Diese Webseite verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie unsere Seiten besuchen, stimmen Sie der Cookie-Nutzung zu:

Ich stimme zu.

Von einer wahren Räubergeschichte in Kenia zu «Zero Trust»: Vertraue keinem, überprüfe jeden

Security

22.12.2021
David Mantock, CISO, Chief Information Security Officer

«Zero Trust», «Null-Vertrauen». Das klingt in einer Zeit, in der uns wichtig ist, Werte wie Freiheit, Gleichheit und Harmonie als Grundlage der modernen Zivilisation zu manifestieren, wie ein Faustschlag. Jedoch im Bereich der Cyber Security ist dieses Prinzip unumgänglich geworden.

Lassen Sie mich Ihnen eine Geschichte über einen Polizeieinsatz, Gangster, Waffen und "extreme Vorsicht" erzählen, damit Sie nachvollziehen können, was ich meine. Und übrigens, da dies ein Blog über Cyber Security ist, lässt diese sich schnell nachvollziehen. Dann mal los:

Vor einiger Zeit reiste ich durch Kenia und nahm einen Bus von Kakamega nach Nairobi. Die Fahrt war angenehm, denn unser Bus brummte lange in der Frische der Nacht. Kein Anzeichen zeichnete sich ab, dass sich bald ein Drama abspielen würde. Wenn man in diesem Teil der Welt auf der Straße unterwegs ist, sind Sicherheitskontrollen nicht die Ausnahme, sondern die Regel.

Als wir also zu Beginn in den Bus stiegen, wurden, ähnlich wie auf dem Flughafen, Personenkontrollen durchgeführt und unser Handgepäck kontrolliert. So weit, so gut. Im weiteren Verlauf der Reise jedoch wurde unser Bus mehr als einmal angehalten und durchsucht. Auch hier wieder ziemliche Routine: aussteigen, den Bus von den Beamten durchsuchen lassen - wieder einsteigen und die Reise fortsetzen. Doch dann kam es zu einem Eklat, als bewaffnete Polizisten in Zivil den Bus betraten. Es bestand kein Zweifel, dass sie etwas vorhatten. Drei bewaffnete Beamte patrouillierten im Gang auf und ab, während sie jeden von uns unter die Lupe nahmen. Als der Fokus auf einen bestimmten Verdächtigen fiel, verwandelte sich das, was wie eine Routinekontrolle aussah, innerhalb eines Augenblicks in eine potenziell tödliche Situation:

Im selben Moment, in dem die Beamten den Verdächtigen in Augenschein nahmen, riefen sie den anderen Fahrgästen zu, ihre Hände zu heben. Sie wussten aus Erfahrung, dass dies der gefährlichste Teil ihrer Operation sein könnte, also taten sie ihr Bestes, um mögliche Kollaborateure auszuschalten.

Somit wurden wir alle ausnahmslos mit extremen Vorurteilen behandelt. Nach den Informationen, die die Beamten erhalten hatten, war ihnen klar, dass sich zwei weitere Verdächtige irgendwo in diesem Bus versteckt hielten. Obwohl sie scheinbar feindselig agierten, wollten sie ihre und unsere Leben schützen. Wie würden Sie handeln, wenn Ihr Leben und das Leben anderer auf dem Spiel stünde?

Glücklicherweise konnten sie mit ihrer unnachgiebigen Vorgehensweise die restlichen Banditen aufstöbern, und wir konnten sicher nach Nairobi weiterfahren.  Wenn die Gangster erfolgreich gewesen wären, können Sie sich vorstellen, wie schlimm die Folgen hätten sein können.

Jetzt zum Security Teil:  1994 entwickelte Stephen Paul Marsh[1] mathematisch das Konzept des «Zero Trust», also des «Null-Vertrauens»,  wobei einer der Grundsätze darin besteht, dass dieses Konzept mehr ist, als Misstrauen oder, wie ich es ausdrücke, "extreme Vorurteile".

Von einer wahren Räubergeschichte in Kenia zu «Zero Trust»:  Vertraue keinem, überprüfe jeden

Technisch gesehen sind die Grundsätze von Zero Trust[2] einfach:

  • Explizite Verifizierung (Authentifizierung und Autorisierung, immer anhand aller verfügbaren Datenpunkte)
  • Least Privilege Access (Beschränkung des Benutzerzugriffs auf einen ausreichenden und zeitlich begrenzten Zugriff)
  • « Assume Breach» (Minimierung des Aktionssradius und Segmentierung des Zugriffs)

Unabhängig vom Standort des Netzwerks (intern oder extern) sind alle Benutzer beim Versuch, auf wertvolle Geschäftsdaten zuzugreifen, schuldig, bevor ihre Unschuld bewiesen ist.

Und täuschen Sie sich nicht: Die heutigen Cyber-Bedrohungen sind genauso ernst wie die Spannungen, die wir in dem Bus nach Nairobi erlebt haben. Wenn Sie zum Schluss gekommen sind, dass diese kenianischen Beamten heldenhaft waren - und glauben Sie mir, das waren sie - dann ist es vielleicht an der Zeit, dass Sie "extreme Vorurteile" als Teil Ihrer Cyber Security Strategie in Betracht ziehen. In der heutigen Bedrohungslandschaft ist dies die einzige Möglichkeit, unsere Daten zu schützen, die für uns im Alltag so wichtig sind.

[1] Quelle Wikepedia https://en.wikipedia.org/wiki/Zero_trust_security_model 

[2] Microsoft Zero Trust https://www.microsoft.com/en-us/security/business/zero-trust 

back to panels