Durch die aktuellen Auswirkungen der COVID19-Pandemie denken viele Personen nun vermehrt über Kontrolle nach. Dieser teilweise erweckte Kontrollverlust befindet sich nicht nur im Gesundheitswesen, sondern in vielen Bereichen der Gesellschaft. Dazu zählen auch IT-Systeme, denn vor allem durch das steigende Homeoffice entstehen neue Gefahren, die Angreifer schamlos ausnutzen können. Um Sicherheit zu gewährleisten zu können benötigen wir Modelle, hierbei gibt es zwei wesentliche Gegenspieler, dass Trust und Zero Trust-Modell!
Sicherheit durch Modelle etablieren
Viele Personen erkennen die Gefahren nicht, denen sie tatsächlich regelmäßig begegnen. Wie Security Insider berichtete, belegen einige Studien, dass die Menschen dahin tendieren, dass sie mehr Glück als der Durchschnittsbürger haben und Gefahren wie ein Cyber-Angriff nicht genau ihr Unternehmen treffen. Dieser lockere Umgang mit tatsächlich lauernden Gefahren führte in der Vergangenheit dazu, dass über ein Zero Trust-Modell nachgedacht wurde, im Gegensatz zu den vorherrschenden Trust-Modellen.
Bei einem Trust-Modell wird dem Benutzer, wie der Name bereits sagt, vertraut. Das bedeutet, dass bei einer Authentifizierung keine Rechte bzw. Privilegien verteilt werden, sondern lediglich die gegebenen Rechte bestätigt werden. Das System geht generell davon aus, dass jede Person vertrauenswürdig ist und alle Rechte hat. Verifiziert sich der Nutzer nun durch ein Passwort oder eine andere Authentifizierungsmöglichkeit verändert das System praktisch gesehen nichts, außer das es weiß, dass es der Person zurecht vertraut hat.
Solch ein Modell ist sehr nutzerfreundlich, da allen Nutzern prinzipiell vertraut wird und so langwierige Authentifizierungen etc. ausbleiben. Der Nachteil ist jedoch, dass so ein System deutlich angreifbarer ist als ein System mit dem Zero Trust Modell. Schafft es ein Angreifer die Authentifizierung zu knacken oder zu umgehen, indem er bspw. das Passwort durch Social Engineering stiehlt, hat er sämtliche Rechte auf dem System und kann dieses für kriminelle Aktivitäten ausnutzen. Das ist bei dem Zero Trust Modell anders!
Trust oder Zero Trust Modell?
Bei dem Zero Trust Modell dagegen wird dem Nutzer nicht vertraut. Das bedeutet, dass dauerhaft der gesamte Datenverkehr, Systemveränderungen, Eingaben, etc. mitgeschnitten und analysiert werden. Selbst wenn ein Angreifer Zugang zu einem anderen Nutzerkonto erhält, kann er in einem Zero Trust Modell kaum Schaden anrichten, da sämtliche Aktivitäten mitgeschnitten und analysiert werden.
Der Vorteil dieses Zero Trust Modells ist offensichtlich, denn durch die strengen Kontrollen ist das System sicherer. Neben den strengen Aufzeichnungen der Aktivitäten bringt ein Zero Trust Modell mit sich, dass der Gedankengang jederzeit angegriffen werden zu können eine wesentliche Rolle spielt. Verschlüsselung und Isolation neben einer strengen Authentifizierung und Autorisierung sind in diesem Modell mit eingebracht.
Der Nachteil ist ebenfalls offensichtlich, denn die Kosten solch eine Modell konsequent durchzusetzen und alle Mitarbeiter regelmäßig zu Schulen ist sehr aufwendig und dementsprechend auch kostspielig. Für die Mitarbeiter selber ist es ebenfalls ein Nachteil, denn nun müssen sämtliche Rechte angefordert werden, indem erneut ein Code oder ein Passwort eingegeben wird.
Wie so oft in der IT-Sicherheit ist es ein Kampf zwischen Sicherheit und Komfort. Welches Modell für einen selber das richtige ist, kann man pauschal nicht beantworten, aber es ist wichtig die Waagschale im Gleichgewicht zu halten, denn sowohl Sicherheit als auch Komfort dürfen nicht vernachlässigt werden.
