Das aktualisierte Zero-Trust-Modell von CISA

Früher war „Zero Trust“ vielleicht nur ein Schlagwort für Analysten, aber jetzt hat es das offizielle Gütesiegel der US-Regierung. Die Cybersecurity & Infrastructure Security Agency (CISA) hat die zweite Version eines Leitfadens zur Implementierung dieses Sicherheitsmodells veröffentlicht. Es verspricht, mehr als nur Regalware zu sein, da die Bundesbehörden angewiesen wurden, Zero-Trust-Prinzipien mit engen Fristen einzuführen.

Was ist Zero Trust? 

Während der Begriff „Zero Trust“ in letzter Zeit viel Aufmerksamkeit auf sich gezogen hat, sind die zugrunde liegenden Konzepte gut etabliert. Der Begriff tauchte im IT-Sektor erstmals 2010 außerhalb von Nischenkreisen im Rahmen eines Berichts von Forrester Research auf. Die darin vertretenen Ideen – die Notwendigkeit, alles in einer nicht vertrauenswürdigen Umgebung zu überprüfen – reichen jedoch weitaus früher zurück.

Das Jericho Forum der Open Group kündigte 2004 die Erosion des traditionellen Netzwerkperimeters an und nannte es Deperimeterisierung. Da Unternehmen Daten mit Geschäftspartnern austauschten und immer mehr ihrer Vermögenswerte außerhalb des Kernnetzwerks des Unternehmens platzierten, wurde es immer schwieriger, demjenigen zu vertrauen, der oder was auch immer versuchte, gedankenlos eine Verbindung herzustellen. Anstelle des alten Zitadellenmodells, bei dem das Netzwerk eine undurchlässige harte Außenwand hatte, ähnelten IT-Infrastrukturen eher einer Reihe von Lagern, in denen jeweils bestimmte Vermögenswerte untergebracht waren und die einen eigenen Schutz benötigten.

Dies veränderte die Art und Weise, wie IT-Systeme Personen authentifizierten. Wenn man früher über die Zugangsdaten für den Zugang zum Netzwerk verfügte, hatte man Vertrauen und konnte überall hingehen. Zero Trust gibt diese Idee auf. Stattdessen gibt es kein Hindernis, das es zu überwinden gilt. Jede digitale Tür im Ort ist mit einem Vorhängeschloss versehen und Sie müssen einen Schlüssel haben.

Das Weiße Haus kauft ein 

Die US-Regierung hat sich dem Zero-Trust-Konzept angeschlossen und sich zunächst dafür eingesetzt Executive Order 14028 im Mai 2021. Im darauffolgenden Januar folgte die Einführung von Mandaten für Zero Trust. Diese kamen in Form von Nationales Sicherheitsmemorandum 8 (NSM-8), das seine Verwendung in der nationalen Sicherheitsgemeinschaft anordnete, und das MS-22-09-Memo des Office of Management and Budget. Letzterer wies die Bundesbehörden an, bis Ende nächsten Jahres Zero-Trust-Maßnahmen umzusetzen.

CISA, die Behörde des US-Heimatschutzministeriums, die sich um die Cybersicherheit im Bereich der inländischen Sicherheit kümmert, berät Bundesorganisationen und den Privatsektor in Fragen wie diesen. Im September 2021 veröffentlichte es gemäß der Executive Order pflichtbewusst sein Zero-Trust-Maturity-Modell. Dieses Dokument sollte Agenturen beim Übergang zum neuen Modell helfen.

Die Agentur veröffentlichte im April dieses Jahres nach einer öffentlichen Konsultationsphase eine Aktualisierung dieses Leitfadens. Die bedeutendste Änderung in der zweiten Version ist die Hinzufügung einer weiteren Reifestufe auf dem Weg einer Organisation zum Zero-Trust-Nirvana.

Ursprünglich gab es drei Stufen: Traditionell, Fortgeschritten und Optimal. Bei Traditional ging es praktisch wie gewohnt weiter, praktisch ohne zusammenhängende Zero-Trust-Implementierung.

Unternehmen auf der traditionellen Ebene, die überhaupt an Zero Trust gearbeitet hatten, hatten sich auf einen engen Rahmen beschränkt. Das Reifegradmodell beschreibt fünf Säulen zur Aufteilung der Arbeit bei der Implementierung von Zero Trust und zeigt den Umfang der erforderlichen Veränderungen auf. Diese Säulen sind Identität, Geräte, Netzwerke, Anwendungen und Workloads sowie Daten. Unternehmen auf der traditionellen Ebene, die sich auf Zero Trust konzentrieren, arbeiten auf der Ebene einzelner Säulen, anstatt einen kohärenteren Ansatz zu verfolgen.

Das Reifegradmodell beschreibt drei „übergreifende“ Fähigkeiten, die sich über jede dieser Säulen erstrecken, um Bundesbehörden und Institutionen des privaten Sektors dabei zu helfen, den Zero-Trust-Anforderungen umfassender gerecht zu werden. Diese drei Bereiche sind Sichtbarkeit und Analyse, Automatisierung und Orchestrierung sowie Governance.

In Kommentaren zur ersten Version des Leitfadens wurde argumentiert, dass der Sprung zwischen „traditionell“ und „fortgeschritten“ zu groß sei. Stattdessen forderten sie eine zusätzliche Bühne, die beides überbrücken würde. CISA reagierte, indem es nach „Traditional“ eine Anfangsphase hinzufügte. Außerdem wurde die Sprache für die anderen fortgeschritteneren Stufen der fünf Säulen angepasst, um dem zusätzlichen Reifegrad Rechnung zu tragen.

Unternehmen in der Anfangsphase fangen gerade erst damit an, Aufgaben wie die Zuweisung von Attributen und die Konfiguration von Lebenszyklen zu automatisieren, heißt es in dem überarbeiteten Leitfaden. An diesem Punkt beginnen sie, sich mit politischen Entscheidungen und deren Durchsetzung auseinanderzusetzen. Andere Aufgaben, die gerade in Angriff genommen werden, umfassen das Konzept der geringsten Privilegien und die Erlangung einer einheitlichen Sichtbarkeit über interne Systeme hinweg.

Es überrascht nicht, dass die Leute einen zusätzlichen Schritt im Zero-Trust-Reifeprozess forderten. Diese neue Denkweise im Bereich der Cybersicherheit stellt eine so weitreichende Veränderung in der Art und Weise dar, wie wir mit Unternehmenszugriff und Authentifizierung umgehen, dass kein Anbieter und kein Produkt das alles kann. Es handelt sich eher um eine Disziplin als um eine Produktkategorie, die Änderungen in der gesamten Infrastruktur und erhebliche Aktualisierungen der Richtlinien mit sich bringt. Für viele Unternehmen wird es ein langsamer Prozess sein, der eher dem Anzünden tausender Kerzen ähnelt als dem Umlegen eines einzigen Schalters, und dieser zusätzliche Schritt gibt ihnen einen einfacheren Ausgangspunkt. Für viele wird es eine willkommene Abwechslung sein, die Auffahrt etwas flacher zu gestalten.