Security-Schwächen: 5 Bereiche, in denen Zero Trust nicht schützt

Foto: eamesBot – shutterstock.com

Zero Trust ist ein Paradigma der Cybersicherheit – eigentlich eine Philosophie, bei der jeder Benutzer, jedes Gerät und jede Nachricht als nicht vertrauenswürdig angesehen wird, solange nicht das Gegenteil bewiesen ist. Es ist eine Alternative zum alten Perimeter-basierten Ansatz, bei dem Dinge außerhalb des Unternehmens als nicht vertrauenswürdig und Dinge innerhalb des Unternehmensnetzwerks automatisch als vertrauenswürdig eingestuft wurden.

In einem Zeitalter, in dem die Grenzen überall sind, in dem Mitarbeiter sowohl zu Hause als auch im Büro arbeiten und in dem Computerressourcen über mehrere Rechenzentren, Clouds und andere Drittanbieter verteilt sind, funktionieren die alten Ansätze nicht mehr. Zero Trust ist die moderne Antwort auf dieses Problem. Und fast jede Organisation ist mit an Bord. In einer Okta-Umfrage von 2022 hatten 55 Prozent der 700 teilnehmenden Unternehmen bereits eine Zero-Trust-Architektur eingeführt – gegenüber 24 Prozent im Jahr 2021 – und 97 Prozent planten, in den kommenden 12 bis 18 Monaten eine solche einzuführen.

Selbst wenn Zero Trust eingeführt wurde, bedeutet dies jedoch nicht, dass alle Sicherheitsprobleme gelöst wurden. Nach Meinung von Gartner-Analyst John Watts gibt zwei große Probleme mit Zero Trust: “Das eine ist der Umfang, wie etwa Legacy-Technologie oder Schatten-IT. Das zweite große Problem ist, dass es Angriffe gibt, die Zero-Trust-Kontrollen umgehen.”

Lesetipp: Zero Trust ist nicht genug!

Zero Trust: Diese Bereiche sind ungeschützt

Darüber hinaus hat Zero Trust hat mehrere blinde Flecken:

1. Veraltete Systeme

Nicht alle Systeme und Anwendungen lassen sich leicht auf Zero-Trust-Prinzipien umstellen. Viele Altsysteme zum Beispiel haben einfach nicht das Zeug dazu. Ein Beispiel aus der Praxis: Der Versicherungsmakler PIB Group wurde erst vor sieben Jahren gegründet, hat aber seither 92 andere Unternehmen übernommen, die meisten davon andere Versicherungsunternehmen. Die Zahl der Mitarbeiter stieg von 12 auf 3.500.

“Wir erwerben eine Menge Plattformen, und die wurden von jemanden erstellt, der einen anderen Job hat und sie nicht richtig unterstützt”, erklärt CISO Jason Ozin gegenüber CSO. “Selbst das aktuelle HR-System des Unternehmens unterstützt kein Zero Trust. Es unterstützt nicht einmal die Zwei-Faktor-Authentifizierung.”

Das Unternehmen steht zwar kurz vor der Umstellung auf ein neues HR-System, aber andere Systeme sind nicht so schnell austauschbar. Bis es soweit ist, hat Ozin eine Lösung parat. “Was wir tun können, ist, einen Zero-Trust-Wrapper darum zu legen. Sie werden dann folgendermaßen authentifiziert: Kommen Sie von einem Standort, den wir kennen? Verwenden Sie eine Zwei-Faktor-Authentifizierung?”

Sobald die Authentifizierung erfolgt ist, leitet der Wrapper den Datenverkehr an das Altsystem weiter. Dieses – zum Beispiel das aktuelle HR-System – überprüft die IP-Adresse, um sicherzustellen, dass sie von der Zero-Trust-Plattform stammt. “Einige Altsysteme sind so schlecht, dass sie nicht einmal einen Benutzernamen und ein Passwort haben”, klagt der Security-Chef des Versicherungsunternehmen. “Aber niemand kann darauf zugreifen, außer durch die Gatekeeper”.

Die Pandemie war eine wichtige Motivation für die Umstellung auf Zero-Trust, ebenso wie das schnelle Wachstum des Unternehmens. “Mein Plan ist es, jedes einzelne Altsystem, das wir haben, loszuwerden”, betont Ozin. “Aber in Wirklichkeit wird das nie passieren. Es würde mich nicht wundern, wenn ich in sechs Jahren immer noch damit arbeite. Es kostet Ressourcen und Geld, alles zu aktualisieren. “Wir haben uns entschlossen, zunächst bestimmte risikoreiche Bereiche zu aktualisieren”, so der Group PIB-CISO.

2. IoT-Geräte

Laut Ozin gibt es eine weitere Herausforderung, da eine Menge IoT-Geräte in der Organisation vorhanden sind: “Es existierenIoT-Geräte, von denen ich nicht einmal weiß”, erklärt er. Das sei ein Problem, vor allem dann, wenn zum Beispiel ein lokales Büro beschließt, ein Türöffnungssystem zu installieren, ohne vorher mit jemandem zu sprechen. “Sie installieren es, und der Mitarbeiter fragt: ‘Kann ich den WiFi-Zugangsschlüssel für das Netzwerk bekommen?’ Und jemand könnte ihn ihm geben.”

Da nicht alle WiFi-Gateways als vertrauenswürdig eingestuft werden können, hat das Unternehmen eine Lösung gefunden: ein separates Netzwerk für nicht zugelassene Geräte, das keinen Zugriff auf Unternehmensdaten hat. PIB verfügt auch über Tools, mit denen sie Audits durchführen können, um sicherzustellen, dass nur zugelassene Geräte mit dem Hauptnetzwerk verbunden sind.

Watts von Gartner stimmt zu, dass IoT und OT Unternehmen vor Sicherheitsherausforderungen stellen können. “Es ist schwieriger, eine Zero-Trust-Position für diese Geräte und Systeme zu implementieren. Sie haben weniger Sicherheiten für die Identität. Wenn es keinen Benutzer gibt, dann gibt es auch kein Benutzerkonto”, so der Analyst. “Es gibt keine gute Möglichkeit, zu authentifizieren, ob etwas im Netzwerk sein sollte. Das wird ein schwer zu lösendes Problem.”

Watts zufolge schließen einige Unternehmen IoT und OT aus ihrem Zero-Trust-Bereich aus, weil sie dieses Problem nicht lösen können. Einige Anbieter würden jedoch Unternehmen dabei helfen, diese Systeme zu sichern.

3. Privilegierter Zugang

“Insider-Bedrohungen sind ein großes Restrisiko, nachdem Zero-Trust-Kontrollen implementiert wurden”, betont Watts von Gartner. Darüber hinaus können vertrauenswürdige Insider durch Social Engineering dazu gebracht werden, Daten preiszugeben oder Angreifern den Zugang zu Systemen zu ermöglichen. “Insider-Bedrohungen und Account-Takeover-Angriffe sind die beiden Risiken, die auch in einer perfekten Zero-Trust-Welt bestehen bleiben.”

Im Gegensatz dazu könnten andere Technologien das Risiko verringern, berichtet Ozin. “Jemand kann alle Privilegien haben, aber warum ist er plötzlich um drei Uhr morgens im Internet? Um das zu erkennen, kann man neben Zero Trust auch Verhaltensanalysen einsetzen. Wir nutzen dies als Teil unseres EDR (Endpoint Detection and Response) und als Teil unseres Okta-Logins. Wir haben auch ein Programm zur Verhinderung von Datenverlusten – warum drucken Mitarbeiter 60 Seiten, obwohl sie normalerweise nichts drucken?”

Dann gibt es noch Business Email Compromise, bei der Personen mit Zugang zu Firmen-Kreditkarten dazu verleitet werden, Geld an Bösewichte zu schicken. “Eine Kompromittierung von Geschäfts-E-Mails könnte eine Fälschung sein, die ein Mitglied des Unternehmens anruft und es auffordert, Geld auf ein anderes Konto zu überweisen”, erklärt Watts. “Und nichts davon berührt tatsächlich eine Ihrer Zero-Trust-Kontrollen.”

Um dem entgegenzuwirken, sollten Unternehmen den Benutzerzugang einschränken, damit im Falle einer Kompromittierung der Schaden minimiert wird. “Mit einem privilegierten Konto ist das schwierig”, so der Gartner-Experte. Die Analyse des Benutzer- und Unternehmensverhaltens würde helfen, Insider-Bedrohungen und Angriffe zur Übernahme von Konten zu erkennen. Entscheidend sei, dass die Technologie intelligent eingesetzt wird, so dass Fehlalarme niemanden davon abhalten, seine Arbeit vollständig zu erledigen.

Anomale Aktivitäten könnten beispielsweise eine adaptive Kontrolle auslösen, wie die Änderung des Zugriffs auf den Lesezugriff oder die Sperrung des Zugriffs auf die sensibelsten Anwendungen. Unternehmen müssen darauf achten, dass sie nicht zu vielen Benutzern zu viel Zugang gewähren, so Watts. “Es ist nicht nur ein technisches Problem. Man muss auch die Menschen und Prozesse haben, die das unterstützen”, fügt er hinzu.

Laut einer Umfrage von Cybersecurity Insiders geben 47 Prozent der Unternehmen an, dass der überprivilegierte Zugang von Mitarbeitern eine der größten Herausforderungen bei der Einführung von Zero Trust darstellt. Darüber hinaus sind 10 Prozent der Meinung, dass alle Benutzer mehr Zugriff haben, als sie benötigen, 79 Prozent bestätigten dies für einige oder wenige Benutzer , und nur 9 Prozent geben an, dass kein Benutzer zu viel Zugriff hat. Eine Studie von Dimensional Research, die im Auftrag von BeyondTrust durchgeführt wurde, ergab, dass 63 Prozent der Unternehmen in den vergangenen 18 Monaten Identitätsprobleme hatten, die direkt mit privilegierten Benutzern oder Zugangsdaten zusammenhingen.

4. Dienste von Drittanbietern

CloudFactory ist ein KI-Datenunternehmen mit 600 Mitarbeitern und 8.000 On-Demand-Cloud-Workern. Das Unternehmen hat vollständig auf Zero Trust umgestellt, wie der Leiter der Sicherheitsabteilung Shayne Green gegenüber CSO erklärt. “Wir müssen das tun, weil wir so viele Nutzer unterstützen.”

“Remote-Mitarbeiter melden sich mit der Google-Authentifizierung an, über die das Unternehmen seine Sicherheitsrichtlinien anwenden kann, aber es gibt eine Lücke”, sagt Green. Einige wichtige Drittanbieter würden weder Single Sign-On noch die Integration von Security Assertion Markup Language unterstützen. “Das hat zur Folge, dass sich Mitarbeiter von einem nicht zugelassenen Gerät aus mit ihrem Benutzernamen und Kennwort anmelden können. Dann gibt es nichts mehr, was sie daran hindern könnte, sich außerhalb unserer Sichtbarkeit zu bewegen”. Die Technologieanbieter sind sich dessen bewusst, so Green, aber sie hinken hinterher und müssen nachziehen.

CloudFactory ist nicht das einzige Unternehmen, das damit Schwierigkeiten hat. Doch die Sicherheitsprobleme der Anbieter gehen über die von ihnen verwendeten Authentifizierungsmechanismen hinaus. Viele Unternehmen geben ihre Systeme beispielsweise über APIs an Dritte weiter. Es kann leicht passieren, dass man APIs übersieht, wenn man den Umfang eines Zero-Trust-Deployments festlegt.

“Man kann die Zero-Trust-Prinzipien auf APIs anwenden”, sagt Watts. Das könnte zu einer besseren Sicherheitslage führen – aber nur bis zu einem gewissen Grad. “Sie können nur die Schnittstelle kontrollieren, die Sie für Dritte freigeben und verfügbar machen”, erklärt er. “Wenn der Dritte keine guten Kontrollmechanismen hat, ist das etwas, worüber Sie normalerweise keine Kontrolle haben.” Erstellt aber ein Dritter eine Anwendung , die seinen Nutzern den Zugriff auf seine Daten ermöglicht, könnte die Authentifizierung auf dem Client ein Problem darstellen. “Wenn sie nicht sehr stark ist, könnte jemand das Sitzungs-Token stehlen”, sp Watts.

Unternehmen können ihre Drittanbieter prüfen, aber diese Prüfungen sind in der Regel einmalig oder werden ad hoc durchgeführt. Eine weitere Option ist der Einsatz von Analysemethoden, die es ermöglichen, zu erkennen, wenn etwas nicht genehmigt ist. Dadurch können anormale Ereignisse erkannt werden. Eine Schwachstelle in einer API, die ausgenutzt wird, könnte sich als ein solches anormales Ereignis erweisen, so der Gartner-Experte.

5. Neue Technologien und Anwendungen

Laut einer aktuellen Beyond-Identity-Umfrage unter mehr als 500 Cybersecurity-Experten in den USA in diesem Jahr war der Umgang mit neuen Anwendungen die drittgrößte Herausforderung bei derUmsetzung von Zero Trust. Sie wurde von 48 Prozent der Befragten als Problem genannt . Neue Anwendungen hinzuzufügen, ist jedoch nicht die einzige Änderung, die Unternehmen an ihren Systemen vornehmen möchten. “Einige Unternehmen versuchen ständig, ihre Prozesse zu verbessern und den Kommunikationsfluss zu optimieren”, berichtet John Carey, Geschäftsführer der Gruppe für Technologielösungen bei AArete, einem globalen Beratungsunternehmen. “Dies steht im Widerspruch zum Konzept des Datenvertrauens, das dem freien Datenverkehr Schranken setzt.”

Carey zufolge kann es dadurch zu Produktivitätseinbußen kommen, wenn Zero Trust nicht korrekt implementiert oder gestaltet wird. Ein Bereich, in dem dies passieren könnte, sind KI-Projekte. Unternehmen haben immer mehr Möglichkeiten, maßgeschneiderte, fein abgestimmte KI-Modelle speziell für ihr Unternehmen zu erstellen, darunter neuerdings auch mit Hilfe von Generative AI.

Je mehr Informationen die KI hat, desto nützlicher ist sie. “Bei KI möchte man, dass sie Zugang zu allem hat”, erklärt Martin Fix, Technologiedirektor beim Technologieberater Star, gegenüber CSO. “Das ist der Zweck von KI, aber wenn sie durchbrochen wird, hat man ein Problem. Und wenn sie anfängt, Dinge preiszugeben, die man nicht haben will, ist das ein weiteres Problem.”

Laut Fix gibt es einen neuen Angriffsvektor, das so genannte “Prompt Hacking”. Dabei versuchen böswillige Benutzer , die KI durch geschickte Formulierung der Fragen dazu zu bringen, ihnen mehr zu verraten, als sie sollten. Eine Lösung besteht Fix zufolge darin, für allgemeine Zwecke gedachte KI nicht mit sensiblen Daten zu trainieren. Stattdessen könnten diese Daten gesondert aufbewahrt werden, mit einem Zugangskontrollsystem, das prüft, ob der fragende Nutzer Zugang zu diesen Daten hat. “Die Ergebnisse sind möglicherweise nicht so gut wie bei einer unkontrollierten KI. Es erfordert mehr Ressourcen und mehr Management”, so der Technikexperte.

Das zugrunde liegende Problem ist, dass Zero Trust die Arbeitsweise von Unternehmen verändert. “Die Anbieter sagen, es sei einfach: Bauen Sie einfach ein paar Sicherheitsvorkehrungen ein, wo Ihre Mitarbeiter reinkommen “, erklärt Deepak Mathur, Zero Trust Leader für die USA bei KPMG, gegenüber CSO. Doch so einfach ist es nicht. Die Komplexität von Zero Trust wird gerade erst deutlich. Das sei ein großes Manko, über das beim Thema Zero Trust nie gesprochen werde, so Mathur. “Wenn Unternehmen Zero-Trust-Technologien einführen, müssen sie ihre Prozesse ändern. Stattdessen wird zu oft einfach davon ausgegangen, dass die Menschen die Prozesse verbessern werden.” (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.