In dieser Richtlinie werden Vorgaben zur IT-Sicherheit aller US-Behörden gemacht. Die geforderten Maßnahmen klingen durchaus sinnvoll:
- Unternehmensweite Identitätssysteme
- Phishing-resistente MFA (WebAuthn, FIDO2 etc.)
- Attributbasierte Zugriffskontrolle (ABAC)
- Endpoint Detection and Response (EDR)
- Isolation gem. NIST SP 800-207
- Programme zur Offenlegung von Sicherheitslücken
- etc. pp.
Die Abkehr von alten Paradigmen wie VPN, regelmäßigem Passwortwechsel oder rollen-basierter Zugriffsteuerung (RBAC) ist auf dem ersten Blick erstaunlich aber aus Sicht von Zero Trust logisch. Auch die Zeitpläne (60 Tage bis 1 Jahr) für erste Maßnahmen klingen mehr als ambitioniert. Das angestrebte Ziel bis Ende FY 2024 stellt auch theoretisch keine unmöglich zu erreichenden Anforderungen, aber bei der Menge an betroffenen Behörden ist dies im Summe schon eine Menge Arbeit und Abstimmung.
In vielen Firmen werden ähnliche Ansätze bereits verfolgt, aber es gibt auch dort viele Nachzügler. Dass mit diesem Dokument angestrebt wird, dass die öffentliche Hand mit wehenden Fahnen voranschreitet klingt zumindest in der Theorie gut.
Ich denke, dass stärkere Sicherheitsanforderungen sich auch bei uns mehr und mehr durchsetzen werden. Ich kann schlecht Einschätzen, was in der neuen US-Richtlinie Wunschdenken ist und was realisierbar sein wird. Sicherlich wurde die alte Richtlinie auch noch gar nicht vollständig umgesetzt und der Kampf mit Legacy-Altlasten ist (hoffentlich) kein rein deutsches Problem. Interessant wäre auch, wie diese Richtlinie letztendlich wirklich umgesetzt wird, da das notwendige Know-How und die Ressourcen ja auch nicht an Bäumen wachsen.
Interessant zu wissen wäre, ob das BSI in Zukunft ähnlich stringente Vorgaben macht. Theoretisch deckt der BSI IT-Grundschutz viele inhaltliche Themenfelder von Zero Trust bereits ab, aber nicht in der Stringenz. Beispielsweise fordert das BSI IT-Grundschutz Kompendium 2022 die Mehr-Faktor-Authentisierung für privilegierte Accounts, bzw. Fernwartung oder für hohen Schutzbedarf. In Zero Trust ist MFA mehr oder weniger Standard für alle. Ich denke wenn wir das in dieser Richtlinie angestrebte Schutzniveau allein für unsere KRITS erreichen würden, wäre wir einen großen Schritt weiter.
Es gibt also weiter viel zu tun in der Zukunft, aber es könnte sich lohnen.