Null Vertrauen – Zero Trust. Was seit einiger Zeit als Alternative zu klassischen Netzwerksicherheitskonzepten propagiert wird, klingt hart. Und doch geht es dabei keineswegs um die Abschaffung einer Unternehmenskultur des Vertrauens, sondern um ein handfestes Cyber-Security-Konzept.
Was ist Zero Trust und wie kann es realisiert werden?
Geht es um Sicherheit im Netzwerk, kommt in der Regel der klassische Ansatz des Trusted Network zum Einsatz. Einfach ausgedrückt unterscheidet man hier zwischen einem internen sicheren Netzwerk und dem unsicheren Internet. Firewalls und VPNs sorgen für eine klare Trennung. In der Praxis bedeutet das, dass sich Anwender an Rechnern innerhalb der Organisation mehr oder weniger frei bewegen können. Zum Problem wird dies nicht nur bei einem Angreifer von innen, der unerlaubterweise auf Ressourcen innerhalb des Netzwerks zugreift. Eine weitere große Gefahr ist, dass Angreifer, die es einmal geschafft haben, sich von außen Zugang zum Netzwerk zu verschaffen, sich häufig unbemerkt darin bewegen können.
Wer greift auf welche Daten zu?
Der Zero-Trust-Ansatz verabschiedet sich von der Idee des Trusted Network innerhalb eines definierten Unternehmensperimeters und setzt stattdessen direkt bei den Daten an. Dieser datenzentrische Ansatz erzeugt Sicherheit dadurch, dass ständig überwacht wird, wer auf welche Daten zugreift. Zu den derzeit genutzten Zero Trust-Konzepten gehört es, die Sensibilität von Daten zu bestimmen, Risiken zu bewerten, Zugriffsregeln zu erstellen und diese durchzusetzen. Eine Möglichkeit dafür ist Software Defined Perimeter. Dabei werden Netzwerkzugänge und Verbindungen nach dem Need-to-know-Prinzip aufgebaut. Wer auf eine App oder eine Ressource im Netzwerk zugreifen will, wird für genau diese authentifiziert und kann sie nutzen, ohne dabei etwas vom Netzwerk zu sehen. Kurz: Die Zugriffsverwaltung wird vom Netzwerk-Perimeter zu den Ressourcen oder Apps verlagert.
Natürlich ist eine solche Sicherheitsarchitektur mit einem gewissen Aufwand verbunden. So muss zunächst definiert werden, was zu schützen ist. Das sind neben kritischen und vertraulichen Daten auch Anwendungen und IoT-Geräte sowie Services. Es müssen Datenströme untersucht werden, um zu entscheiden, wie Transaktionen geschützt werden, daran schließen sich Fragen von Netzwerkaufbau und Wartung an.
Schlüsselrolle Identity and Access Management (IAM)
Ganz entscheidend ist jedoch IAM: Identity and Access Management. Basierend auf einem Regelwerk an Berechtigungen, müssen sich alle Personen eindeutig gegenüber den verschiedenen Systemen authentisieren. Hat man es schließlich geschafft, eine IT-Landschaft zu errichten, in der Sicherheit durch ein Höchstmaß an Misstrauen erreicht wird, muss nun auch eine sichere Authentifizierungslösung zum Einsatz kommen.
Zwei-Faktor-Authentisierung
Ein Passwort reicht nicht. Die Probleme mit Passwörtern sind zahlreich. Sie können durch Phishing und Social-Engineering-Attacken ausgespäht, bei mangelnder Komplexität sogar erraten oder ausgetestet werden. Eine Authentisierung sollte also immer mehrere Faktoren haben. Neben dem Faktor des geheimen Wissens, sprich des Passworts, kommt dabei mindestens ein zweiter Faktor hinzu: ein biometrisches Merkmal oder ein fälschungssicherer Gegenstand.
Ein Beispiel: 2-Faktor-Hardware-Authentisierung im FIDO2-Standard
Für Letztere gibt es heute sehr komfortable Lösungen mit zusätzlichen kryptografischen Funktionen – wie zum Beispiel den iShield FIDO2 Security Key von Swissbit. Wichtig ist hierbei das FIDO im Produktnamen.
Was bedeutet FIDO?
FIDO steht für Fast IDentity Online. Die FIDO-Allianz ist eine 2013 gegründete Organisation zahlreicher internationaler Unternehmen, die sich zum Ziel gesetzt hat, offene und lizenzfreie Industriestandards für die Authentifizierung zu entwickeln. Damit war die Allianz erfolgreich: Der Standard WebAuthN, vormals U2F (Universal Second Factor), dient zur Spezifikation von Hard- und Software für die Zwei-Faktor-Authentifizierung. Der Standard Client to Authenticator Protocol (CTAP) spezifiziert das dazugehörige Kommunikationsprotokoll zur kennwortlosen Authentifizierung. FIDO2 ist der aktuelle Standard, nach dem zum Beispiel Windows 10 und Android zertifiziert sind. Die Authentisierungslösung stellt eine Public-Key-Kryptographie-Infrastruktur zur Verfügung.
Die ursprüngliche Intention der FIDO-Allianz war der Ersatz von Passwörtern in Cloud-Anwendungen für Konsumenten, doch viel bedeutender sind Anwendungen zur zwei Faktor-Authentisierung im Zusammenhang mit dem Zero-Trust-Ansatz. Mit einem hardwarebasierten Sicherheitstoken können Zugriffe auf Unternehmenssoftware gesichert werden, beispielsweise im Bereich der Materialwirtschaft, dem Personalwesen, der Finanz- und Betriebswirtschaft, Absatzwirtschaft, Produktionsplanung und -steuerung oder dem Supply-Chain-Management – all die großen Systeme mit den kurzen Bezeichnungen wie ERP, PPS, CRM, CMS etc.
Wie funktioniert 2-Faktor-Authentisierung im FIDO2-Standard
Ein FIDO-Security Key besteht im Wesentlichen aus einem Sicherheitschip, einem Kryptographiemodul, einer NFC- und einer USB-Schnittstelle. Die Anwendung ist denkbar einfach. Zur Schlüsselregistrierung wird der Benutzer aufgefordert, den FIDO-Stick mit einem Fingerabdruckleser, einer sicher eingegeben PIN oder einer anderen vorgegebenen Methode zu entsperren. Das Gerät erstellt jetzt ein neues Paar öffentlicher und privater Schlüssel. Das Schlüsselpaar verbindet das Gerät mit einer Applikation und dem Konto des Benutzers. Der öffentliche Schlüssel wird an den Onlinedienst gesendet und mit dem Benutzerkonto verknüpft. Der private Schlüssel und alle Informationen über die lokale Authentifizierungsmethode (zum Beispiel biometrische Daten) verlassen niemals das lokale Gerät. Beim Login sendet die Applikation mit Hilfe des FIDO-Servers als Identity Provider eine Anfrage an das Gerät, die diese signiert zurücksendet.
Das ganze Verfahren nutzt den FIDO-Standard: das Client to Authenticator Protocol (CTAP) für die Kommunikation zwischen dem Authentisierungsgerät und der Applikation sowie WebAuthN, die Standardprogrammierschnittstelle zur direkten Authentifikation mittels Public-Key-Verfahrens über Webbrowser. Windows 10 und Android können WebAuthN verwenden, und es wird von den Browsern Firefox, Chrome/Chromium, Safari und Edge unterstützt.
Fazit: Zero-Trust Konzepte sind zielführend
Die Einführung einer datenzentrischen Zero-Trust-Sicherheitspolitik ist mit vielen einzelnen Authentisierungsvorgängen verbunden. Eine Lösung nach dem FIDO-Standard macht die praktische Arbeit mit der so gesicherten Software deutlich komfortabler und schneller. Und während beispielsweise Verfahren mit Einmalpasswörtern gehackt werden können, wird die Nutzung eines Hardware-Sicherheitsmerkmals in der Zwei-Faktor-Authentisierung höchsten Sicherheitsstandards gerecht.
FIDO2 2-Faktor-Authentisierung in d.velop documents
Falls du jetzt auf den Geschmack gekommen bist, deine d.velop Applikation abzusichern: Es ist möglich durch die Anbindung von Microsofts AzureAD als Anmeldedienst d.velop documents per FIDO2-Standard abzusichern und beispielsweise den Swissbit iShield FIDO2 Security Key als zweiten Faktor einzusetzen.