherheit, die Durchführung strengerer Cybersecurity-Prüfungen und die Bereitstellung verbesserter Sicherheitsdienste, insbesondere für ihre sensiblen und als geheim eingestuften Aktivitäten. Im Gegensatz zu den schon sehr konkreten Plänen in den USA geht es aber nicht über vage Ankündigungen hinaus, eine Deadline oder konkrete Umsetzungspläne existieren noch nicht.
Zero Trust in Deutschland
Nach Angaben des Leiters der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium, Andreas Könen, ist für die Bundesverwaltung ein schrittweiser Umstieg auf Zero Trust Architekturen geplant: Insbesondere die Netze des Bundes müsse der Staat so verwalten, "dass wir schrittweise in Richtung Zero-Trust-Architektur gehen", erklärte Könen bei einer Konferenz des TeleTrust-Verbandes im Juni 2022.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt sich mit den Vorteilen und einer möglichen Umsetzung von Zero-Trust-Architekturen sowohl auf Bundesebene als auch in den vom BSI herausgegebenen Empfehlungen und Standards. Im BSI-Grundschutz beispielsweise finden sich einige Maßnahmen, die Komponenten einer ZTA sind oder sein können. Zu nennen ist hier etwa der Baustein DER: Detektion und Reaktion. Momentan arbeitet das BSI an einem Grobkonzept und einem Positionspapier zum Thema Zero-Trust-Umsetzung im Bund. Dabei orientiert sich das BSI grob am schon bestehenden Konzept der US-Behörde NIST (National Institute of Standards and Technology), wobei auf die besonderen Voraussetzungen der deutschen Bundesbehörden eingegangen wird. Dabei geht es nicht um einen vollumfänglichen Plan, sondern eher eine Beschreibung und Diskussion dabei auftretender Herausforderungen im Zusammenhang mit der IT-Infrastruktur des Bundes. Einen besonderen Schwerpunkt haben dabei die Implikationen von ZTA für VSA-relevante Systeme (Verschlusssachenanweisung (Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz – VSA)). Für die Beschließung geltender und bindender Standards ist das BSI aber nicht zuständig, sondern der Beauftragte der Bundesregierung für Informationstechnik (CIO-Bund, Dr. Markus Richter).
Insgesamt aber wird eine (vollumfängliche) Umsetzung von ZTA auf Bundesebene vom BSI kritisch gesehen. Dies liegt vor allem daran, dass der Aufwand gegenüber dem Nutzen als potenziell zu hoch eingeschätzt wird. Ein Grund dafür ist die Heterogenität der IT-Systeme der unterschiedlichen Bundesbehörden. Für die Implementierung von ZTA-Komponenten wie Dynamic Policys müssten daher behördlich-übergreifende Standards gelten, um die gegenseitig notwendigen Informationen für die Autorisierung eines Zugriffs abzurufen. Das Bundesministerium der Verteidigung (BMVg) arbeite auch an einer Weisung an die Bundeswehr, indem eine Einführung von Zero-Trust-Architektur angekündigt, bzw. geplant wird.
Über die Aussage von Könen, die Ausführungen des BSI und die Pläne des BMVg hinaus finden sich öffentlich noch keine konkreten Planungen oder Roadmaps, aus denen sich eine realistische Umsetzung von ZTA in der Bundesverwaltung ableiten ließe.
Auf Landesebene sind in Richtung Zero Trust noch keine großen Sprünge gemacht worden: Vorreiter ist hier lediglich Bayern. Seit 2017 hat Bayern als erstes Bundesland eine eigenständige IT-Sicherheitsbehörde LSI als Pendant zum BSI. Reiner Schmidt, Referatsleiter Sicherheitsberatung für Kommunen am LSI sprach 2021 bei einer Veranstaltung von Digitaler Staat zum Thema „IT-Sicherheit neu denken – Paradigmenwechsel auf Basis von Zero Trust“.
Wie geht es weiter?
Zero Trust ist mehr als nur ein Buzzword und gewinnt zunehmend an Bedeutung, sowohl auf regulatorischer Ebene als auch in der Unternehmenspraxis. Das Sicherheitskonzept ermöglicht eine bessere Absicherung von Netzwerken gegen Bedrohungen und minimiert die Auswirkungen von Sicherheitsverletzungen. In den USA ist Zero Trust bereits fortgeschritten und Bundesbehörden müssen bis Ende 2024 Zero-Trust-Architekturen implementieren. Auch in der Europäischen Union wird Zero Trust als wichtiger Ansatz anerkannt. Die neue NIS2-Richtlinie betont die Bedeutung von Zero Trust für die Sicherheit kritischer Infrastrukturen, während die EU-Kommission Maßnahmen zur Einführung einer Zero-Trust-Architektur plant. In Deutschland wird über Zero Trust diskutiert, sowohl auf Bundesebene als auch auf Landesebene. Es gibt jedoch noch keine konkreten Umsetzungspläne oder Roadmaps. Insgesamt ist deutlich zu erkennen, dass Zero Trust immer wichtiger wird, um den sich wandelnden Bedrohungen im Bereich der Cyberangriffe und den Anforderungen an flexible Arbeitsmodelle gerecht zu werden. Regierungen und Unternehmen weltweit erkennen die Bedeutung dieses Sicherheitskonzepts und arbeiten an der Umsetzung entsprechender Maßnahmen. Für uns von NCP ist Zero Trust indes nichts Neues: Wir arbeiten schon seit Jahren mit entsprechenden Lösungen und können durch eine Kombination von IT-Sicherheitsmaßnahmen Zero Trust mit und für unsere Kunden umsetzen. Denn auch wenn die regulatorischen Mühlen langsam mahlen: Der perimeterbasierte Ansatz wird langfristig nicht mehr das Nonplusultra bleiben.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.