Mit Tools und Methoden wie «Encrypt Everything» oder «Zero Trust Computing / Networking» gibt es Möglichkeiten, um die Kommunikation innerhalb und ausserhalb von Unternehmungen sicherer zu gestalten.

Seit 2013 der ehemalige NSA-Contractor Edward Snowden publik gemacht hat, wozu die amerikanischen und anderen Nachrichtendienste bezüglich Spionage von Netzwerken und Kommunikation in der Lage sind, wurde einer breiteren Öffentlichkeit bewusst, dass (technische) Kommunikation wie E-Mail, Telefongespräche und alle möglichen Nachrichten abgehört werden können. In der Security-Szene wurde dies zwar schon länger vermutet, entsprechende Belege zu finden zeigte sich hingegen als schwierig – mit den «Beweisen» von Edward Snowden gab es in der Security-Szene endlich den erhofften Beleg, dass die Möglichkeiten zur Überwachung von (unverschlüsselter) Kommunikation durchaus in der Praxis genutzt werden. Im Rahmen der Snowden-Revelations wurde auch bekannt, dass auch verschlüsselte Daten von den amerikanischen Diensten gespeichert werden – obwohl diese nicht unmittelbar analysiert werden können. Man erhofft sich offenbar in Zukunft Möglichkeiten, um die Verschlüsselung der Daten nachträglich zu knacken und diese Daten damit später lesbar zu machen.

In der Security-Szene setzte sich damit die Erkenntnis durch, dass nur «durchgehende Verschlüsselung» sämtlicher Kommunikationsinhalte und/oder -Verbindungen gegen die Massen-Überwachung hilft. Insbesondere innerhalb von Unternehmens-Netzwerken sind bis heute unverschlüsselte Verbindungen zwischen Servern und von Endgeräten zu Servern durchaus üblich. Früher war hier das Argument, dass die Verschlüsselung zusätzliche Ressourcen benötigt und damit die Performance und Kapazität der Kommunikationsverbindungen beeinträchtigt. Dies ist mit moderner Hardware und modernen, praktisch verfügbaren Verschlüsselungs-Algorithmen heutzutage kein guter Grund mehr, die Verschlüsselung nicht auszuführen. Das Wissen der Ausbildung ICT-System- und Netzwerktechniker/in mit eidg. Fachausweis hilft, mit Projekten wie beispielsweise «Let’s Encrypt» auch kostenlose TLS-Zertifikate zu erlangen, um einfach und wirksam auch einfache Webseiten zu verschlüsseln.

Es gibt somit heutzutage keine Ausrede mehr, eine Kommunikationsverbindung NICHT zu verschlüsseln – eben «encrypt everything». Dies sollte heute ein Grundsatz sein, leider ist dies nach wie vor nicht flächendeckend umgesetzt. Im öffentlichen World Wide Web ist dies zwar mehrheitlich mit immer wieder auftretenden unrühmlichen Ausnahmen der Fall, doch unternehmensintern ist hier noch ein beachtlicher Aufwand zu leisten. Oft werde ich in diesem Zusammenhang gefragt, warum denn innerhalb eines Unternehmen-Netzwerkes verschlüsselt werden soll – schliesslich ist man von der Aussenwelt mittels modernen Firewalls und Proxy-Systemen geschützt. Als ICT-System- und Netzerktechniker/in kennen Sie den Grundsatz, welcher hier zum Tragen kommt und im 2019 durchaus seine Berechtigung hat: «assume compromise» – die Frage ist nicht ob man gehackt wurde, sondern ob man es bereits bemerkt hat. Eine erfolgreiche Kompromittierung durch (externe oder interne!) Angreifer ist schwierig bis unmöglich abzuwenden. Im Sinne einer mehrschichtigen Sicherheits-Architektur (layered defense, bzw. defense-in-depth) soll es ein Angreifer dennoch nicht einfach haben, an die gewünschten Informationen zu kommen. Deshalb ist davon auszugehen, dass trotz präventiver Abwehr- und Schutzmassnahmen wie Firewalls und Anti-Malware ein erfolgreicher Angreifer ins Netzwerk kommt und deshalb gilt: «encrypt everything». Wie erwähnt ist der höhere Ressourcen-Verbrauch heutzutage mit modernen Systemen vernachlässigbar – natürlich sind auch noch ältere Systeme im Einsatz. Es gilt damit, auch für besondere Situationen angemessene Sicherheitsmassnahmen anzuwenden, um den Schutz sämtlicher kritischer Informationen zu gewährleisten.

Architektur-seitig ist zu unterscheiden, ob es lieber eine «end-to-end» Verschlüsselung sein soll, oder eher «point-to-point». Dies hängt vom Kommunikationsverhalten und von der Netzwerk- und Zonen-Architektur im Unternehmen ab und auch mit der Fähigkeit und Bereitschaft der Kommunikations-Parteien, die Verschlüsselung zu unterstützen. Wichtig ist, dass keine unverschlüsselten Lücken zwischen zwei Kommunikationsteilnehmenden verbleiben und letztlich – vom Sender zum Empfänger – die ausgetauschten Daten verschlüsselt werden.

Verabschieden Sie sich vom «Burg und Graben»-Ansatz für die Sicherheit ihres Unternehmen-Netzwerkes. Was vor einigen Jahren noch eine wirksame Sicherheits-Architektur war – durchaus vergleichbar mit den früheren Burgen und Schlösser, die von einem Wassergraben oder auf einem schwer einnehmbaren Hügel oder Berg errichtet wurden -, ist heute nicht mehr wirksam. Die Gründe sind mannigfaltig und im geänderten Arbeits- und Kommunikations-Verhalten der modernen Wirtschaft zu suchen: jede/r will ständig mit allen verfügbaren Mitteln und Werkzeugen mit allen möglichen Kommunikationspartnern – innerhalb und ausserhalb des Unternehmens – kommunizieren, Daten austauschen und kollaborieren. Die klassische Systemgrenze des Unternehmen-Netzwerkes – aussen das «böse Internet» und innen die «vertrauenswürdigen Systeme» ist heute verschwommen und nicht mehr klar zu ziehen – und bewusst oder unbewusst mit vielen Löchern versehen, um möglichst ungehindert, einfach und schnell zu kollaborieren. Damit steigt das Risiko von unerwünschten Daten-Abflüssen jedoch ebenfalls schnell und steil an. Der Ansatz, der heute unter der Bezeichnung «zero trust computing» bzw. «Zero trust networking» propagiert wird, geht von der oben bereits erwähnten «assume compromise»-Haltung aus und bezweckt, dass keiner Verbindung, keinem Kommunikationspartner und keinem Datenpaket vertraut wird – es ist alles und immer zu verifizieren. Bei der Verbindungsaufnahme zwischen zwei Systemen authentisieren sich diese jeweils gegenseitig (sogenannte «Mutual authentication») und auch hier gilt: Unabhängig davon, ob es sich um interne oder externe Systeme, Benutzer oder Kommunikations-Partner handelt. Einige der grössten Daten-Verluste (data breaches) der letzten Jahre waren erfolgreich, weil die Angreifer erfolgreich im internen Netzwerk aktiv sein konnten. Unter anderem tragen ein umfassendes IAM (Identity & Access Management), moderne Firewalls und segmentierte Netzwerk-Zonen, Multi-Faktor-Authentifizierung und Überwachung des Netzwerk-Verkehr zum «zero trust»-Modell bei. Der Teufel liegt im Detail – eine bestehende, mit den Jahren kontinuierlich gewachsene und veränderte Unternehmens-Systemlandschaft auf «encrypt everything» und «zero trust networking» umzustellen – möglichst ohne Ausnahmen – benötigt personelle sowie finanzielle Ressourcen und fachliches Know-how. Packen Sie es deshalb frühzeitig an – die Angreifer warten nicht, wie regelmässige Nachrichten zu erfolgreichen Attacken zeigen.