Der 12. CIO-Austausch: Erfahrungen mit Zero Trust


Knapp 70 Teilnehmer waren in der Spitze dabei. Markus Sontheimer von DB Schenker berichtete ĂŒber die Erfahrungen mit Zero Trust in seinem Unternehmen. Sein Fazit: Man mĂŒsse davon ausgehen, dass die “Bösen Jungs” reinkommen. Er empfiehlt Unternehmen, sich von Spezialisten angreifen zu lassen. Steffen Siguda, CISO bei OSRAM, bezeichnete IdentitĂ€tsschutz per Benutzername und Passwort als hoffnungslos 20. Jahrhundert. Deshalb gebe es das bei Osram nicht mehr. Stefan WĂŒrtemberger von Marabu Inks hat nach einem extremen Ransomware-Angriff die Richtung Zero Trust eingeschlagen. Das Unternehmen hat die Erpresser nicht bezahlt, aber WĂŒrtemberger rĂ€umte aber ein, dass einem so etwas schon mal durch den Kopf gehe, “wenn Sie morgens um 4 Uhr vor einem Scherbenhaufen stehen”.

Doch vor den drei IT- und Security-Entscheidern der Anwenderseite sprachen Cybercrime-Experte Peter Vahrenhorst vom LKA NRW und VOICE-Spezialist Dirk Ockel.

StÀndiges Dazulernen

Peter Vahrenhorst sprach anlĂ€sslich des Falls von Kinderpornografie im westfĂ€lischen MĂŒnster unter anderem noch einmal von der technischen Aufholjagd, die die Strafverfolgungsbehörden stĂ€ndig beschĂ€ftige. Als beispielsweise bei der Mobilfunktechnik von 3G auf das 4G-Protokoll umgestellt worden sei, habe das die Arbeit der Polizei viel komplexer gemacht. Steckte zum Beispiel bei 3G noch hinter jeder IP-Adresse ein Nutzer, können sich bei 4G hinter einer IP-Adresse gleichzeitig 64 000 Nutzer verbergen. Da brauche die Polizei schon ganz andere technische Mittel. Wenn 5G komme, werden erneut erhebliche Anstrengungen unternommen werden mĂŒssen, um Nutzer eindeutig zuzuordnen. Also sei stĂ€ndiges Dazulernen notwendig.

Jeder Datenverkehr ist unsicher

Dirk Ockel gab dieses Mal nur ein sehr kurzes Update zur aktuellen Bedrohungslage, er erlĂ€uterte jedoch gemĂ€ĂŸ dem Fokusthema des CIO-Austausches am 12.06 Definition von Zero Trust ausfĂŒhrlich. Als Ausgangspunkt wĂ€hlte er die Definition der Analysten von Forrester Research: „Jeder Datenverkehr ist, bis zum Nachweis der Berechtigung, nicht vertrauenswĂŒrdig.“ Das bedeutet auch, den Abschied vom sogenannten Perimeterschutz, bei dem Datenverkehr aus dem geschĂŒtzten Unternehmensnetzwerk als sicher gilt.

Ockel zog einen anschaulichen Vergleich mit einem Haus, in dem viele verschiedene Parteien wohnen. WĂ€hrend traditionell geschichtete Security-Strukturen die HaustĂŒr besonders sichern, weil alles, was nicht im Haus ist, als unsicher gilt, wird bei einem Single-Trust-Ansatz jede WohnungstĂŒr so gesichert, als wenn sie eine HaustĂŒr wĂ€re. Der Flur (also das interne Netzwerk) gilt als genauso unsicher, wie alles, was außerhalb des Hauses liegt. Eine Zero-Trust-IT zeichnet sich durch folgende Eigenschaften aus:

  • Das interne Netz ist faktisch abgeschafft. Jedes Asset ist einzeln abgesichert.
  • In der Praxis sind wichtige Netzwerkgesetze besonders gesichert.
  • Jedes (Mikro)-Segment ist mit eigenen Switchen versehen.
  • NetzwerkĂŒberwachung aller Assets und User wird durch eine Policy Engine gemanagt.
  • Die Wirtschaftlichkeit einer Zero-Trust-Infrastruktur ist im Idealfall, vergleichbar mit einer traditionellen Sicherheitsinfrastruktur.

Kurze SWAT-Analyse

Zum Ende seiner AusfĂŒhrungen analysierte Ockel noch mit einer SWAT-Analyse die StĂ€rken und SchwĂ€chen des Zero-Trust-Ansatzes (siehe Bild).

Als StÀrken sieht er:

  • Starke Nutzeridentifikation und Zugriffskontrollen
  • Segmentierung von Daten und Ressourcen
  • Hohe Sicherheit bzgl. Datenspeicherung und -transfer
  • Non-Person Entities in Administration
  • Verbesserte Erkennung von Netzwerkanomalien
  • Nutzung z.T. bestehender Infrastruktur
  • Keine VPNs nötig

SchwĂ€chen erkennt Ockel vor allem im höheren Administrationsaufwand und einer grĂ¶ĂŸeren Latency bei Zugriffen. Einen höheren Kostenaufwand sieht er nur am Anfang.

Ouelle: VOICE Cyber Security Competence Center /Complion

Die bösen Buben kommen rein

Markus Sontheimer von DB-Schenker machte in seinem Impulsvortrag darauf aufmerksam, dass die Logistik-Industrie nach den Banken am zweithĂ€ufigsten angegriffen werde. Er erinnerte an den Ransomware-Angriff auf den globalen Container-Spezialisten Maersk. Der Angriff kostete die Container-Reederei 200 – 300 Millionen Euro und zwang sie zehn Tage lang zu mehr oder weniger analogem Arbeiten. Der Cyber-Angriff störte die Container-Schifffahrt wochenlang. Die Kunden der Logistik-Branche seien sicherheitssensibel. Das sehe inzwischen auch das Business-Management bei DB-Schenker und akzeptiere den Aufwand fĂŒr Cybersecurity und Zero Trust.

Zero Trust sei unter anderem auch deshalb nötig, weil die Unterscheidung zwischen Innen (im eigenen Netzwerk) und Außen keinen Sinn mehr ergibt. Sontheimer verwies darauf, dass nur in der Corona-Krise 30000 Mitarbeiter aus dem Home-Office gearbeitet haben. Mit einem traditionellen Perimeterschutz komme man da nicht mehr allzu weit.

Fokus auf IdentitÀt

Steffen Siguda, Chief Security Officer von OSRAM, fokussierte in seinem Vortrag auf sichere IdentitĂ€ten. Alle Angriffe, die gegen sein Unternehmen unternommen wĂŒrden, haben im Grunde mit gefĂ€lschten IdentitĂ€ten zu tun. Daher sei der stĂ€rkere Schutz von IdentitĂ€ten, den der Zero-Trust-Ansatz bringe, fĂŒr ihn ein ganz wichtiges Argument.

OSRAM nutzt folgende Building Blocks fĂŒr seine Zero-Trust-Security:

  • Identity (kein Zugang nur mit Benutzername und Passwort)
    • Starke Authentisierung wo immer möglich ĂŒber Biometrie oder PIN
    • Single-Sign-On ĂŒber alle Applikationen hinweg
    • Bedingter Zugriff (conditional access) in der Regel ĂŒber Unternehmens-Device oder Zertifikat, Multifaktor-Authentifizierung als Ausnahme
  • Access (kein wirklicher Unterschied zwischen innen und außen)
    • SĂ€mtliche IaaS/PaaS Workloads liegen hinter Application Level Firewalls, („Intranet“-Verkehr wird ebenfalls gefiltert).
    • Erlaubter Traffic wird auf bekannte Angriffsmuster untersucht.
    • Als „riskant“ eingestufte Zugriffe werden blockiert und ĂŒberprĂŒft.
    • Alle Nutzer, die nicht ĂŒber ein Company-Device zugreifen, werden authentifiziert.

Zero Trust ist die richtige Wahl

Auch Stefan WĂŒrtemberger, CIO von Druck- und Kreativfarbenhersteller Marabu Inks, setzt, ausgelöst durch einen sehr schweren Angriff von Cyber-Erpressern, inzwischen auf Zero Trust.  Seine IT hat 750 Device an Mitarbeiter ausgegeben. Sie verfĂŒgen ĂŒber 1200 MAC Adressen. „Wenn man sieht, was die alles dĂŒrfen, dann ist Zero Trust die richtige Wahl“, berichtet er. Inzwischen hat der MittelstĂ€ndler alle Daten gelabelt und schreibt eine 2-Faktor- Authentifizierung vor.

Umfrage: Teilnehmer finden Zero Trust sinnvoll

Eine kleine Umfrage unter den Teilnehmern des 12. VOICE CIO-Austauschs ergab, dass:

  • Zero Trust fĂŒr die Unternehmen sinnvoll ist und mehr als nur eine allgemeine Denkhilfe darstellt
  • Zero Trust bei hohem Reifegrat sicherer ist als die bisherigen Netzwerkarchitekturen
  • schon die Anwendung von Zero-Trust-Prinzipien auf einige Netzwerksegmente eine lohnende Investition in Sicherheit darstellt
  • Zero Trust wirtschaftlicher ist als bisherige Netzwerkarchitekturen wurde nur knapp von der HĂ€lfte der Teilnehmer so eingeschĂ€tzt
  • Zero Trust vom Management nicht verstanden wird, findet eine Mehrheit der Teilnehmer.

NĂ€chster CIO-Austausch am 17. Juni um 18 Uhr

Der nĂ€chste CIO-Austausch findet am 17. Juni 2020 um 18:00 Uhr statt. Als Impulsgeber von Anwenderseite sind Bernd RatteyDB Fernverkehr AG , Ales Drabek CDO von Conrad Electronic Group gesetzt. Wenn Sie dabei sein möchten, aber noch kein VOICE-Mitglied sind, richten Sie sich an den VOICE-Kollegen Grischa Thoms

Lesen Sie mehr zum Thema

GesprÀche zwischen VOICE und Microsoft zeigen erste Erfolge 

Coole Datenprojekte zwecks Auszeichnung gesucht

4 IT-AnwenderverbÀnde fordern Politik auf, fairen europÀischen Cloud-Markt zu schaffen

VOICE BĂŒro Berlin
Invalidenstraße 91, 10115 Berlin

VOICE BĂŒro MĂŒnchen (Postanschrift)
Riedenburger Str. 2, 81677 MĂŒnchen