Zero Trust im Rückblick: Wie Unternehmenssicherheit Schritt für Schritt neu gedacht wurde

Warum ein Rückblick?

Für viele Experten aus der IT-Sicherheit ist Zero Trust eine bahnbrechende Änderung – ein grundlegend neuer Ansatz zum Schutz von Netzwerken und Ressourcen samt darin enthaltener wertvoller Daten, Kommunikation und Tools. 

Um jedoch verstehen zu können, wie tiefgreifend die Veränderungen durch die Einführung von Zero Trust für die Cybersicherheit sind, hilft ein Blick in die Geschichte der Zero-Trust-Architektur und wie sie sich letztlich gegen jahrzehntelang gültige Ansätze durchsetzte. 

Es folgt eine kurze Übersicht über die Meilensteine der Zero-Trust-Bewegung.

Schlüsselmomente in der Geschichte von Zero Trust

1987 – Die erste Abhandlung über Firewall-Technologie wird von der Digital Equipment Corporation (DEC) veröffentlicht – der Grundstein für die jahrzehntelange Ära der Festung-mit-Burggraben-Mentalität.

2001 – Die IEEE Standards Association veröffentlicht das 802.1X Protocol für Netzwerk-Zugriffskontrolle (NAC).

2004 – Das Jericho Forum gründet sich und setzt sich für die Abkehr vom Perimeter ein.

2007 – Die Defense Information Systems Agency (DISA) präsentiert ihr „Black Core“-Modell für einen softwaredefinierten Perimeter, das sich aber kaum durchsetzen konnte. 

2009 – Google reagiert mit BeyondCorp als neuem Konzept für die Sicherheitsarchitektur auf die „Operation Aurora“.

2010 – Der Analyst John Kindervag prägt in einer Abhandlung für die Forrester Research Group den Begriff „Zero Trust“.

2013 – Der auf SPA beruhende Software Defined Perimeter der Cloud Security Alliance gerät aufgrund technischer Einschränkungen in die Krise. Das Jericho Forum bezeichnet die Abkehr vom Perimeter als unausweichlich und löst sich auf.

2017 – Gartner entwickelt Continuous Adaptive Risk and Trust Assessment (CARTA) als Risiko-Management Framework.

2019 – Gartner stellt das Prinzip der Secure Access Service Edge (SASE) vor.

2020 – NIST stellt SP 800‑207 als einheitliches Framework zur Schaffung einer Zero-Trust-Architektur (ZTA) vor.

2021 – Gartner erklärt die Sicherheitskomponenten von SASE zu einer neuen Marktkategorie, der Secure Service Edge (SSE).

2022 – Das Office of Management and Budget der USA schreibt allen Dienststellen die Implementierung von Zero Trust bis 2024 vor.

802.1X und Netzwerkzugriffskontrolle

2001 kam das 802.1X-Protokoll als Standard für die Netzwerkzugriffskontrolle (NAC) für kabellose Geräte heraus. Dadurch, dass es immer mehr dieser Geräte gab, verkomplizierte sich die Durchsetzung eines streng abgesteckten Unternehmensperimeters und die Unternehmen mussten auf die zunehmende Nutzung reagieren.

Bei 802.1X sollte ein Supplicant (bzw. Client) es den Netzwerken ermöglichen, Endgeräte vor der Zulassung einer Verbindung zu authentifizieren. Leider waren nicht alle Geräte 802.1X-fähig, und so standen Drucker, IoT-Systeme und andere verbundene Geräte einer universellen Lösung gegen unberechtigten Netzwerkzugriff im Weg. 

Das zukunftsweisende Jericho Forum

2003 erkannten führende Köpfe aus der IT in Europa inhärente Probleme der Festung-mit-Burggraben-Architektur und diskutierten über mögliche Auswege.  

Daraus entstand 2004 die als Jericho Forum bekannte Arbeitsgruppe, die eine Abkehr vom Perimeter-Prinzip forderte und anhand mehrerer „Gebote“ die Grundlage für die Entwicklung solider Vorgehensweisen bei perimeterlosen Netzwerken legte.

Zero Trust: Von Anfang an mehr als nur ein Modewort

2010 veröffentlichte der Forrester-Analyst John Kindervag einen Artikel mit dem Titel „No More Chewy Centers: Introducing The Zero Trust Model Of Information Security“. Zero Trust war schon damals nicht nur ein Modebegriff, sondern lieferte der IT-Sicherheits-Branche einen Anhaltspunkt auf dem Weg hin zu einem neuen Konnektivitätsmodell.

Der Grundgedanke war, dass es nicht ausreicht, sich einfach innerhalb eines Netzwerks zu befinden, um als vertrauenswürdig eingestuft zu werden. Anstelle des Perimeters war nun die Identität und deren Verifizierbarkeit für den Zugriff ausschlaggebend. Leider war bei den Unternehmen damals noch nichts von dieser Revolution zu spüren. Bei Netzwerken kannte man nach wie vor nur eine strikte Unterscheidung: innerhalb oder außerhalb des Perimeters.

BeyondCorp reagiert und geht voran

Wie so oft in der Cybersicherheit waren auch dieses Mal konkrete Bedrohungssituationen der Anstoß für eine neue Entwicklung auf dem Gebiet der Netzwerksicherheit. So gab es eine breitangelegte Offensive der chinesischen Volksbefreiungsarmee, die sich gegen US-Tech-Firmen wie Akamai, Adobe und Juniper Networks richtete, und auf die Google mit BeyondCorp reagierte. 

Laut Google war das Ziel dahinter sinngemäß, „Zugriffskontrollen nicht mehr über den Netzwerkperimeter sondern für jeden Benutzer einzeln durchzusetzen … und so sicheres Arbeiten von jedem beliebigen Ort aus ohne herkömmliches VPN zu ermöglichen“. Damit war Zero Trust in seiner Reinform geboren, d. h. die völlige Abkehr vom Zugriff aufgrund von Netzwerkgrenzen. 

Das Problem, dem sich Google damit stellte, war allerdings kein einfaches. Trotz der Bemühungen, „anderen Unternehmen den Weg für die Implementierung ihres eigenen Zero-Trust-Netzwerks zu ebnen“, waren die meisten Unternehmen im Jahr 2010 damit noch technisch überfordert.

Anerkennung von höchster Stelle

Im Jahr 2020 kamen mit dem NIST-800-207-Standard für Zero-Trust-Architektur vom National Institute for Standards and Technology (NIST) neue Impulse in die Debatte. 

Bei diesem neuen Paradigma in der Cybersicherheit lag der Fokus auf dem Schutz von Ressourcen. Die Einstufung als vertrauenswürdig darf demnach nie implizit erfolgen, sondern muss ständig geprüft werden. Man befreite sich von den Einschränkungen des Perimeters und verwarf die Vorstellung von VPNs. 

Seine Grundprinzipien zeigen, wie Zero Trust funktioniert und warum sich dieses Konzept von bisherigen Ansätzen unterscheidet. Der 800-207-Standard definiert zentrale Grundsätze und Annahmen für Zero Trust. Die drei wichtigsten Punkte (neben zahlreichen anderen) sind:

1. Keine Ressource ist von sich aus vertrauenswürdig.
2. Die gesamte Kommunikation wird unabhängig vom Netzwerkstandort geschützt.
3. Ressourcen werden durchweg dynamisch authentifiziert und autorisiert, und Zugriff wird erst nach strikter Prüfung erteilt.

Auf diese „Revolution im Denken“ folgte 2022 die Revolution in der Praxis in Form der Richtlinie M-22-09 des Office of Management and Budget (OMB) der USA. Plötzlich wurde Zero Trust zur gesetzlichen Vorgabe, zumindest bei amerikanischen Bundesbehörden. 

Die Auswirkungen sind weitreichend: Die Anerkennung durch die US-Bundesbehörden ist gewissermaßen ein Ritterschlag für die Zero-Trust-Methode und geschah höchstwahrscheinlich auch unter dem Eindruck eines aufsehenerregenden Lieferketten-Angriffs von 2021, von dem die amerikanischen Ministerien für Auswärtiges, Finanzen, Innere Sicherheit, Wirtschaft und Energie betroffen waren.

Zero Trust, weiter optimiert

Dass die US-Behörden nun offiziell auf Zero Trust setzen, ist erst der Anfang vom Aufstieg dieses Modells. Zscaler orientiert sich bei seiner Zero-Trust-Architektur eng am ZTA-Framework von NIST sowie an der Definition für SSE von Gartner. Darüber hinaus implementiert Zscaler drei fundamental neue Denkweisen:

1. Sämtlicher Traffic ist Zero-Trust-Traffic.
2. Identität und Kontext haben immer Vorrang gegenüber Konnektivität.
3. Anwendungen (und sogar Applikations-Umgebungen) sind für unberechtigte Benutzer unsichtbar.

Mehr über diesen modernen Ansatz für Zero Trust und darüber, wie Zscaler auf die nächsten Meilensteine auf dem Gebiet der Unternehmenssicherheit hinarbeitet, ist im Whitepaper „Zero Trust im Rückblick: Wie Unternehmenssicherheit Schritt für Schritt neu gedacht wurde“ zu finden.

Außerdem ist eine Aufzeichnung einer LinkedIn Live-Präsentation mit Greg Simpson abrufbar.