Von einer wahren Räubergeschichte in Kenia zu «Zero Trust»: Vertraue keinem, überprüfe jeden

«Zero Trust», «Null-Vertrauen». Das klingt in einer Zeit, in der uns wichtig ist, Werte wie Freiheit, Gleichheit und Harmonie als Grundlage der modernen Zivilisation zu manifestieren, wie ein Faustschlag. Jedoch im Bereich der Cyber Security ist dieses Prinzip unumgänglich geworden.

Lassen Sie mich Ihnen eine Geschichte über einen Polizeieinsatz, Gangster, Waffen und "extreme Vorsicht" erzählen, damit Sie nachvollziehen können, was ich meine. Und übrigens, da dies ein Blog über Cyber Security ist, lässt diese sich schnell nachvollziehen. Dann mal los:

Vor einiger Zeit reiste ich durch Kenia und nahm einen Bus von Kakamega nach Nairobi. Die Fahrt war angenehm, denn unser Bus brummte lange in der Frische der Nacht. Kein Anzeichen zeichnete sich ab, dass sich bald ein Drama abspielen würde. Wenn man in diesem Teil der Welt auf der Straße unterwegs ist, sind Sicherheitskontrollen nicht die Ausnahme, sondern die Regel.

Als wir also zu Beginn in den Bus stiegen, wurden, ähnlich wie auf dem Flughafen, Personenkontrollen durchgeführt und unser Handgepäck kontrolliert. So weit, so gut. Im weiteren Verlauf der Reise jedoch wurde unser Bus mehr als einmal angehalten und durchsucht. Auch hier wieder ziemliche Routine: aussteigen, den Bus von den Beamten durchsuchen lassen - wieder einsteigen und die Reise fortsetzen. Doch dann kam es zu einem Eklat, als bewaffnete Polizisten in Zivil den Bus betraten. Es bestand kein Zweifel, dass sie etwas vorhatten. Drei bewaffnete Beamte patrouillierten im Gang auf und ab, während sie jeden von uns unter die Lupe nahmen. Als der Fokus auf einen bestimmten Verdächtigen fiel, verwandelte sich das, was wie eine Routinekontrolle aussah, innerhalb eines Augenblicks in eine potenziell tödliche Situation:

Im selben Moment, in dem die Beamten den Verdächtigen in Augenschein nahmen, riefen sie den anderen Fahrgästen zu, ihre Hände zu heben. Sie wussten aus Erfahrung, dass dies der gefährlichste Teil ihrer Operation sein könnte, also taten sie ihr Bestes, um mögliche Kollaborateure auszuschalten.

Somit wurden wir alle ausnahmslos mit extremen Vorurteilen behandelt. Nach den Informationen, die die Beamten erhalten hatten, war ihnen klar, dass sich zwei weitere Verdächtige irgendwo in diesem Bus versteckt hielten. Obwohl sie scheinbar feindselig agierten, wollten sie ihre und unsere Leben schützen. Wie würden Sie handeln, wenn Ihr Leben und das Leben anderer auf dem Spiel stünde?

Glücklicherweise konnten sie mit ihrer unnachgiebigen Vorgehensweise die restlichen Banditen aufstöbern, und wir konnten sicher nach Nairobi weiterfahren.  Wenn die Gangster erfolgreich gewesen wären, können Sie sich vorstellen, wie schlimm die Folgen hätten sein können.

Jetzt zum Security Teil:  1994 entwickelte Stephen Paul Marsh[1] mathematisch das Konzept des «Zero Trust», also des «Null-Vertrauens»,  wobei einer der Grundsätze darin besteht, dass dieses Konzept mehr ist, als Misstrauen oder, wie ich es ausdrücke, "extreme Vorurteile".