Samstag in BER, Sonntags in HEL den Securitycheck durchlaufen. 3 kleine Verbesserungen in HEL machen einen Riesenunterschied:
Ich kann meine Elektronik in der Tasche lassen!
Pre-Screening mit schnellen Magnetfeldscannern vor den langsamen Mikrowellengeräten!
Nachkontrollen ausserhalb der Hauptlinie!
Ergebnis: 40 Minuten mehr Shopping Zeit im Flughafen. Da kommt das Warteschlangenmanagement in BER nicht mit … und in HEL waren darüber hinaus Sonntags um 0600 alle Linien offen …
Verschränkte Quanten sind uns aus dem alltäglichen Leben zwar immer noch nicht bekannt, trotzdem kann man sie heute schon nutzen, um die Informationsübermittlung im Netzwerk durch physikalisch sichere Erzeugung und Übermittlung von Schlüsseln sicherer zu machen. Denn der Hauptangriffspunkt in modernen Verschlüsselungsverfahren ist nicht der Algorithmus, sondern die Erzeugung und Übermittlung der zur Verschlüsselung notwendigen Schlüssel.
Dieses Problem wird durch die Tatsache verstärkt, dass für die Verschlüsselung von kontinuierlichen Datenströmen asymmetrische Schlüssel (Public Private Keys) nicht geeignet sind. Wohl aber sind Verfahren mit symmetrischen Schlüsseln dafür geeignet, liefern aber eine zusätzliche Angriffsfläche bei der Schlüsselübertragung. Darüber hinaus sind softwaregestützte Schlüsselgeneratoren, wie sie zum Beispiel für hybride Verfahren zum Einsatz kommen nachvollziehbar und damit vorhersagbar.
Mit dem QKD werden durch Nutzung der physikalischen Eigenschaften symmetrische Schlüssel zufällig erzeugt und können abhörsicher übertragen werden.
Dazu werden drei Eigenschaften der Quantenphysik genutzt:
Die Verschränkung der Teilchen
Die duale Existenz von Teilchen und Welle
Der Zufall der Erzeugung
Zu 1: Die Verschränkung ist eine schwer vorstellbare Verbindung zwischen zwei Quanten, die diese beiden so miteinander verbindet, dass sie mit einer gemeinsamen mathematischen Funktion beschrieben werden. Verschwindet ein Teilchen eines verschränkten Quantenpaares zum Beispiel durch eine Messung, wird diese Verbindung aufgehoben.
Zu 2: Die gleichzeitige Existenz als Teilchen und Welle führt zur Heisenbergschen Unschärferelation. Diese besagt, dass man von einem Quant entweder den Zustand oder den Ort bestimmen kann aber nicht beides gleichzeitig. Dieses führt dazu, dass die Wellenfunktion des Zustandes und damit die Verschränkung kollabiert. Damit wird auch die mögliche Übertragung von Information unterbrochen.
Zu 3: Die Verschränkung selbst lässt sich beispielsweise in der Polarisation, d.h. der Schwingungsrichtung des elektromagnetischen Feldes, von Lichtteilen realisieren. Diese kann bei der Erzeugung des Paares aber nicht gesteuert werden, sondern seine Verteilung in der Sequenz von verschränken Quantenpaaren ist zufällig. Und damit weder einfach zu erraten noch vorherzusagen.
Mit Hilfe dieser physikalischer Verfahren lässt sich also ein System aufbauen, bei dem eine Quantenquelle einen Strom verschränkter Quanten erzeugt, die Paare auftrennt und die einzelnen Quanten zu Alice und Bob überträgt. Dort wird die Polarisation der ankommenden Quanten analysiert und auf Basis der Sequenz ein auf beiden Seiten identischer Schlüssel definiert und zur Ver-, bzw. Entschlüsselung verwendet. Dieser erfüllt sehr hohe Sicherheitsanforderungen, denn er ist zufällig – und kann deshalb nicht vorhergesagt werden. Er ist nicht abhörbar, denn die Detektion des Quantenzustands vernichtet diesen. Und er kann auch nicht „gespooft“ werden, denn eine gezielte Erzeugung von verschränkten Quanten mit definierten Zuständen ist nicht möglich.
Quantum Optics Jena und Cisco haben mehrere Monate zusammengearbeitet, um eine solche Lösung in einer industrialisierten Umgebung und auf Basis von verfügbaren Standardkomponenten zur Verfügung stellen zu können. Diese Lösung wurde am 07. Oktober 2021 erstmalig realisiert und am 05. April 2022 als funktionale Lösung der Öffentlichkeit vorgestellt. Dabei wurde eine Schlüsselverteilungsrate realisiert, die es ermöglicht die Nutzdatenkommunikation sekündlich mit einem neuen, 256bit langen Schlüssel zu versorgen.
Diese realisierte Lösung lässt sich ebenfalls in eine Zero Trust Sicherheitsarchitektur integrieren. Eine Zero Trust Architektur basiert auf dem Prinzip der maximalen Reduzierung der möglichen Angriffsfläche durch eine dynamisierte Kontrolle von Autorisierung und Authentifizierung eines Subjektes und der angefragten Ressource (Objekt). Dazu werden drei übergeordnete Use-Cases unterschieden: Ein dynamisches Vertrauensmodell, ein softwaredefiniertes Netzwerkmodell und der mikrosegmentierte Zugriff auf Workloads im Rechenzentrum.
Ein softwaredefiniertes Netzwerkmodell in einer Zero Trust Architektur wird im Allgemeinen als SD-WAN realisiert. Dabei steuert eine Control Plane eine Data Plane. Innerhalb der Dataplane können Kommunikationsverbindungen zielgerichtet über dedizierte Technologien und die assoziierten Netze etabliert werden. Eine dieser Technologien kann dann eine QKD-gesicherte Netzwerkverbindung sein. Diese wird – gesteuert durch die Control Plane – immer dann genutzt, wenn für den Zugriff eines Subjects auf eine Ressource eine Verbindung mit erhöhtem Sicherheitsbedarf benötigt wird.
Und damit schließt sich der Kreis – Quanten im Netz verbessern die Sicherheit einer Zero Trust Sicherheitsarchitektur.
Die Ableitung einer konkreten Vorgehensweise aus einer übergeordneten Strategie ist eine komplexe Aufgabe, die aber für die Erreichung der in der Strategie festgelegten Ziele eine unabdingbare Voraussetzung ist. Das ist für die Umsetzung einer Zero Trust Sicherheitsstrategie nicht anders als für die Umsetzung politischer und verwaltungstechnischer Strategien. Deshalb ist es sinnvoll erprobte Vorgehensweisen zur Umsetzung von Handlungsstrategien auch im Umfeld der IT-Sicherheit anzuwenden.
Die Zero Trust Sicherheitsarchitektur ist eine Strategie zur Bewältigung von IT-Sicherheitsherausforderungen in einem organisatorischen Umfeld welches durch Veränderung, Unsicherheit, Komplexität und Mehrdeutigkeit geprägt ist. Die Bewältigungsstrategie Zero Trust baut dafür auf dem Prinzip der minimalen Autorisierung im Zugriff auf Geräte, Netzwerke und Dienste auf. Dazu verwendet es ein logisches Modell bei dem der Zugriff eines Subjektes auf ein Objekt durch einen Kontrolldienst gesteuert wird, der seine Freigabe durch einen Verwaltungsdienst erhält.
Aus dieser IT-Sicherheitsstrategie und -architektur lassen sich drei große technische Handlungsfelder ableiten: Das dynamische Verifizieren der Identität und die Entwicklung eines Vertrauensmodells, die Verwaltung des Zugangs zu einem Netzwerksegment und die Gestaltung von Netzwerkübergängen sowie die Einführung von Netzwerksegmentierungen zur Isolation von Diensten und Prozessen im Datacenter . Diese drei Handlungsfelder lassen sich wiederum durch weitere technische Maßnahmen vertiefen und umsetzen.
Auf die einzelnen Handlungsfelder wird detailliert in einem weiteren Blog-Post eingegangen.
Dieser lösungsorientierten Sicht auf die Architektur stehen die in der Strategie beschriebenen Sicherheitsziele gegenüber. Auf oberster Ebene lassen sich diese aus den IT-Sicherheitszielen der Autorisierung, der Integrität und der Verfügbarkeit ableiten. Diese Ziele werden mit verschiedenen Messgrößen, im Allgemeinen der Time to Detect, Time to Resolve, Time to Contain, Time to Acknowledge und der Time to Failure gemessen.
Um aus den Zielen und den möglichen Handlungsfeldern eine priorisierten Handlungsempfehlung zu entwickeln ist ein weiterer Schritt notwendig. In diesem werden zwei Beziehungen – innerhalb und zwischen den Zielen und Maßnahmen – betrachtet: Die Ursache-Wirkungsbeziehung und die Reifegrad-Potential Beziehung. In der Ursache-Wirkung Beziehung wird beschrieben wie stark die jeweiligen Handlungsfelder auf den Zielkanon einzahlen, wie effektiv sie also sind. In der Reifegrad-Potential Beziehung wird abgebildet, ob ein Ziel überhaupt noch Verbesserungspotential besitzt oder ob es bereits durch andere, nicht im Fokus liegende Maßnahmen erreicht wurde.
Gerade bei der Umsetzung von Sicherheitsmaßnahmen ist es wichtiger, das Potential eines Zieles als die Priorität eines Zieles zu betrachten, bestimmt das schwächste Glied einer Sicherheitskette doch die Gesamtsicherheit und macht damit die Priorisierung der IT-Sicherheitsziele obsolet.
Ziele, Maßnahmen, Potentiale und Wirkbeziehungen ergeben dann in der Summe eine Matrix aus der auf Basis der in der Strategie definierten Ziele eine priorisierte Liste der Maßnahmen abgeleitet werden kann. Somit ergibt sich eine argumentationsfeste – weil individualisiert und bedarfsorientierte – Ableitung konkreter Umsetzungsmaßnahmen aus einer übergeordneten IT-Sicherheitsstrategie. Diese Maßnahmen können dann in Form von Einzelprojekten mit den bekannten Methoden des Projektmanagements umgesetzt werden.
Auch erfahrene Manager in Deutschland stehen heute vor einer neuen Herausforderung – Sie müssen ihre Organisationen in einer neuen Welt leistungs- und sogar überlebensfähig erhalten. Diese neue Welt wird im Branchenjargon auch als VUCA-Welt bezeichnet. VUCA steht dabei für Volatility, Uncertaincy, Complexity und Ambigiotus, also für die permanenten Veränderungen, die Unsicherheiten, die steigende Komplexität und Mehrdeutigkeiten unserer heutigen Lebensumstände. Diese zu bewältigen gelingt nicht mehr mit den eingelernten Methoden der stabilen, wachstumszentrierten Umwelt.
Das Gegenstück zu diesen Herausforderungen sind vier Bewältigungsstrategien: Adaption, Information, Abstraktion und Konzentration. Adaption heisst, sich auf veränderte Rahmenbedingungen einzustellen, sich anzupassen, agil zu agieren und dies als Fähigkeit in einer Organisation zu implementieren. Unsicherheit entsteht in der Regel durch Unwissenheit, deshalb ist Information der Schlüssel zum Verständnis und zur Bewältigung der Unsicherheit. Die Fähigkeit Situationen zu abstrahieren, Muster zu erkennen und Lösungen auf der Metaebene zu entwickeln hilft dabei Komplexität zu verarbeiten. Im Gegensatz dazu vermeidet die Konzentration auf Konkretes und Erkanntes dabei sich nicht von Mehrdeutigkeiten ablenken zu lassen, sondern Schwerpunkte zu setzen und erfolgreich wirksam zu sein.
Diese Kombination aus Adaption, Information, Abstraktion und Konzentration oder englisch Adaption, Information, Abstraction und Concentration ergibt dann AICA, das Gegenstück zu VUCA.
Auch die Situation in der IT-Sicherheit ist eine VUCA-Umgebung. Angriffstechniken entwickeln sich ständig weiter werden komplex, Angriffsvektoren sind volatil. Zu schützende Systeme werden komplexer – nicht zuletzt durch die erweiterten Nutzungsszenarien wie das Homeoffice oder mobiles Arbeiten. Technologien – z.B. AI – können sowohl zur Verteidigung als auch zum Angriff genutzt werden, erzeugen dadurch Mehrdeutigkeiten. Und die Informationsüberflutung im IT-Umfeld führt zum Wahrnehmungsmangel und damit zur Unsicherheit.
Die Mitigationsstrategie zu Bewältigung der VUCA Herausforderung an die IT-Sicherheit ist die Zero Trust Sicherheitsarchitektur. Im Gegensatz zum eher statischen Perimeterschutz fokussiert Zero Trust auf die dynamische Kontrolle des Zugriffs von Nutzern, Diensten und Geräten auf Anwendungen, Dienste und Infrastrukturen. Damit ist Zero Trust ein Architekturmodell – und findet sich somit sowohl im Identity- und Access Management oder in der Datacenter Mikrosegmentierung, aber auch in der Netzwerk-Zonierung wieder. Dabei sind die Ausprägungen komplementär und können parallel und integriert betrieben werden.
Zero Trust implementiert das AICA Prinzip. Das grundlegende Konzept der Kontrolle des Zugriffs ist nicht auf spezifische Anwendungen oder Infrastrukturen beschränkt, die Fokussierung auf die Kontrolle der Interaktion ermöglicht eine agile Implementierung in wechselnden Umgebungen.
Die Kontrolle des Zugriffs erfolgt nicht statisch, sondern bedient sich verschiedener Informationen, vom Gerätzertifikat über das originäre Netzwerk bis zur Uhrzeit des Zugriffs. Der Authorisierungsprozess ist also informationsgetrieben.
Durch die feingranulare, dynamische Zugangskontrolle und die Mikrosegmentierung der Kommunikation im Datacenter reduziert sich die die Angriffsfläche einer Attacke. Fokussierung auf das notwendige – Zugang nur wenn nötig – ist ein Kernprinzip einer Zero Trust Sicherheitsarchitektur.
Zero Trust ist ein Concept of Operations (CONOPS). Als solches abstrahiert es die Sicherungsmechanismen von den Betriebsmechanismen und etabliert eine zusätzlicher Sicherheitsschicht, unabhängig von Anwendungen und bestehenden Systemen.
Die Wirkmechanismen einer Zero Trust Sicherheitsarchitektur entsprechen also dem AICA Prinzip zur Bewältigung der Herausforderungen einer sich verändernden, unsicheren, komplexen und mehrdeutigen (VUCA) Geschäftswelt. Cisco unterstützt die Gestaltung und Realisierung einer Zero Trust Sicherheitsarchitektur nicht nur durch Dienstleistungen, sondern auch durch eine für das Zero-Trust Prinzip validierte Sicherheitsplattform. Dabei sind insbesondere die Lösungen Secure Access (erweitertes Identitätsmanagement), Secure Network (Netzwerksicherung) und Secure Workload (Datacentersicherung) zu nennen, die das Netzwerkportfolio ergänzen.
Seit langem bin ich mit meiner Frau im Trekking unterwegs. Die GTA, der Alta Via Uno, der Nortkalottruta und Kungsleden, der AT, PCT und der John-Muir-Trail sind meine Freunde geworden. Und über die Jahre habe ich eine Prioritätenliste entwickelt, die nicht nur mein direktes Handeln unterwegs, sondern auch meine Ausrüstung und meine Streckenwahl bestimmt: Gesund – Trocken – Warm – Satt. In dieser Reihenfolge verteile ich meine Ressourcen.
In Trekkingausrüstung gedacht bedeutet das: Notfallpäckchen (Allzeit-Bereit-Päckchen :b), Regenjacke/Biwacksack, Daunenjacke/Schlafsack und die BP-5 Kekse. Oder in (Notfall)-Aktionen: Erste-Hilfe, Schutz suchen, warm halten und Kekse essen. Und dann in Ruhe weiterplanen oder nach Hilfe suchen.
Haben wir das schon mal durchgespielt? Leider ja. Ein gesundheitliches Problem auf dem John-Muir-Trail zwang uns zur Unterbrechung. Also 1) Gesundheitsversorgung – soweit möglich, 2) einen Platz für das Biwak suchen, 3) Zelt aufbauen, einrichten und im Schlafsack entspannen. Dann 4) den Kocher anwerfen und Essen vorbereiten. Pause. Am nächsten Tag sind wir dann ruhig weitergegangen.
Kann man dieses Modell auf die IT-Sicherheit übertragen? Ich denke ja.
Gesund. Das System funktioniert. Eine IT-Sicherheit die veraltet ist, nur einen Teil der Systemumgebung abdeckt, nicht integriert ist oder Lücken hat ist nicht zielführend. Es gilt also, die vorhandenen Sicherheitsmassnahmen funktionsfähig und effizient zu halten.
Trocken. Keine Beeinträchtigung durch externe Einflüsse. Der Perimeter- und Endpunktschutz verhindert Standard-Angriffe von aussen, sichert den Betriebsstatus. Eine Zero-Trust Architektur unterstützt das und gewährleistet die Handlungsfähigkeit
Warm. Wärme gewährleistet Handlungsfähigkeit und schafft Übersicht. Gibt die Ruhe um die Fakten zu analysieren und die Situation zu überdenken. Die Visibilität über den Zustand der Systeme – Network, Workload, Workplace Visibility – ist das sicherheitstechnische Äquivalent. Hier greift zum ersten mal die Künstliche Intelligenz ein, analysiert und bewertet was ein Mensch übersehen kann.
Satt. Energie von aussen. Baut auf und erweitert die Aktionsmöglichkeiten. Das Äquivalent der IT-Sicherheit ist Information oder spezieller: Bedrohungsinformation. Denn ich kann nur bekämpfen was ich kenne und sehe. Hier greift zum zweiten mal die Künstliche Intelligenz, macht aus unbekanntem bekanntes und damit etwas, was bewältigt werden kann.
Cisco Security Lösungen arbeiten in allen Bereichen. SecureX sichert die Gesundheit, ist ein Bindeglied, das den Zugang zu allen Lösungskomponenten gewährleistet. Secure Firewall und Secure Endpoint halten trocken, sichern das IT-System vor bekannten Angriffen. Secure Network Analytics und Secure Workload halten warm, schaffen Sichtbarkeit und Handlungsfähigkeit. Und die Talos Threat Intelligence sättigt, liefert den kritischen Informationsvorsprung um komplexe Lagen zu bewältigen.
