Zero Trust in der Finanzwelt – Status Quo
Die ganze Welt spricht seit einiger Zeit über “Zero Trust” – das neue Paradigma im Bereich IT-Sicherheit. Deshalb stellt sich die Frage: Eignet sich dieser Ansatz auch für eher traditionelle Industrien wie beispielsweise den Finanzsektor? Ein genauer Blick zeigt, Zero Trust ist wie geschaffen – wenn nicht sogar dringend notwendig – für die momentanen IT-Herausforderungen, vor denen die Finanzwelt im Bereich Computersicherheit steht. Das Plädoyer
von Sebastian Weiss, Area Vice President DACH bei HashiCorp
Obwohl Zero Trust dieser Tage omnipräsent ist, gibt es kein hinreichend gemeinsames Verständnis. Dieses Phänomen lässt sich auch zum Thema “Cloud” beobachten. Umso wichtiger ist es, Zero Trust zu definieren.Was bedeutet Zero Trust? Das Konzept sieht vor, dass es kein Vertrauen gibt, das auf vorherigen Ereignissen oder Kontakten beruht. Jede Partei muss grundsätzlich die jeweilige Identität nachweisen und dann die benötigten Rechte einfordern. Das mag auf den ersten Blick einfach erscheinen. Jedoch gilt dieser Identität-basierte Ansatz nicht nur für Menschen, sondern auch für Maschinen: also Rechner, Anwender, Applikationen oder jegliche Art von IT-Diensten. Im Detail erfordert dies viel Vorbereitung und nicht zuletzt auch das Einbinden unterstützender Software. Primär sind dies Werkzeuge zur Verwaltung von Passwörtern und Identitäten oder ähnlichen Geheimnissen, gefolgt von einem hohen Grad an Automatisierung – insbesondere im Infrastruktur-Bereich (Iaas, PaaS, SaaS).
Der wesentliche Auslöser für Zero Trust ist das Verschwimmen oder gar Verschwinden der Grenzen zwischen der IT im eigenen Rechenzentrum (RZ) und jener in Hosting-Umgebungen oder bei Cloud-Dienstleistern.
Der klassische Ansatz, dass die Firewalls im Rechenzentrum als Burgmauer dienen, ist damit hinfällig – das gewohnte Sicherheitsmodell funktioniert nicht mehr, denn es ist davon auszugehen, dass sich der Angreifer bereits im Netzwerk befindet. Sich innerhalb der RZ-IT bzw. hinter deren Firewalls zu befinden, reicht nicht mehr, um als vertrauenswürdig und sicher zu gelten.”
Die Finanzwelt als Vorreiter
Autor Sebastian Weiss, HashiCorpSebastian Weiss ist Area Vice President DACH bei HashiCorp (Website). Der versierte Open-Source- und Cloud-Experte setzt seinen Fokus auf die Zusammenarbeit mit Technologiepartnern, Systemintegratoren und Resellern in Deutschland, Österreich und der Schweiz. Nach einem Bachelor of Science in Wirtschafsinformatik war Sebastian Weiss in mehreren Vertriebsfunktionen tätig, zuletzt u.a. bei Red Hat, Mirantis, Google Cloud und Microsoft, wo er den Ausbau der Geschäfte in DACH und Europa mitgestaltete.
Der Eindruck trügt, dass die Finanzwelt im Bereich IT eher traditionell orientiert ist. Es gibt eine ganze Reihe von Gründen, warum dieser Industriesektor Pionierarbeit leisten muss: Das Online-Banking muss sich stetig den gestiegenen Anforderungen der Kunden anpassen und gilt seit langem als attraktives Ziel für Hacker. Über API-Schnittstellen müssen Kanäle zu internen Systemen geöffnet werden, die ebenfalls zunehmend Ziel von Cyberangriffen sind – z.B. im Rahmen der OpenBanking-Aktivitäten. Dabei adressieren sie sowohl den privaten Endkunden als auch den Dienstleister. Schließlich ist für Finanzdienstleister spätestens seit der Pandemie das Online-Banking der wichtigste Kommunikations- und Transaktions-Kanal zum Endkunden.
Ein weiterer Aspekt betrifft die gestiegene Zahl der Finanzangestellten im Homeoffice. Diese Tatsache sowie die Einführung von Public Cloud Computing hat die Angriffsfläche für die vormals interne IT drastisch vergrößert. Dazu kommt, dass der recht plötzliche Wechsel zum Homeoffice die Verwendung von sogenannten SaaS-Angeboten katalysiert hat. Kurz gesagt: Die schwindenden Grenzen zwischen der ursprünglich internen IT und dem externen Umfeld zwingen die IT, neue Sicherheitskonzepte einzuführen oder anders gesagt, die IT ist nun zuständig, ein “Supernetzwerk” abzusichern.
Darüber hinaus sind die Voraussetzungen in der Finanzindustrie bezüglich der Adaption neuer IT-Trends außerordentlich gut.
Ein Blick hinter die Kulissen zeigt, dass sich hier schon längst moderne Methoden wie DevOps, SRE und Co. etabliert haben. Damit einher gehen die Verwendung entsprechender Werkzeuge sowie nicht-technische Herangehensweisen.”
Zudem sind die omnipräsenten Regularien im Finanzsektor zu berücksichtigen. Viele der Richtlinien betreffen den Bereich der IT-Sicherheit und helfen dabei, alle nötigen Aspekte zu adressieren. Auch ist es sehr hilfreich, dass BAIT und VAIT auf die neue Situation im Bereich IT-Sicherheit reagiert haben. Beide haben ihre jeweiligen Erwartungen und Anforderungen in den letzten 18 Monaten angepasst und konkretisiert.
Prämisse Nummer Eins: Verwaltung von Geheimnissen
Identitäten sind ein fundamentaler Bestandteil von Zero Trust. Deren Nachweis erfordert eine Art Beweis. Im realen Leben ist das ein Pass oder Personalausweis. In der digitalen Technologie sind dies Zertifikate oder auch „geheimes Wissen“. Letztere sind im einfachsten Fall Passwörter. Es können aber auch vordefinierte Frage-Antwort-Szenarien sein oder eine zweite Authentifizierung über das Mobiltelefon. Idealerweise sind diese Konstrukte auch mit einem Verfallsdatum versehen. Das bedeutet aber auch: Eine regelmäßige Erneuerung dieser Identitätsbeweise ist notwendig und muss stetig aufgrund der Auditierbarkeit nachvollziehbar sein. Und das ist nur die Spitze des Eisbergs. Mit dem Siegeszug API-gesteuerter Ansätze wächst die Notwendigkeit robuster „Geheimnis“-Verwaltung exponentiell.
Ein manueller Ansatz funktioniert nur in kleinen Laborumgebungen. Automatisierung wird zwar benötigt, sie betrachtet aber nur einen Aspekt dieser mehrdimensionalen Herausforderung. Dazu gehören auch Zugriffskontrolle oder Verschlüsselung. Wer seine IT mit Zero Trust professionell schützen will, kommt um den Einsatz einer entsprechenden Software nicht vorbei. Hier bewährte sich der Einsatz bereits ausgereifter Lösungen verschiedener Anbieter, die Integrationen in großer Vielfalt und Anzahl zur Verfügung stellen.
Prämisse Nummer Zwei: Sicherheit durch Automatisierung
Das Verschwimmen von lokaler und Cloud-basierter IT hat die Notwendigkeit zur Automatisierung auf eine neue Ebene gehoben. Dabei sind drei wesentliche Aspekte zu beachten. Da ist zunächst die Automatisierung der Infrastruktur an sich. Diese sollte einheitlich und möglichst Cloud-agnostisch sein. Mit entsprechenden Tools lassen sich Wiederverwendbarkeit und Nachvollziehbarkeit in einem ersten Schritt umsetzen. Außerdem ermöglicht dies eine saubere Trennung des Know-what vom Know-how.
Der Netzwerkbereich nimmt einen besonderen Stellenwert ein, denn es gilt, unzählige Protokolle für die Datenübertragung sowie verschiedenste Produkte und Hersteller unter einen Hut zu bekommen.
Mit dem zunehmenden Aufkommen von verteilten Applikationen oder gar Mikro-Diensten potenziert sich diese Herausforderung. Eher einfacher ist dabei das Eliminieren von manuellen Arbeiten, die schnellere Implementierung von Änderungen und die Verwendung von Vorlagen und Schablonen. Für alles Weitere kommt man um Software-definierte Ansätze sowie API-basiertes Denken nicht herum. Nur so lassen sich das Netzwerk und sein Aufbau für die eigentlichen Applikationen „sichtbar“ oder gar veränderbar gestalten.
Hier lässt sich eine Brücke zum Thema Identitätsverwaltung schlagen. Nur ein sicheres und robustes Netzwerk ermöglicht die notwendige Kommunikation aller beteiligten Parteien. Es stellt außerdem sicher, dass eine Übernahme oder Störung dieser Verbindung nahezu unmöglich ist.
Prämisse Nummer Drei: Berechtigungsverwaltung
Neben Identitäten spielen bei Zero Trust Berechtigungen eine wesentliche Rolle. Die Schlüsselbegriffe hier sind Authentisierung (AuthN) und Autorisierung (AuthZ). Obwohl sehr eng verknüpft, sind es sehr unterschiedliche Mechanismen. Die Authentisierung ist der Nachweis, dass jemand tatsächlich der ist, der er vorgibt zu sein. Hier kommen die Identitäten ins Spiel. Ebenso wichtig ist die Autorisierung:
Was darf die bestätigte Identität tun, was ist ihr verboten? In einfachen Fällen lässt sich dies mit Hilfe sogenannter Zugriffslisten verwalten.”
Aber gerade im Finanzumfeld ist eine Granularität der Berechtigungen notwendig, die sich nicht in Listenform abbilden lässt. Prinzipiell gibt es zwei vorherrschende Implementierungen für Autorisierung.
Die erste betrifft ein System, welches ebenfalls die Authentisierung verwaltet. Der Anwender bekommt den Gesamtservice aus einer Hand und muss nicht auf die Verträglichkeit der jeweiligen Schnittstellen vertrauen. Eine Art Gewaltenteilung ist nicht unüblich. Sprich: Es gibt separate Systeme für Authentisierung und Autorisierung. Der offensichtliche Vorteil ist, dass die Kompromittierung des einen Systems das andere nicht unbedingt beeinträchtigt. Doch ist dann zu beachten, dass die jeweiligen Hersteller die Kompatibilität der notwendigen Schnittstellen ihrerseits sicherstellen – inklusive Qualitätssicherung und Notfallplan.
Zu guter Letzt: Daten, Daten, Daten
Bei Zero Trust gibt es nicht unzählige Kommunikationen, sondern noch mehr Daten. Und gerade in der Finanzwelt spielen diese eine äußerst wichtige Rolle. Nachvollziehbarkeit, Protokolle oder gar Revisionssicherheit sind ein wesentlicher Bestandteil, um viele Anforderungen der Regularien zu erfüllen. Dabei gibt es zwei große Herausforderungen:
Zum ersten das einfache Einfangen und Speichern der schieren Datenmenge – auch über Jahre hinweg. Ebenso wichtig ist die Analyse der angefallenen Information.
Aus operativen Gründen ist auch eine Auswertung in Echtzeit unumgänglich und notwendig. Es gilt, Fehler, Angriffe oder anderes Fehlverhalten quasi sofort zu erkennen und zu adressieren.”
Die zweite Herausforderung betrifft die Extraktion der notwendigen Informationen für regulatorische Überprüfungen oder andere Revisionen. Dies erfolgt eher traditionell durch das Abspeichern der Daten für die Überprüfung zum Zeitpunkt der Erstellung. Das funktioniert gut in statischen Systemen und dann, wenn es keine Änderung der Anforderung der Regulatorik gibt. Alternativ erfolgt die Extraktion der benötigten Infos zum Zeitpunkt der Überprüfung durch eine entsprechend zertifizierte Behörde. Dies erlaubt zwar eine quasi-tagesaktuelle Anpassung an die gerade geltenden Anforderungen, ist aber in der Realität viel schwieriger umzusetzen.
Handlungsempfehlung
Es steht außer Frage, dass niemand im Bereich Computersicherheit am Thema Zero Trust vorbeikommt. Der Finanzsektor spielt hier aufgrund der Regularien sogar eine Vorreiterrolle. Dabei ist die eigene IT ebenso wichtig wie die des Kunden oder der Mitarbeiter im Homeoffice. Die Software-Industrie hat dies bereits antizipiert:
Für die wesentlichen Aspekte von Zero Trust gibt es ausgereifte Lösungen und namhafte Beweise. Doch eines der schwächsten Glieder der Sicherheitskette ist und bleibt der Mensch.”
Neben Automatisierung und fast selbst-denkenden Werkzeugen helfen nur Aufklärung, Schulungen und offene Diskussionen. Natürlich betrifft dies nicht nur den Finanz-Sektor. Industrie-übergreifende Synergien sind nicht nur gewünscht, sie finden bereits statt.Sebastian Weiss, HashiCorp
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/149865
Schreiben Sie einen Kommentar