Knut Trepte, stellvertretender Sprecher der WG Security der OSB Alliance

Zero Trust ist das neue Buzz-Word, und es erzeugt viele Missverständnisse. Zero Trust klingt nach viel Sicherheit, niemandem und nichts wird vertraut. Dabei ist es sehr wichtig zu wissen, dass Zero Trust nur gegen eine beschränkte Klasse von Angriffen schützen kann. (https://www.security-insider.de/trotz-zero-trust-alle-angriffsflaechen-schuetzen-a-1074334/). Der Terminus suggeriert, dass Cyber-Attacken ein rein technisches Problem wären. Es verwundert nicht, dass Zero Trust gerne als Begriff verwendet wird, um Schwächen in Sicherheitskonzepten zu vernebeln.

Bei der Absicherung von Systemen spielt Open Source eine wichtige Rolle, es ist flexibel genug, die notwendigen Voraussetzungen zu integrieren. Zero Trust kann ein gutes Mittel gegen Netzwerkangriffe sein und sollte Teil eines Sicherheitskonzeptes sein. Gleichzeitig dürfen aber die folgenden Angriffsklassen (besonders auch aus der Sicht des Staates) nicht aus den Augen verloren werden:

Supply Chain Attacken

Supply Chain Attacken gehören zu den teuersten und gleichzeitig auch den am schwierigsten abzuwehrenden Angriffen. In den meisten Fällen können wir hier von Nation-State-Action ausgehen. Das bedeutet, dass der Angreifer über die Ressourcen eine Regierung verfügt (von der Regierung bezahlte und legitimierte Hacker, die über die notwendigen IT-Ressourcen und Zugriff auf neueste, zum Teil geheim gehaltene Technologien verfügen). Gerade die modernen Outsourcing Ansätze in der IT schaffen hier viel Angriffsfläche, bedingt durch Faktoren wie Preisdruck, Intransparenz, mangelnde Kontrolle oder Korruption in manchen Ländern, in denen die Dienstleister beheimatet sind.

Die Empfehlung staatlicher Sicherheitsorgane für die Anwender ist es daher, die Lieferkette zu überprüfen – dies ist auf volkswirtschaftlicher Ebene aber unmöglich und selbst für staatliche Organisationen nicht zu leisten. Wenn n Kunden m Lieferanten auditieren sollen, wird das sehr schnell zu einer Mammutaufgabe, die nicht zu bewältigen ist und den Unternehmen und Behörden keine Sicherheit bringen kann. Nur eine strenge, einheitliche staatliche Zertifizierung der Sicherheit (beispielsweise nach Common Criteria EAL 4+) kann hier helfen, denn sie ist ökonomisch und organisatorisch zu leisten. Ein deutliches Mehr an Sicherheit kann hier auch Open Source erzeugen, zum Beispiel mit Linux Plattformen, die Common Criteria EAL 4+ zertifiziert sind und so Transparenz auf der Lieferseite schaffen.

Digitale Souveränität

Ein wichtiger Aspekt der Digitalen Souveränität ist, dass ein Staat die Gesellschaft, für die er die Verantwortung trägt, schützt und dieser dient. Wichtige Aspekte sind zum Beispiel Funktionalität, Regulierbarkeit oder Gerichtsfestigkeit von Vorgängen. Die moderne offene Gesellschaft ist auf eine Vielzahl von IT-Systemen angewiesen, um effizient zu funktionieren. Die Funktionalität wird aber von einigen Faktoren entscheidend betroffen, besonders von der Verfügbarkeit von Algorithmen und deren Sicherheitsupdates. Aber genau das kann bedroht sein von Entscheidungen der Wirtschaftspartner (Änderungen, Betriebsaufgaben, Des-Invest u.a.) und von Regelungen der Regierungen, denen diese Wirtschaftspartner unterliegen (Sanktionen, Exportverbote, Zölle, Backdoors, Offenlegungspflichten etc.). Auch hier ist der Einsatz von Open Source Software, die keinem Unternehmen gehört und allgemein verfügbar ist ein großer Vorteil.

Ransomeware

Am Beispiel der Ransomeware zeigt sich – leider zu häufig – wie schwach Sicherheitskonzepte sind, die mit einem Schritt zu überwinden sind. Backup und Recovery sind oft erstaunlich schlecht implementiert und getestet. Interessanterweise richtet sich ein große Zahl der Angriffe gegen Systeme, die proprietäre Lösungen einsetzten. Durch die schnelle Reaktion der Open-Source-Communities, werden Sicherheitslücken hingegen schnell erkannt und geschlossen. Gleichzeitig gibt es bei Open-Source-Lösungen durch die Transparenz der Anwendungsimplementierungen gute Möglichkeiten, Backups von Push auf Pull umzustellen und so Backup-Server besser gegen Produktivsysteme abzuschirmen. Auch Verschlüsselung und Signatur von E-Mails sind hier möglich und können so Geschäftsprozesse über sichere Authentifizierung schützen. Leider wird genau dies bei manchen Cloud-Lösungen vernachlässigt, was die Tore für Phishing weit aufstößt.

Fazit

Die derzeitige Situation hat die Sicherheit von IT wieder stärker in den Fokus gerückt, was dringend notwendig ist. Hier hat Open Source viele gute Antworten auf die Herausforderungen unserer Zeit und kann helfen, resiliente Systeme aufzubauen, nicht nur für Unternehmen und Behörden sondern gerade auch zum Schutz von kritischen Infrastrukturen (KRITIS).

Von Knut Trepte, stellvertretender Sprecher der WG Security der OSB Alliance