Das Thema Zero Trust beschäftigt mich schon etwas länger. Beim Lesen der Überschrift des Artikels Zero Trust: Bund will bei IT-Sicherheit niemandem mehr vertrauen war ich zunächst etwas überrascht da ich in meinem ersten Artikel zu Zero Trust habe ich ja bereits ein wenig Hoffnung geäußert, dass es Richtlinien vom BSI geben wird.
Die Hoffnung bezog sich vor allem auf strengere Vorgaben, denn mir ist bewusst, dass Zero Trust allein weder hinreichend noch notwendig ist, um mehr Sicherheit zu haben. Auch die Anpassung der Vorgehensweise durch den Ansatz:
- Assume breach
- Don’t trust, always verify
- Least privilege
in Zusammenspiel mit MFA erscheint mir dies für die Entwicklung vieler Systeme sinnvoll. Meiner Erfahrung nach gibt es noch zu viel Optimismus und unbegründetes Vertrauen in die eigenen Fähigkeiten Software zu entwickeln und Systeme zu betreiben. Mit dieser Denkweise brauche ich aber auch kein Zero Trust im engeren Sinne.
Interessanter Weise kam etwa zur selben Zeit ein Blogeintrag von Fefe mit Verweis auf seine Präsentation. Ich gebe ihm Recht, dass vieles was als Zero Trust vermarket wird weit davon entfernt ist und eher in die Kategorie Rebranding oder sogar Schlangenöl fällt. Die grundlegenden Fehler in der Absicherung von Systemen und Netzen können auch ohne Zero Trust vermieden werden – und werden es (bewusst) nicht.
Auf der anderen Seite bleibe ich aber dabei, dass eine Ankündigung wie in den USA einen Impuls setzen kann. Zumindest werden unter anderem konkrete Anforderungen an sichere IT-Systeme gestellt, die überwiegend eine Verbesserung darstellen. Meiner Erfahrung nach braucht es aber neben einem Impuls auch ein Leuchtturm und den sehe ich noch nicht.
Schlussendlich bin ich von dem Artikel in Heise aber enttäuscht. Nach meinem Verständnis sind es nur belanglose Buzz-Word-Forderungen, aber keine konkreten Maßnahmen. Wirklich belastbare Vorgaben: Fehlanzeige. Auch die Ergebnisse der Suche nach Zero Trust auf der Seite des BSI sind bisher eher bescheiden. Auf der anderen Seite ist natürlich die Frage, ob ein Regelwerk analog zu SP 800-207 Zero Trust Architecture hilfreich ist. Striktere Anforderungen im BSI IT-Grundschutz könnten aus meiner Sicht ein sinnvoller Schritt sein. Die oben geforderten Leuchttürme fallen jedenfalls nicht einfach so vom Himmel. Wenn es die Leuchttürme denn gibt, ist wohl das Licht aus, um nicht zu viel Aufmerksamkeit zu erregen.
Einerseits ist es wohl schwer zu messen welchen Mehrwert Zero Trust bringt, weil nicht erfolgreiche Angriffe (analog zu erfolgreichen Angriffen vor der Entdeckung) schwer zu messen sind. Anderseits könnten auch andere flankierende Maßnahmen ohne Zero Trust bereits erfolgreich sein.