#37 – Vertraue niemandem | Zero Trust

Es ist wieder Mittwoch, Zeit für eine neue Folge HITcast. Guten Morgen, Philip.

Guten Morgen. Wer bist du?

Dein Podcast-Partner, Dennis. Guten Morgen.

Kannst du das beweisen? Kannst du dich authentifizieren?

Clever, ja. In Anlehnung an die anstehende Episode, nein, kann ich tatsächlich nicht, ich habe nichts dabei. Dann wird dieser Podcast jetzt wohl nicht zustande kommen.

Genau. In diesem Sinne, ja, auch von mir, hallo zur neuen Folge HITcast. Heute Folge 37 und ja, das Thema haben wir gerade wunderbar witzig eingeladen, finde ich. Vertraue niemandem. Es geht heute um Zero Trust.

Ja, Zero Trust, genau, vertraue niemandem. Vor allem traue auch niemandem, den du eigentlich kennst. Ja, also das Niemand ist da wirklich groß geschrieben. Unternehmen. Kümmern sich seit Jahren darum, ihre IT-Strukturen so sicher wie möglich zu gestalten. Es gibt Passwörter, es gibt Zwei-Faktor-Authentifizierung. Es gibt MAC-Adressen, die man an irgendwelchen Orten zur Authentifizierung nutzen kann. Aber jetzt soll man gar keinem mehr trauen. Was steckt dahinter? Ja, also gefühlt hat man sich die letzten Jahre damit beschäftigt, das Ganze so sicher wie möglich zu gestalten. Und jetzt, na, jetzt kommt die Industrie daher und sagt, wir vertrauen jetzt eigentlich erstmal gar keinem mehr.

Ja, vermeintlich hat man es so sicher gestaltet, ne? Also ich gebe mal ein gutes Beispiel. Viele werden das kennen, wenn sie ins Büro kommen. Dann gibt es Server, die stehen vielleicht im Rechenzentrum. Aber im Büro merke ich davon gar nichts, weil es gibt eigentlich eine dauerhafte VPN-Verbindung vom Büro zum Rechenzentrum. Und dann bin ich ja mit meinen Geräten, ich als Nutzer und meine Geräte, wir sind dann ja schon quasi, nah dran an den Servern, an dem was geschützt werden soll. Und die Frage ist, ist das dann sicher? Also ich habe ja dann eigentlich mich nicht verifizieren müssen. Ich habe die einzige, ja die einzige Verifizierung, wenn man es so sehen möchte, ist, ich habe irgendwie Zugang erhalten zu diesem Netzwerk, was eine dauerhafte Verbindung hat zu den Servern.

Ja, also im Zweifel könnte man ja für den Laien sagen, deine einzige Authentifizierung, die du in diesem Szenario geleistet hast, ist im Zweifel hast du im Büro einmal geklingelt.

Und die hat jemand die Tür aufgemacht.

Oder du hattest einen Schlüssel fürs Büro und bist dann einfach da.

Genau, vielleicht habe ich aber auch einfach nur den WLAN-Code erraten und habe mich von außen, von der Straße, vom Auto aus, ins WLAN eingeloggt. Oder ich habe irgendwo ein Kabel von einer IP-Kamera abgesteckt und habe meinen Notebook angesteckt. Also kann man zusammenfassen, genau, ich habe mich nicht wirklich verifizieren müssen, nicht wirklich autorisieren müssen.

Ja, und deswegen auch der Gedankengang eben, dass man sagt, vertraue auch niemandem, den du eigentlich vermeintlich kennst. Weil du ja nie weißt, kommt der nur aus dem selben Netz oder ist der wirklich der, für den er sich ausgibt am Ende des Tages. Genau, richtig.

Also worum geht es? Man kann es ja vielleicht einmal kurz zusammenfassen. Zero Trust heißt, man sollte immer grundsätzlich davon ausgehen, dass jeder Zugriff eine Zugriffsverletzung darstellt. So lange, bis der User oder das Gerät oder beide das Gegenteil bewiesen haben. Und auch dann sollte der Zugriff immer nur mit den geringstmöglichen Rechten erfolgen. Darum geht es eigentlich zusammengefasst im Bereich Zero Trust.

Was die Rechte angeht, dann am Ende kann man wahrscheinlich sagen, so viel wie nötig, so wenig wie möglich. Genau, richtig. Und jetzt muss man sich aber glaube ich im Klaren sein, dass das klingt jetzt alles so, okay, alles klar, macht das mal, also installiert mir das mal. Da muss man sich ein bisschen von verabschieden. Also Zero Trust ist jetzt ja nichts, ist jetzt ja kein Stück Software. Es ist nichts, was ich irgendwo installieren kann und sage mit ein paar Klicks, okay, so und so machen wir das. Sondern da braucht es schon ein bisschen mehr.

Ja, genau. Das ist ganz entscheidend. Also es braucht halt wirklich ein bisschen mehr. Wie du schon gesagt hast, es gibt nicht diese eine Software, die ich installiere und dann habe ich Zero Trust. Sondern das ist ein Konzept und um dieses Konzept bereitzustellen, muss ich eben verschiedene Komponenten umsetzen. Was darunter fällt klassisch, ist zum Beispiel eine Multifaktor Ordnung. Also die haben schon viele, aber viele nutzen die nur dann, wenn ich von einem unbekannten Gerät aus zugreife. Also wenn ich meinen Laptop aufklappe und die habe ich gestern auch schon aufgeklappt gehabt und öffne meine Anwendung, dann erfordert das bei vielen keine Multifaktor-Authentifizierung. Auch da, nach Zero Trust Prinzipien, müsste man sagen, nein, jeder Zugriff, egal ob er hohes Risikopotenzial hat oder niedriges, jeder Zugriff. Erfordert eine Multifaktor-Authentifizierung.

Genau, also so ist es ja im Prinzip auch bei mir morgens, wenn ich hier an meine Rechner im Homeoffice gehe, um auf meinem Terminal Server zu arbeiten, muss ich mich mit einer VPN-Verbindung identifizieren sozusagen. Und habe da auch diese Zwei-Faktor-Authentifizierung. Und wenn jetzt beispielsweise hier das Internet ausfällt, dann wird die Verbindung unterbrochen. Ich will die Verbindung neu herstellen, dann muss ich eben wieder das Handy nehmen und diesen sechsstelligen Code einfach einmal eingeben. Genau, genau. Richtig.

Also dann musst du dich einfach nochmal wieder mit dem kompletten Set autorisieren. Es hätte ja auch sein können, andersrum, dass man sagt, okay, der hat heute schon mal MFA benutzt, dann reicht jetzt benutzen an einem Passwort. Und das würde eben nicht Zero Trust entsprechen. Weil es wieder ein neuer Zugriff ist, den man wieder genauso neu überprüfen muss, wie es alle anderen vorher und danach eben auch sind.

Würdest du sagen, dass das was ist, was man vielleicht neu lernen muss, in Anführungszeichen, weil das natürlich auf den ersten Blick klingt? Klingt das so, also ich sage jetzt mal, jetzt ist es bei mir im Zweifel erstmal nur eine VPN-Verbindung für den Anfang und so ein paar Online-Dienste, wo es diese Multi-Faktor-Authentifizierung gibt. Jetzt kann das ja aber für den einen oder anderen, sind wir sehr IT-affin, jetzt kann das für den einen oder anderen vielleicht so sein, dass der sagt, nee, das ist mir alles ein bisschen zu viel und jetzt muss ich hier ständig zum Handy greifen, das Handy habe ich dann mal nicht am Mann. Meinst du, das ist was, was man lernen muss? Ja, natürlich.

Also das muss man lernen, auf jeden Fall, weil letztlich ist es ja, zum einen ist es ein Prozess, also ich werde ja nicht von heute auf morgen Schalter umlegen und sagen, jetzt ist alles anders. Aber man muss eben auch ganz klar darüber sein, dass die Bedrohungslandschaft sich ja laufend verändert. Zero Trust ist ja keine Erfindung, weil jemand gesagt hat, Mensch, was können wir noch machen? Sondern das kommt ja aus dem Bedarf heraus, dass man einfach sagt, okay, es gibt hier immer... Stärker werdende Bedrohung, die Angriffe werden mehr, werden gezielter, werden besser geplant und besser ausgeführt und dem muss ich auf der einen Seite mehr entgegenwitzen. Und da ist Zero Trust eben ein Werkzeug für, beziehungsweise ein Werkzeugkasten für und den muss man erlernen, ganz klar. Und dann gibt es natürlich, jetzt hast du angesprochen, Multifaktor-Ordentifizierung des Handys, was vielleicht nicht immer dabei ist. Da muss man sich natürlich auch Gedanken darüber machen. Wie nehme ich denn eigentlich... Wie mache ich das? Wie mache ich diese Identitätsfeststellung? Zero Trust ist ja eine Möglichkeit mit MFA. Aber auch MFA ist ja nicht... Also Zero Trust ist nicht nur MFA. Da gehört ja mehr dazu. Wenn wir auch bei MFA bleiben, dann können wir ja auch sagen, man muss ja nicht das Handy nehmen für die Bestätigung. Ja, stimmt. Es gibt zum Beispiel auch die Möglichkeit, über entsprechende Sicherheits-USB-Sticks zu gehen, über Hardware-Dongle, alles Mögliche gibt es da. Und da kann man natürlich dann für jeden auch so ein bisschen... Ja, das Beste. Das Beste Mittel irgendwo an der Stelle dann auch raussuchen.

Ja, jetzt hast du gerade gesagt, also ein Stückchen zurück, da sagtest du, dass ja die Angriffe quasi auch gezielter und professioneller werden. Und was glaube ich auch ein ganz entscheidender Aspekt ist, vielleicht für kleine Unternehmen, die sich jetzt selbst als gar nicht so wichtig empfinden für vielleicht... Als Ziel von Cyberangriffen. Die Angriffe werden vor allem ja auch viel willkürlicher. Also es geht ja gar nicht mehr darum. Vielleicht zu sagen, wir gehen nur dahin, wo es irgendwie was zu holen gibt an Daten oder an auch wichtigen und sensiblen Daten für die breite Masse. Sondern es geht im Zweifel eben einfach darum, es ist egal wen wir treffen, wir verschlüsseln seine Daten und hoffen, dass er uns zwei Bitcoins bezahlt.

Ja, das genau. Und man muss sich einfach immer im Klaren darüber sein, selbst wenn ich sage, okay, bei mir gibt es ja als Unternehmen nichts zu holen, dann muss ich immer im Hinterkopf behalten, was passiert denn dann, wenn es... Eine Bedrohung gibt, die mich betrifft. Da habe ich auf der einen Seite das Thema ganz groß Arbeitsausfall. Also ich werde, wenn ich so einen Angriff bei mir drin habe, ich werde einen Arbeitsausfall haben. Der kann kurz sein, der kann aber auch verdammt langsam sein. Je nachdem, das haben wir in anderen Folgen schon besprochen, wie es auch um mein Thema Backup steht, da ist es der Recovery-Maßnahmen. Was habe ich da eventuell im Vorfeld geplant oder habe ich es eben nicht geplant? Und da haben wir das Thema, genau, Arbeitsausfall, was dann ja massiv Geld kostet. Wir haben das Thema Datenschutz. Da vor allen Dingen den Bereich, wenn ich Kundendaten speichere und die kommen abhanden, dann habe ich Informationspflichten. Ich muss darüber informieren, dass es einen Datendienstall gab, dass da Daten abgeflossen sind, vielleicht auch möglicherweise nur abgeflossen sind, aber ich muss informieren. Das geht mit einem Reputationsschaden einher.

Genau, das wollte ich gerade sagen, ja.

Genau, also das ist ja auch ein großes Thema. Je nachdem, was für einen Bereich ich unterwegs bin. Ich kann mir das halt nicht nur heute, sondern auch für die Zukunft das Geschäft zerstören. Und dann kommt dazu natürlich, klar, am Ende eventuell auch einfach hoher Kostenfaktor für entweder, wenn ich sage, okay, ich gehe auf die Erpressung ein, ich zahle das Geld, gut Glück, vielleicht kriege ich den Key zurück für, wenn wir jetzt beim Thema bleiben, Verschlüsselung. Oder für die Wiederherstellung. Also das Thema, naja, bei mir gibt es nichts zu holen. Ja. Ich habe ja keine schützenswerten Daten vielleicht. Das mag für den Einzelnen stimmen. Aber die Gefahren sind ja vielfältiger.

Genau, es ist nicht sehr weitsichtig dann am Ende, ne?

Absolut, genau, ja.

Wenn ich als Unternehmer, ganz klassisch, das Beispiel haben wir ja, das zieht sich ja so ein bisschen wie so ein roter Faden. Ich habe hier eine kleine GmbH mit 20 Mitarbeitern. Und jetzt überlege ich mir, okay, das klingt ganz cool. Ich glaube, wir sollten erstmal einen Angriff nehmen. Gibt es was, wo du sagen würdest, wo man auf jeden Fall starten sollte dann? Mit beispielsweise einer Multifaktor-Authentifizierung in Richtung Zero Trust? Oder ist es egal, sollte man abrupt sagen, wir stellen jetzt hier einmal alles auf links? Oder gibt es da gute Wege?

Naja, es gibt auf jeden Fall Sachen, die man von Beginn an schon mal machen sollte. Das erste ist, und das ist bei kleinen, jetzt hast du die 20 Mann, Frau, Person, GmbH angesprochen. Die ist ja noch überschaubar. Da werde ich auch eine Rehung überschaubarer machen. Die ist ja auch eine Rehung überschaubarer. Und da geht es also erstmal darum, im ersten Schritt zu gucken, wo habe ich eigentlich Daten? Wo habe ich Daten, die ich schützen muss? Wo habe ich Infrastruktur, die ich schützen muss? Also erstmal eine Übersicht zu verschaffen. Wenn ich die habe, dann muss ich eben gucken, wie kann ich die einzelne schützen? Jetzt haben ein Großteil unserer Kunden Microsoft 365-Lösungen im Einsatz. Da habe ich schon einen ganz guten Grundstock an Tools, die mir das ermöglichen, so eine Zero Trust-Infrastruktur zu implementieren. Wenn wir dabei mal bleiben, dann wäre auf jeden Fall Startpunkt dafür, klar, Multifaktor auf jeden Fall. Und es wäre auch das Thema Gerätemanagement. Also Mobile Device Management für alle Smartphones, Tablets, was auch immer ich da draußen habe. Aber auch für alle Laptops und PCs, die in Gerätemanagement mit einbinden.

Das bedeutet quasi, die Umgebung, auf die ich zugreifen möchte, sei es, da liegen Daten, da liegt Software, die ich benutzen will. Das Gerät, das ich benutze, muss quasi authentifiziert sein, dadurch, dass zum Beispiel die MAC-Adresse dahinter liegt.

Genau, das ist dann der nächste Schritt. Wenn ich die Geräte alle im Gerätemanagement habe, dann kann ich eben für bestimmte Bereiche den Zugriff so abschotten, dass ich sage, bevor da jemand zugreifen kann, muss das Gerät sich autorisieren. Und das geschieht, indem ich überprüfe, ist dieses Gerät bei mir im Gerätemanagement, im Gerätemanagement in der Geräteverwaltung registriert. Und wenn es das nicht ist, dann kann da sich noch so ein guter Benutzer mit Benutzernamen, Passwort und Multifaktor und was auch immer anmelden. Er wird trotzdem keinen Zugriff erhalten von diesem Gerät, weil das Gerät vorher nicht autorisiert wurde.

Okay, das heißt, in diesem Beispiel wäre das Gerät auch die übergeordnete Instanz sozusagen vor dem User.

Naja, ich brauche beides. Also ich brauche einfach beides, um zugreifen zu können. Jetzt muss ich natürlich gucken, ist das für mich umsetzbar? Also vielleicht gibt es auch einen Fall, wo ich sage, naja, ich muss aber gewährleisten können, dass meine Mitarbeiter von einem x-beliebigen PC auf E-Mails zugreifen können. Weil es Szenarien gibt, da haben die keinen Zugriff auf ihr eigenes Gerät, müssen aber trotzdem an E-Mails ran. Kann ja sein. Dann muss ich das natürlich auch berücksichtigen. Kann ich so nicht umsetzen. Dann muss ich sagen, okay, E-Mail, vielleicht über den Webbrowser, muss ich davon ausnehmen. Bei E-Mail muss ich darauf vertrauen, Benutzername, Passwort und Multifaktor. Ja. Kann aber vielleicht einsteigen. Ja, aber dann muss ich auch einschränken, okay, dafür darf der Zugriff dann nur aus der EU erfolgen. Oder aus Deutschland erfolgen, je nachdem.

Ich glaube, dass dieses so zwei-, dreiminütige Konfigurationsbeispiel in Anführungszeichen einfach wirklich nochmal gezeigt hat, dass es sich bei Zero Trust nicht um eine Art Software handelt, die ich installiere und sage, okay, Abfahrt. Genau. Sondern es muss wirklich ein Konzept erstellt werden, es muss geguckt werden, wie arbeiten wir hier, was will ich vor wem und für wen schützen. Und dann geht es eben zu schauen, mit was für einzelnen Tools der vielleicht verschiedenen Hersteller, der Konfigurationsmöglichkeiten meiner Hardware kann ich das Ganze umsetzen.

Genau. Es ist ein Sicherheitskonzept, das muss man ganz klar sagen, hast du eben auch schon getan. Das kann beliebig komplex werden und da muss man sich vorher Gedanken drüber machen. Genau, man muss einen Plan erstellen, was habe ich an Szenarien, was habe ich an Daten, was habe ich an Infrastruktur. Wie kann ich die schützen und es dann Schritt für Schritt umsetzen und vor allen Dingen eben auch die Anwender mitnehmen. Ja. Damit die eben auch zum einen verstehen, warum tun wir das Ganze hier und eben auch wissen, wie sie sich verhalten müssen.

Ja. Und die gute Nachricht zum Schluss, dass das Analysieren, das Schritte erstellen, das Konzeptplan erstellen, das muss hier niemand selber machen. Dafür sind wir im Zweifel da. Genau. Und dann möchte ich das mal so lassen. Wie kommt man daran? Genau. Ich möchte das nochmal zum Anlass nehmen, auf unseren Lieblingslink hinzuweisen. hagel-it.de slash Termin. Gerne einen Termin bei Philip, bei mir oder einem unserer Kollegen buchen und wir besprechen, inwieweit Zero Trust für Sie umsetzbar ist.

Genau. Umsetzbar ist es am Ende des Tages für jeden. Stimmt. Es ist einfach nur eine Frage der Komplexität. Absolut richtig.

Danke für die Beantwortung der Fragen, für diesen kurzen, prägnanten Einblick ins Thema Zero Trust. Und ja, jetzt hast du mit mir gesprochen, obwohl ich mich nicht autorisiert habe.

Ja. Ich bin mal davon ausgegangen, dass dein Kamerabild, das ich hier sehe, nicht gefakt ist.

Ich danke dir Philip. Bis übernächste Woche. Bis in 14 Tagen.