VPN, SMS-Codes und Passwörter sind out, Zero Trust ist in
Das Weiße Haus hat eine neue Cybersecurity-Richtlinie für Ministerien und Behörden veröffentlicht. Bisherige Sicherheitskonzepte werden umgeworfen.
Die neue Security-Richtlinie Moving the U.S. Government Toward Zero Trust Cybersecurity Principles (deutsch: Die US-Regierung in Richtung Zero-Trust-Cybersecurity-Prinzipien bewegen), die das Weiße Haus für alle Ministerien und Behörden veröffentlicht hat, setzt auf eine Zero-Trust-Strategie. Das Papier beinhaltet aber deutlich mehr als das, was man üblicherweise unter Zero-Trust versteht: Vertraue niemals, verifiziere immer.
Vieles, was bisher als Good Practice galt, wird für veraltet erklärt: etwa die Netzwerkabsicherung plus Netzwerkzugang per VPN oder auch Passwörter, insbesondere solche, die Regeln wie zwingend zu verwendenden Zeichentypen unterliegen. Den schon länger aus der Mode gekommenen zeitbasierten Zwang zur Passwortänderung will man ebenfalls nicht mehr haben.
Auch sonst soll sich bei der Multifaktor-Authentifizierung (MFA, darunter fällt als Sonderfall die Zwei-Faktor-Authentifizierung, 2FA) einiges tun: Token per SMS oder per Anruf findet man in Zeiten von SIM-Clone- und SIM-Swapping-Attacken sowie Phishing nicht mehr sicher. Nicht einmal Ansätze wie zeitbasierte Einmalpasswörter (TOTP, Time based One Time Passwords), die beispielsweise mit Android-Apps wie Google Authenticator oder AndOTP generiert werden können, sind für die US-Experten noch zeitgemäß.
Es ist eine Strategieänderung und ein Paradigmenwechsel gleich auf mehreren Ebenen. Unter anderem bedeutet es die Abkehr von der Absicherung ganzer Bereiche (= Netze) hin zur Absicherung einzelner Punkte (= Applikationen oder Informationen). Die Richtlinie geht weg von einem Zwiebelansatz, bei dem es immer noch weitere Sicherheitsschichten nach innen oder außen (oder beides) gibt, hin zu einem Ansatz, sich nur auf eine Absicherung zu verlassen.
Das hat unter anderem einen psychologischen Aspekt: Zu oft gab es Fälle, in denen eine potenzielle Sicherheitslücke in einer Anwendung von Security-Experten zu wenig ernst genommen wurde, weil ein Angreifer schon in das Netz eingedrungen sein musste, um die Anwendung an sich angreifen zu können.
Bug Bounty statt Hacking-Anklagen
Zudem gibt es weitere Änderungen, die weit über die reine IT hinausgehen. So soll es statt Strafverfolgung von unabhängigen Sicherheitsexperten, die eine Lücke aufspüren, ohne mit einer Untersuchung beauftragt zu sein, ein Bug-Bounty-Programm geben.
Eine dringend notwendige Änderung, brachte doch das bisherige System der Strafverfolgung bei unerlaubtem Zugriff bizarre Fälle hervor. Wie den des Gouverneurs von Missouri, der forderte, einen Journalisten wegen Hacking anzuklagen, weil dieser auf der Website des Bundesstaats Social-Security-Nummern von mehr als 100.000 Angestellten des Staates im HTML-Code gefunden hatte - Hacking durch Drücken von F12 im Web-Browser also.
Das steckt hinter der neuen Richtlinie
Grund für die Strategie-Änderung sind die Vorfälle um Solarwinds, der erfolgreiche Angriff auf die Colonial Pipeline und viele weitere Attacken - einschließlich der während der Ausarbeitung der Richtlinie bekannt gewordenen Log4Shell-Lücke. Daraus abgeleitet wird vor allem, dass man sich nie auf die Sicherheit anderer Komponenten verlassen kann.
Der Ansatz sieht vor, dass einzelne Applikationen das interne Firmennetz immer als kompromittiert ansehen müssen. Dies führt neben der Forderung, dass jeder Datenverkehr - auch der interne - verschlüsselt sein muss, zu dem Schluss, dass eine Perimeterverteidigung des internen Netzes sinnlos oder gar schädlich geworden ist.
Die Überlegung ist, dass durch das Ansehen des internen Netzes als kompromittiertes Netz einzelne Applikationen genauso gut abgesichert sein müssen, als wenn sie im Internet frei erreichbar wären. Sind sie nur aus einem bestimmten Netz zu erreichen, werden Sicherheitslücken, wie oben erwähnt, mit einer höheren Wahrscheinlichkeit als nicht so dringend angesehen. Schließlich ist die Absicherung des Netzwerks immer noch vorgeschaltet. So wirkt sich beispielsweise ein VPN (für den Applikationszugriff von außen) negativ auf die Sicherheit der eigentlichen Applikation aus.
Die Richtlinie ist die Schlüsselstrategie zur Umsetzung der Executive Order von Präsident Joe Biden, die Cybersecurity der USA zu verbessern. Erarbeitet wurde das Dokument im Office of Management and Budget (OMB, Büro für Verwaltung und Haushalt). Es richtet sich an die Führungsebenen der Ministerien und Behörden des Bundes. Sie haben ab der Veröffentlichung 30 Tage Zeit, Verantwortliche für die Umsetzung der in dem Papier genannten Maßnahmen zu benennen. Weitere 30 Tage später sollen sie konkrete Umsetzungspläne vorlegen.
Nicht nur für Behörden, auch Firmen folgen hoffentlich
"Angesichts zunehmend anspruchsvoller Cybersicherheitsbedrohungen unternimmt die Administration entschlossene Schritte, die Cyberverteidigung der föderalen Regierung zu stärken", sagte die kommissarische OMB-Direktorin Shalanda Young zur Veröffentlichung.
Dabei beschränkt man sich in den Empfehlungen nicht nur auf Behörden, sondern hofft, auch ein Beispiel für andere zu sein. "Bei dieser Zero-Trust-Strategie geht es darum, sicherzustellen, dass die Bundesregierung mit gutem Beispiel vorangeht, und sie markiert einen weiteren wichtigen Meilenstein in unseren Bemühungen, Angriffe von Personen abzuwehren, die den Vereinigten Staaten Schaden zufügen würden", sagte Young.
National Cyber Director Christopher Inglis fügte hinzu, dass dies ein wichtiger Schritt sei, um einen vertretbaren und kohärenten Ansatz für Cyberabwehr zu entwickeln. "Wir warten nicht darauf, auf den nächsten Cyber-Breach zu reagieren. Vielmehr reduziert diese Regierung weiterhin das Risiko für unsere Nation, indem sie proaktive Schritte in Richtung einer widerstandsfähigeren Gesellschaft unternimmt."
Passwörter im Fadenkreuz
Ein weiteres Element der neuen Strategie: Passwörter sollen nach Möglichkeit nicht mehr eingesetzt werden. Wenn sie benötigt werden, soll auf Regeln zur Komplexität eines Passworts, wie die verpflichtende Verwendung von Klein- und Großbuchstaben, Sonderzeichen und Ziffern, verzichtet werden.
iele Passwortregeln, die verhindern sollen, dass Nutzer besonders einfache Passwörter verwenden, sind inzwischen so komplex, dass sie eher den gegenteiligen Effekt haben. Sie schränken die Zahl der theoretisch möglichen Passwörter zu stark ein und führen außerdem dazu, dass Menschen eher einfache Passwörter verwenden - schließlich muss man sie sich ja auch merken können.
In dem Papier wird nicht auf Passwort-Manager (Test) eingegangen. Es gehört aber inzwischen zum Allgemeinwissen, dass auch das komplexeste darin gespeicherte Passwort für einen Dienst nichts wert ist, wenn das Passwort für den Manager selbst "geheim" lautet.
Der Vorteil von Passwort-Managern ist, dass man nicht überall das gleiche Passwort hat und sie eine Verschlüsselung der darin abgelegten Geheimnisse bieten. Aber wie stark dieses Passwort ist und wie sicher die Datei abgelegt ist, bleibt den Nutzern überlassen.
Es soll auch darauf verzichtet werden, in regelmäßigen Abständen Passwortänderungen einzufordern. Das führt nämlich meist nur zu einer Durchnummerierung eines Grundpassworts, wie ebenfalls schon länger bekannt sein dürfte.
In Sachen Identitätsmanagement müssen Behörden künftig ein zentralisiertes System für die gesamte Behörde nutzen, das "phishing-resistente" MFA auf Application-Ebene bereitstellt, und zwar sowohl für angestellte und vertragsgebundene Auftragnehmer als auch für sonstige Partner. Ganz wichtig: Mindestens ein Autorisierungsfaktor muss auf dem Level der Geräte-Ebene neben der Identität des Nutzers erfolgen.
MFA mit PIV, Webauthn und Fido
Als phishing-resistente MFA-Faktoren nennt das Papier die Personal Identity Verification (PIV) und den Web-Authentication-Standard mit Webauthn und Fido2 des W3C. Systeme, die nicht phishing-resistent sind, werden genannt und verboten: "Behördensysteme müssen die Unterstützung für Authentifizierungsmethoden einstellen, die Phishing nicht widerstehen, einschließlich Protokolle, die Telefonnummern für SMS oder Sprachanrufe registrieren, um Einmalcodes oder Push-Benachrichtigungen zu erhalten."
Statt klonbarer SIM-Karten sollen richtige Security-Tokens oder -Karten zum Einsatz kommen. Das ist einfacher, als viele denken. Inzwischen dürften sich zum Beispiel hierzulande in den Kartenfächern mindestens drei solcher Karten mit Crypto-Funktionen finden. Personalausweis, Gesundheitskarte und Bankkarte sind allesamt mit diesen Funktionen ausgestattet, um Fälschungen zu erschweren oder unmöglich zu machen. Das zeigt, dass eine Ausgabe im großen Stil durchaus machbar ist. Ein Fido-Stick als Zubehör zum Arbeits-Notebook fällt finanziell kaum ins Gewicht.
Wenn Applikationen untereinander kommunizieren, heißt es in dem Security-Programm der US-Regierung ebenfalls "Ja zum Verschlüsseln", auch innerhalb des internen Netzes und auch für DNS-Anfragen. Die Zahl der Kritiker von Secure-DNS dürfte also weiter abnehmen.
Wem das alles so gar nicht gefällt
Schlecht ist die neue Strategie bei der US-Regierung insbesondere für Anbieter von Security as a Service (SaaS). Bei den meisten SaaS-Angeboten geht es vorrangig um die Perimeterverteidigung von Netzwerken. Einzelne Applikationen abzusichern, ist vielleicht noch bei Standard-Software mit großem Verbreitungsgrad im Programm; bei Individualsoftware, mit der die Dienstleister ansonsten nichts zu tun haben, würde sich das auch schwierig gestalten.
Selbst wenn diese Dienstleister sich zumindest in den meisten Fällen nicht trauen, die Maßnahmen als falschen Weg darzustellen, lassen sie ihre Kritik in ihren Bewertungen durchscheinen. "Dies kann wahrscheinlich im Kontext der Regierung funktionieren, aber ich bin skeptisch, ob es darüber hinaus viel bewirken wird", schrieb etwa Sharon Goldberg, CEO von Bastionzero.
Interessant wird auch sein, wie das in Deutschland zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) auf diese Richtlinie reagiert. Und natürlich, wie lange es bis zu einer solchen Reaktion dauert.
Keine Reaktionen