Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
6. Februar 2024

Zero Trust: Vertraue niemandem – Mein digitaler Schutzschild Teil 2

1. MaterialauswahlZero Trust

Die Herstellung eines Schildes ist ein handwerklicher Vorgang, der mehrere Schritte umfasst. Ein konventioneller Schild besteht in der Regel aus einem Metallkern, der von einer Hülle aus Holz, Leder oder anderen Materialien umgeben ist. Der Metallkern verleiht dem Schild Stabilität und Schutz.

Vorliegend möchte ich nun den »Metallkern« vorstellen, der sozusagen das Fundament meines digitalen Schutzschildes bildet. Der Kern besteht aus Konzepten wie Zero Trust und KISS (Keep it simple, stupid!), die für eine zuverlässige Abwehr sorgen, aber nur dann Sicherheit bieten, wenn der Schutzschild regelmäßig auf Risse und andere Defekte überprüft wird. Die Wirksamkeit des Schutzes hängt wesentlich davon ab, wie sorgfältig und vollständig diese Konzepte in der Praxis umgesetzt werden.

Nachfolgend werde ich kurz die Grundzüge von Zero Trust skizzieren und anhand einiger Beispiele erläutern, wie es in der Praxis umgesetzt wird. Die vorgestellten Beispiele sind das Ergebnis meiner eigenen praktischen Anwendung und meiner persönlichen Erfahrungen.

Dieser Beitrag ist Teil einer Artikelserie:

2. Zero Trust

Zero Trust ist ein Sicherheitskonzept/eine Strategie in der Informationstechnologie, das/die davon ausgeht, dass kein Benutzer, kein Gerät, keine Anwendung und kein Netzwerk automatisch als vertrauenswürdig angesehen werden kann, selbst wenn sie sich innerhalb des (Unternehmens-/Heim-)Netzwerks befinden. Als Laie kann man sich das Konzept wie folgt vorstellen:

Stell dir vor, du bist der tapfere Wächter einer mittelalterlichen Burg und deine Aufgabe ist es, die Burg vor feindlichen Rittern zu schützen. Traditionell vertraust du automatisch den Rittern, die durch das Haupttor kommen und das Wappen deines Königs auf ihrem Schild tragen. Du hältst sie für Verbündete und nicht für eine Bedrohung. Du lässt sie herein und wenn sie erst einmal drinnen sind, können sie tun, was sie wollen. Sie unterliegen keiner weiteren Kontrolle mehr.

Mit Zero Trust wäre es so, als würde man jeden Ritter, der vor dem Burgtor steht, genau überprüfen, ob er das königliche Wappen trägt oder nicht. Selbst wenn ein Ritter das Wappen trägt, muss man sich vergewissern, dass er wirklich ein Verbündeter ist und keine versteckten Waffen trägt. Jeder Ritter muss sich ausweisen und seine Absichten erklären, bevor er die Burg betreten darf. Auch wenn ein Ritter das königliche Wappen trägt, kann es sein, dass er böse Absichten hat.

Jeder Ritter bzw. seine Absichten werden also genauestens überprüft, um sicherzustellen, dass das Königreich vor möglichen Gefahren geschützt ist. Das gleiche Prinzip gilt, wenn jemand Zugang zu vertraulichen Dokumenten oder wichtigen Bereichen der Burg haben möchte – jeder wird genau überprüft, egal ob er von innen oder von außen kommt. Grundsätzlich wird niemandem vertraut, sondern jeder Zugang wird genauestens überprüft, um sicherzustellen, dass keine Gefahr besteht.

Authentifizierung

Im Gegensatz zum traditionellen Sicherheitsansatz, der davon ausgeht, dass alles innerhalb des internen Netzwerks als vertrauenswürdig gilt und nur externe Verbindungen kritisch überprüft werden, kehrt Zero Trust diese Vorannahme um. Es wird davon ausgegangen, dass weder der interne noch der externe Bereich automatisch als vertrauenswürdig gelten. Diese Umkehrung spiegelt die Realität unserer modernen Arbeitswelt wider, die durch zunehmende Dezentralisierung und Mobilität gekennzeichnet ist. Der traditionelle Perimeter oder die DMZ (De-Militarized Zone) existieren nicht mehr – eine Tatsache, der sich jeder bewusst sein sollte. Zero Trust ist daher eine logische Entwicklung, um den heutigen Sicherheitsanforderungen in einer dynamischen und vernetzten (Arbeits-)Umgebung gerecht zu werden.

Wenn man nun Zero Trust in einem Satz beschreiben müsste, würde dieser aus meiner Sicht wie folgt lauten:

Zero Trust geht davon aus, dass nichts (mehr) sicher ist.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Ganzheitlicher Ansatz

Bei Zero Trust handelt es sich um einen ganzheitlichen Sicherheitsansatz – nicht um ein Produkt, das man irgendwo kaufen kann. Allerdings tun sich insbesondere große Unternehmen mit der Umsetzung schwer, da der Übergang von traditionellen Sicherheitsmodellen zu Zero Trust eine grundlegende Neubewertung erfordert. Dies betrifft nicht nur Technologien, sondern auch Prozesse und das Sicherheitsbewusstsein der Mitarbeiter. Die Herausforderung von Zero Trust liegt eindeutig in der praktischen Umsetzung, da bestehende Systeme und Arbeitsweisen angepasst werden müssen. Tipp: Das CISA Maturity Model kann als hilfreicher Leitfaden dienen, um den Weg zu einer »Zero-Trust-Architektur« systematisch zu gestalten.

Es stellt sich natürlich die Frage, wie man als Privatperson oder Familie von den Vorteilen von Zero Trust – ursprünglich ein Konzept für Unternehmensnetzwerke – profitieren kann. Selbst wenn man den Sicherheitsansatz nicht in vollem Umfang umsetzt, kann man bereits heute durch die gezielte Integration von Zero-Trust-Prinzipien die Widerstandsfähigkeit gegen Angriffe auf die eigene IT-Infrastruktur erhöhen. Dazu ist ein grundlegendes Verständnis des Zero Trust-Ansatzes hilfreich. Da dies ein umfangreiches Thema ist und Stoff für eine ganze Artikelserie bietet, möchte ich nachfolgend lediglich die Grundprinzipien von Zero Trust skizzieren und für weitere Hintergrundinformationen auf das Positionspapier »Zero Trust 2023« des BSI verweisen.

2.2 Grundprinzipien von Zero Trust

Zero Trust basiert im Wesentlichen auf der Annahme, dass keine Entität, sei es eine Person, ein System oder ein Gerät, automatisch als vertrauenswürdig betrachtet werden sollte. Die Grundprinzipien von Zero Trust umfassen:

  • Never Trust, Always Verify: Es erfolgt stets eine genaue Überprüfung, um sicherzustellen, dass die Entität, die gerade Zugriff anfordert, auch tatsächlich berechtigt ist.
  • Use least privilege access (Least Privileges): Jeglicher Zugriff wird nur für einen benötigten Zeitrahmen gewährt (Just-in-Time (JIT)). Es werden ausschließlich die Berechtigungen verliehen, die für die konkrete Aufgabenerledigung/Geschäftsprozess erforderlich sind (Just-enough-Access (JEA)).
  • Assume breach: Es wird grundsätzlich davon ausgegangen, dass bereits ein erfolgreicher Angriff stattgefunden hat – möglicherweise noch unbemerkt, aber der Angreifer befindet sich bereits im Netz. Das Ziel besteht darin, die Risiken unter Kontrolle zu halten und proaktiv mit möglichen Sicherheitsverletzungen umzugehen.

Je nach Informationsquelle werden diese Grundprinzipien gelegentlich erweitert, z.B. durch das Konzept der Mikrosegmentierung. Dabei wird das Netzwerk in kleine, isolierte Bereiche unterteilt, in denen der Datenverkehr streng kontrolliert wird. Durch diese Maßnahme wird die Angriffsfläche minimiert, um die Ausbreitung von Bedrohungen einzuschränken. Die zentrale Botschaft von Zero Trust lautet:

Never Trust, Always Verify

2.3 Hilfe, ich kann das nicht umsetzen!

Personen, die mit dem Zero-Trust-Sicherheitskonzept bisher nicht in Berührung gekommen sind, könnten an diesem Punkt möglicherweise überfordert sein. Deshalb möchte ich noch einmal auf das hinweisen, was ich im ersten Teil der Artikelserie betont habe:

Betrachtet die Artikelserie als Anregung/Inspiration und überlegt eigenständig, welche Teile ihr umsetzt, anpasst oder einfach als nicht relevant für euch erachtet.

Die Idee von Zero Trust und die Vorstellung dieses Prinzips dienen als Inspiration. Niemand erwartet von euch, dass ihr es sofort umsetzt und vollständig implementiert, insbesondere in einer bereits bestehenden und historisch gewachsenen IT-Infrastruktur. Setzt euch zunächst mit der Idee von Zero Trust auseinander und überlegt dann, wie ihr durch die gezielte Integration von Zero-Trust-Prinzipien die Widerstandsfähigkeit eurer IT-Infrastruktur/Geräte gegen Angriffe erhöhen könnt. Die folgenden Beispiele aus der Praxis sollen eine Hilfestellung geben, wo Elemente von Zero Trust einen Sicherheitsgewinn leisten können.

2.4 Beispiele aus der Praxis

Ich selbst habe Zero Trust noch nicht bis ins letzte Detail umgesetzt – aber ich bin auf dem Weg dorthin. Mit jedem zusätzlichen Schritt/Maßnahme wird es für einen Angreifer schwieriger, die Kontrolle zu übernehmen oder Zugang zu Informationen zu erhalten, die nicht für ihn bestimmt sind. Dies stellt eine Abkehr vom traditionellen Sicherheitsmodell dar, bei dem alle Ressourcen und Aktivitäten innerhalb des internen Netzwerks als vertrauenswürdig betrachtet werden, ohne dass eine differenzierte Überprüfung oder Absicherung gegen interne Bedrohungen erfolgt.

Generell kann ich sagen, dass es mir vergleichsweise einfach fällt Zero Trust für meine Infrastruktur/Geräte zu implementieren, da ich bspw. auf die Bereitstellung von Diensten/Anwendungen im internen Netzwerk verzichte. Die einzige Ausnahme ist ein Pi-hole, das für bestimmte Clients im internen Netzwerk erreichbar ist. Davon abgesehen betreibe ich keine Nextcloud, NAS oder ähnliche Lösungen.

Zero Trust ist, wie bereits erwähnt, ein umfassendes Sicherheitskonzept. Mit welchen Maßnahmen das Ziel erreicht wird, bleibt jedem selbst überlassen. Hier ein paar Beispiele aus unserem (Familien-)Netzwerk. Je nachdem, wie eure IT-Infrastruktur aussieht, kann es sinnvoll sein, bestimmte Maßnahmen zu priorisieren, da man damit gleichzeitig einen erheblichen Sicherheitsgewinn und einen großen Schritt in Richtung Zero Trust machen kann:

  • Netzwerksegmentierung: Ein zentrales Element von Zero Trust ist die Netzwerksegmentierung, bei der ein (großes) Netzwerk in kleinere Teilnetze oder Segmente unterteilt wird. Jedes Segment ist isoliert und hat seine eigenen Sicherheitsrichtlinien und Zugangskontrollen. Diese Segmentierung wird typischerweise durch den Einsatz von Firewalls, Routern oder Switches erreicht, um den Datenverkehr zwischen den Segmenten zu regulieren. Im Falle einer Kompromittierung eines Segments hat ein potenzieller Angreifer keinen direkten Zugriff auf das gesamte Netzwerk. Ich setze diese Praxis um, indem ich eine Fritz!Box am Perimeter und einen dahinterliegenden OpenWrt-Router verwende, um eine Makrosegmentierung mittels VLANs zu realisieren. Firewall-Richtlinien innerhalb der Segmente regeln den Zugriff zwischen ihnen, einschließlich des Internets. Der Aufbau meines Netzwerks wird in einem gesonderten Teil der Reihe behandelt.
  • Verschlüsselung aller Netzwerkverbindungen: Während der Zugriff auf entfernte Ressourcen wie Webseiten in der Regel verschlüsselt erfolgt (TLS), wird im internen Netzwerk häufig auf eine solche Verschlüsselung verzichtet. Dies erhöht das Risiko, dass ein Angreifer sensible Informationen (bspw. Zugangsdaten) abfangen oder manipulieren kann, sobald er Zugang zum internen Netzwerk hat. Um die Vertraulichkeit und Integrität der Daten zu gewährleisten, unabhängig davon, ob sie lokal oder über das Internet übertragen werden, ist es daher unerlässlich, auch innerhalb des internen Netzwerks eine Verschlüsselung zu implementieren. Zur Erinnerung: Bei Zero Trust wird grundsätzlich davon ausgegangen, dass bereits ein erfolgreicher Angriff stattgefunden hat. In der Praxis bedeutet dies, dass Verbindungen zu Netzwerkkomponenten/Diensten im internen Netzwerk verschlüsselt werden – dies wird bspw. durch das Ausrollen von Let’s Encrypt Zertifikaten erreicht.
  • DNS-Filtering im Netzwerk und On-Device: Bei der Zero-Trust-Philosophie geht es nicht nur darum, den Zugang zu den Anwendungen und Diensten zu schützen, die man kontrolliert, sondern auch zu denen, die außerhalb der eigenen Kontrolle liegen. Daher ist es unerlässlich, den Datenverkehr sowohl beim Verlassen des Netzwerks als auch beim Eintritt in das Netzwerk zu kontrollieren, insbesondere an den Punkten, an denen das Netzwerk mit dem Internet verbunden ist. Das Hauptziel besteht darin, die Endgeräte vor Schadsoftware, Malvertising, Phishing-Seiten und ähnlichen Bedrohungen zu schützen, die beim Zugriff auf externe Webressourcen auftreten können. Eine Komponente zur Erreichung dieses Ziels ist bspw. ein DNS-Filter, der schädliche Domains herausfiltert. Um den Schutz zu gewährleisten, muss diese Funktionalität sowohl innerhalb des internen Netzwerks als auch unterwegs (Smartphone, Notebook) zur Verfügung stehen. Im internen Netzwerk wird bspw. ein Pi-hole verwendet, während unterwegs AdAway (Android) oder der Aufbau eines VPN-Tunnels (Smartphone, Notebook) erfolgt, um auf den Pi-hole zugreifen zu können.
  • WPA3-Enterprise mit RADIUS-Authentifizierung: Für einen WLAN-Client, der auf mein Netzwerk zugreifen möchte, ist eine Authentifizierung über 802.1x erforderlich. In der WPA-Personal-Variante, die vorwiegend auf Heimroutern eingesetzt wird, verwenden die Clients denselben Schlüssel (Pre-Shared Key, PSK) zur Authentifizierung. Im Gegensatz zu WPA3-Enterprise ist hier die Sicherheit geringer, da sich alle Benutzer denselben Schlüssel teilen. Bei der Variante WPA3-Enterprise hingegen erfolgt die Authentifizierung für jeden Benutzer individuell, indem er sich mit seinen Anmeldeinformationen am RADIUS-Server verifiziert. Ich realisiere dies mit einem OpenWrt-Router in Kombination mit dem FreeRADIUS Paket.
  • Endgeräte-Sicherheit: Die Endgeräte-Sicherheit spielt eine entscheidende Rolle im Zero-Trust-Modell, das davon ausgeht, dass keine Entität im Netzwerk automatisch vertrauenswürdig ist. Daher ist es wichtig, die Endgeräte angemessen zu schützen, um potenzielle Bedrohungen zu minimieren. Um dies zu erreichen, habe ich folgende Maßnahmen ergriffen:
    • Verschlüsselung: Meine Endgeräte sind vollständig verschlüsselt (bspw. LUKS unter Debian GNU/Linux), um die Vertraulichkeit der Daten zu gewährleisten.
    • Härtung: Um die Sicherheit meiner Endgeräte zu erhöhen, habe ich weitere Schutzmaßnahmen ergriffen. Dazu gehört die Implementierung von Härtungsmaßnahmen auf meinem Hauptrechner mit Debian GNU/Linux, wie bspw. die Verwendung von AppArmor. Außerdem verwende ich Application-Sandboxing-Techniken wie Firejail oder Bubblewrap. Diese Maßnahmen sollen die Sicherheit des Betriebssystems erhöhen und potenzielle Sicherheitsrisiken minimieren. Als mobiles Betriebssystem habe ich GrapheneOS im Einsatz – das ist bereits ein gehärtetes Android-Betriebssystem.
    • Benutzerauthentifizierung/Zwei-Faktor-Authentifizierung: Die Authentifizierung für den Zugriff auf meinen Laptop erfolgt über eine Zwei-Faktor-Authentifizierung mittels Nitrokey.
    • Beschränkung von Diensten und Ports: Normalerweise stellen meine Endgeräte keine Dienste zur Verfügung und sind nicht über Ports erreichbar. Eine Ausnahme bildet Syncthing, eine Anwendung zur Dateisynchronisation, die für einen speziellen Anwendungsfall genutzt wird. Die Konfiguration von Syncthing ist restriktiv und die Anwendung wird ausschließlich im internen Netzwerk ausgeführt bzw. gestartet.
    • (Sicherheits-)Updates: Aktualisierungen enthalten oft wichtige Patches/Updates, um bekannte Schwachstellen zu beheben. Auf meinen Systemen findet regelmäßig eine automatische Update-Prüfung statt. Diese (Sicherheits-)Updates werden zeitnah eingespielt. In Unternehmensnetzwerken, die Zero Trust implementieren, wird bspw. regelmäßig geprüft, ob die Systeme aktuell sind – nicht aktuelle Systeme erhalten (vorübergehend) keinen Zugriff auf Anwendungen oder Dienste.

    Durch diese Maßnahmen wird das Risiko von Sicherheitsvorfällen auf den Endgeräten minimiert, was wiederum dazu beiträgt, die Gesamtsicherheit meines Netzwerks gemäß dem Zero-Trust-Modell zu stärken.

Noch ein wichtiger Hinweis zu Zero Trust:

Zero Trust verhindert keine Angriffe, sondern reduziert die Auswirkungen.

3. Fazit

Warum habe ich Zero Trust zum Kern meiner Verteidigungsstrategie gemacht? Weil der Schutz der Privatsphäre/persönlicher Daten bei einem selbst beginnt und bei dem, was man selbst beeinflussen kann. Aus meiner Sicht ist es entscheidend, proaktive Maßnahmen zu ergreifen, um die Sicherheit zu erhöhen und potenzielle Sicherheitsrisiken zu minimieren. Mit Zero Trust kann ich Daten, die ich selbst kontrolliere, bestmöglich schützen und das Risiko vor Fremdzugriff/unbeabsichtigtem Datenabfluss reduzieren.

Es wäre jedoch unrealistisch anzunehmen, dass wir jemals die vollständige Kontrolle über unsere Daten erlangen können, da dies aus verschiedenen Gründen kaum möglich ist – es sei denn, ich lebe isoliert im Dschungel, produziere keine Daten und bleibe unerkannt. In unserer digital vernetzten Welt werden unsere Daten von verschiedenen Akteuren wie Regierungen, Arbeitgebern und Dienstleistern wie E-Mail-Anbietern, Online-Shops und Versicherungen verarbeitet. Wie diese letztlich mit unseren Daten umgehen, entzieht sich unserer Kontrolle. Ich behaupte jedoch, dass wir durch eine sorgfältige Auswahl unserer Dienstleister/Versicherer das Risiko für unsere Daten zumindest minimieren können. Mit anderen Worten: Wenn ich beispielsweise Gmail für meine E-Mail-Kommunikation verwende, sollte es mich nicht überraschen, dass meine Nachrichten durchleuchtet werden, um vermarktbare Erkenntnisse über mich zu gewinnen. Oder wer nach den schwerwiegenden Sicherheitsvorfällen immer noch seine Passwörter bei LastPass speichert, setzt sich und seine Passwörter einem unnötigen Risiko aus.

Letztlich liegt es in unserer Verantwortung, proaktive Maßnahmen zu ergreifen, um unsere Privatsphäre und Sicherheit zu schützen. Zero Trust ist ein wesentlicher Baustein meines digitalen Schutzschildes, jedoch sind zusätzliche »Schichten« erforderlich, um die Widerstandsfähigkeit des Schildes zu erhöhen. Im nächsten Artikel werden wir eine weitere Schicht hinzufügen: Ich werde meine Gedanken und allgemeine Vorgehensweisen teilen, die mein Verhalten in der digitalen Welt prägen, sowie die Kriterien, nach denen ich (Online-)Dienste auswähle – sozusagen meine digitale (Sicherheits-)Strategie.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
PiVPN
8. Mai 2017

PiVPN: Raspberry Pi mit OpenVPN – Raspberry Pi Teil3

Mit PiVPN lässt sich ein VPN auf Basis von OpenVPN einfach auf einem Raspberry Pi realisieren.
XPrivacy
23. September 2014

XPrivacy – Android ohne Google?! Teil6

Your phone your data - Mittels XPrivacy können wir die ungewollte und oftmals auch unfreiwillige Weitergaben unserer Daten verhindern
Android Berechtigungsmodell
15. August 2016

Das Android Berechtigungsmodell: Ein perfides Konstrukt

Das Android Berechtigungsmodell eignet sich nicht für die Wahrung der informationellen Selbstbestimmung.
Daten-Verantwortung
20. Februar 2024

Digitale (Sicherheits-)Strategie: 5 Grundprinzipien – Mein digitaler Schutzschild Teil 3

5 Grundprinzipien prägen mein Verhalten in der digitalen Welt und sind wesentlicher Bestandteil meiner (Sicherheits-)Strategie.
Internet-Zensur
2. April 2022

HowTo: Internet-Zensur umgehen und anonym bleiben

Gegen Netzsperren: Mit VPN, Psiphon und Tor ist es möglich, die Internet-Zensur zu umgehen. Dank Snowflake kann jeder mithelfen!
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.