Zero Trust – Das Cybersicherheit-Paradigma

Log4Shell – Über die empfindliche und angreifbare Netzwerkinsfrastruktur

Wie überaus empfindlich und angreifbar die Netzwerkinfrastruktur ist, zeigt erneut die kritische Schwachstelle (Log4Shell), in der weit verbreiteten Java-Bibliothek Log4j. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert.

Zero Trust auch für Festplatten
Zero Trust auch für Festplatten

Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Darauf machte das BSI am 11.12.2021[1] in einer Cyber-Sicherheitswarnung über sicherheitsrelevante IT-Eigenschaften von Produkten aufmerksam[2]. Bekannt geworden sind welt- und deutschlandweite Massen-Scans durch unbekannt Angreifer, sowie versuchte Kompromittierungen von Systemen. Auch erste erfolgreiche Kompromittierungen wurden öffentlich gemeldet.

Dieser erneute Weckruf durch die globale Log4j-Bedrohung, sollte Verantwortliche für die IT-Sicherheit in Unternehmen und staatliche Stellen an Ihre Verantwortung erinnern. Cyberangriffe sind die dunkle Kehrseite des Digitalisierungs- und Vernetzungszeitalters, aber grundsätzlich nichts Neues. Diese Gefahren wurden schon frühzeitig u.a. durch das “Zero-Trust-Konzept vorweggenommen und beschrieben.

Woher kommt die “Zero Trust”-Idee?

Der Begriff “Zero Trust” geht mit auf die 1994 vorgelegte Doktorarbeit von Stephen Paul Marsh zurück. In der 2008 erschienene Publikation „Zero Trust Architecture“, des National Institute of Standards and Technology (NIST), des U.S. Department of Commerce fand der Begriff Einzug in die Diskussion. Diese Überlegungen finden sich im Folgenden in den Direktiven des britischen National Cyber Security Centre und des Bundesamt für die Sicherheit der Informationsgesellschaft BSI wieder.

Was bedeutet “Zero Trust”?

Der konzeptionelle Begriff „Zero Trust“, also „niemals zu vertrauen, immer zu überprüfen“, ist demnach das Cybersicherheit-Paradigma schlechthin. Es dient der ganzheitlichen Verteidigung der IT-Infrastruktur und Ressourcen (Identität, Daten, Applikationen, Infrastruktur, Netzwerke). Dabei wird das Benutzerverhalten und die Benutzeranforderungen mit einbezogen.

Unternehmen benötigen Sicherheitsmodelle und -module, die sich effektiv an die Komplexität moderner IT-Umgebungen anpassen, mobile Mitarbeiter einbeziehen und Menschen, Geräte, Anwendungen und Daten unabhängig von ihrem Standort schützen. Das „Zero Trust“-Konzept gibt die statische Betrachtungsweise „vor und hinter der FIREWALL“ auf. Es impliziert grundsätzlich die Möglichkeit einer “Sicherheitsverletzung” und überprüft jede Anfrage im System, als ob sie von einem unkontrollierten Netzwerk oder Nutzer stammen würde.

Warum der Schutz “kritischer Infrastruktur” auch den Staat zum Handeln verpflichtet?

Neben den verfassungsrechtlich gesicherten Garantien für Leben, Freiheit und Gesundheit ist auch das Wirtschaftsleben ein Schutzgut. Es verpflichtet den Staat zur Sicherung einer freien und wettbewerblichen Marktwirtschaft, die auch die Sicherung des sozialen Lebens einschließt.

Zero Trust auch für Festplatten
Zero Trust auch für Festplatten

Im Bereich der IT- und IT-Infrastruktur, obliegt dieser Schutz, dem beim Bundesinnenministerium (BMI) angesiedelten Bundesamt für die Sicherheit in der Informationsgesellschaft (BSI). Es ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene. Der Gesetzesauftrag[3] beinhaltet den Schutz “Kritischer Infrastrukturen. Das BMI bestimmt durch Rechtsverordnung, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen gelten.

Der Gesetzgeber verpflichtet private und öffentliche Betreiber Kritischer Infrastrukturen, Systeme und Routinen zur Angriffserkennung einzusetzen. Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterliegen.

Auf was beim Zero Trust-Management der Fokus gelegt werden muss?

Das Zero-Trust-Management muss grundsätzlich unterschiedliche betriebliche Anforderungen durch geeignete technische und organisatorische Maßnahmen orchestrieren. Dazu gehören insbesondere die sichere Identitätsfeststellung von Personen, Diensten oder IoT Geräte durch Identitätsprüfung und Rechtevergabe.

Es stellt den Verantwortlichen und Nutzern Dokumenten und Leitfäden, mit klaren und verständlichen Handlungsanweisungen zur Verfügung. Nur sichere Endpunkte von IoT-Geräten wie Smartphones, BOYD, lokalen und cloudbasierten Servern sind zugelassen. Zugelassen sind des Weiteren nur sichere Anwendungen unter Ausschluss der Schatten-IT. In sicheren Netzwerken werden Angreifern die Möglichkeit genommen, sich darin ungehindert bewegen zu können.


[1] www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

[2] § 7 Abs. 1  Nr. 1 d BSIG

[3] Gesetz über das Bundesamt für Sicherheit in der Informationstechnik www.gesetze-im-internet.de/bsig_2009/