Die unlängst in der populären Daten-Bibliothek Apache Log4J Logging entdeckte Sicherheitslücke hat das Potenzial, die Grundfesten traditioneller Sicherheitsparameter zu erschüttern. Diese Lücke verdeutlicht die Limitierung herkömmlicher Sicherheit und zeigt auf, wie neuere Zero-Trust-basierte Ansätze helfen können, diese Hürden zu umgehen.
Ein traditionelles Sicherheitsmodell ist vergleichbar mit Maßnahmen, die zur Absicherung eines Hauses getroffen werden. Alle Türen werden verriegelt und Fenster geschlossen, um unerwünschte Eindringlinge fern zu halten. Ähnlich verhält es sich mit Netzwerksicherheit, wo Hardware-Infrastruktur am Perimeter die Angreifer auszusperren trachtet. Die jüngste Sicherheitslücke zeigt jedoch, dass IT-Teams bei jeder neu entdeckten Gefahr ihre Infrastruktur nachbessern müssen – und damit jedes Mal zurück zum Beginn versetzt werden. Es gilt nun, hektisch die Einfallstore zu schließen, indem Patches für die entdeckte Zero-Day-Lücke auf allen Hosts ausgebracht werden. Nur so lässt sich das Risiko eines Angriffs auf das gesamte Netzwerk eindämmen. Denn wegen der weiten Verbreitung von Apache in Unternehmen, lädt diese Sicherheitslücke Malware-Akteure geradezu ein, einzudringen und das Netzwerk für groß angelegte Angriffe auszuspähen. Wenn diese Schwachstelle den Unternehmen also etwas vor Augen geführt hat, dann ist es das Unvermögen traditioneller Netzwerksicherheit mit den mannigfaltigen Angriffsmechanismen unserer Zeit umzugehen.
Höchste Zeit also, um darüber nachzudenken, welche Sicherheitsansätze digitalisierten Unternehmen bei der Risikominimierung tatsächlich helfen können. Daten haben das Rechenzentrum verlassen und sind in die Cloud verlagert worden. In hybriden Arbeitsmodellen haben zudem die Mitarbeiter den sicheren Netzwerkperimeter hinter sich gelassen. Wie kann Netzwerksicherheit dennoch ausreichenden Schutz für Anwender und Cloud-Workloads bieten, wie für Daten und Anwendungen im Rechenzentrum? Neue Sicherheitsarchitekturen sind für dieses Szenario angesagt.
Wenn jedes einzelne Gerät im IT-Ökosystem eine Insel wäre, dann hätten Schutzlücken wie Log4J keine so verheerenden Auswirkungen. Obwohl einzelne Hosts bis zum Schließen der Lücke angreifbar sind, ist durch die Isolation nicht mehr die gesamte Netzwerkinfrastruktur durch eine einzige Infektion gefährdet. Ein Nutzer wäre nur dann in der Lage, die Funktionalität dieser Insel zu nutzen, wenn er dazu die Befugnis hat. Das ist der Zero-Trust-Ansatz. Dieses Sicherheitsmodell beruht auf der Annahme, dass keinem Gerät ein Vertrauensvorschuss gewährt wird, bevor es nicht validiert und autorisiert wurde. Auf diese Weise wird nicht das gesamte Netzwerk anfällig für eine Attacke, wenn sich ein Gerät mal als angreifbar erweist.
Über den Wechsel zu einer Cloud-basierten Zero-Trust-Sicherheitsarchitektur können Unternehmen zwar nicht das Auftreten oder das schädliche Potential von Schwachstellen beeinflussen, aber sie können sehr wohl das Risiko für ihren Geschäftsbetrieb minimieren. Ein Architekturwechsel kann den stetigen Kampf beenden, Angreifern einen Schritt voraus sein zu müssen, um damit Erkennung und Ablenkung von IT-Angriffen zu erzielen. Zero Trust nimmt zukünftigen Angriffen schlicht den Wind aus den Segeln.