Security bei der US-Regierung: VPN, SMS-Codes und Passwörter sind out, Zero Trust ist in

Das Weiße Haus hat eine neue Cybersecurity-Richtlinie für Ministerien und Behörden veröffentlicht. Bisherige Sicherheitskonzepte werden umgeworfen.

Eine Analyse von veröffentlicht am
Strategieänderung und Paradigmenwechsel: die neue Security-Richtlinie des Weißen Hauses
Strategieänderung und Paradigmenwechsel: die neue Security-Richtlinie des Weißen Hauses (Bild: Pixabay / Montage: Golem.de)

Die neue Security-Richtlinie Moving the U.S. Government Toward Zero Trust Cybersecurity Principles (deutsch: Die US-Regierung in Richtung Zero-Trust-Cybersecurity-Prinzipien bewegen), die das Weiße Haus für alle Ministerien und Behörden veröffentlicht hat, setzt auf eine Zero-Trust-Strategie. Das Papier beinhaltet aber deutlich mehr als das, was man üblicherweise unter Zero-Trust versteht: Vertraue niemals, verifiziere immer.

Inhalt:
  1. Security bei der US-Regierung: VPN, SMS-Codes und Passwörter sind out, Zero Trust ist in
  2. Passwörter im Fadenkreuz

Vieles, was bisher als Good Practice galt, wird für veraltet erklärt: etwa die Netzwerkabsicherung plus Netzwerkzugang per VPN oder auch Passwörter, insbesondere solche, die Regeln wie zwingend zu verwendenden Zeichentypen unterliegen. Den schon länger aus der Mode gekommenen zeitbasierten Zwang zur Passwortänderung will man ebenfalls nicht mehr haben.

Auch sonst soll sich bei der Multifaktor-Authentifizierung (MFA, darunter fällt als Sonderfall die Zwei-Faktor-Authentifizierung, 2FA) einiges tun: Token per SMS oder per Anruf findet man in Zeiten von SIM-Clone- und SIM-Swapping-Attacken sowie Phishing nicht mehr sicher. Nicht einmal Ansätze wie zeitbasierte Einmalpasswörter (TOTP, Time based One Time Passwords), die beispielsweise mit Android-Apps wie Google Authenticator oder AndOTP generiert werden können, sind für die US-Experten noch zeitgemäß.

Es ist eine Strategieänderung und ein Paradigmenwechsel gleich auf mehreren Ebenen. Unter anderem bedeutet es die Abkehr von der Absicherung ganzer Bereiche (= Netze) hin zur Absicherung einzelner Punkte (= Applikationen oder Informationen). Die Richtlinie geht weg von einem Zwiebelansatz, bei dem es immer noch weitere Sicherheitsschichten nach innen oder außen (oder beides) gibt, hin zu einem Ansatz, sich nur auf eine Absicherung zu verlassen.

Stellenmarkt
  1. IT Support/1st Line Support (m/w/d)
    Olenex Edible Oils GmbH, Brake, Hamburg
  2. IT-Softwareingenieur (w/m/d) 1st Level
    SSI SCHÄFER Automation GmbH, Giebelstadt
Detailsuche

Das hat unter anderem einen psychologischen Aspekt: Zu oft gab es Fälle, in denen eine potenzielle Sicherheitslücke in einer Anwendung von Security-Experten zu wenig ernst genommen wurde, weil ein Angreifer schon in das Netz eingedrungen sein musste, um die Anwendung an sich angreifen zu können.

Bug Bounty statt Hacking-Anklagen

Zudem gibt es weitere Änderungen, die weit über die reine IT hinausgehen. So soll es statt Strafverfolgung von unabhängigen Sicherheitsexperten, die eine Lücke aufspüren, ohne mit einer Untersuchung beauftragt zu sein, ein Bug-Bounty-Programm geben.

Eine dringend notwendige Änderung, brachte doch das bisherige System der Strafverfolgung bei unerlaubtem Zugriff bizarre Fälle hervor. Wie den des Gouverneurs von Missouri, der forderte, einen Journalisten wegen Hacking anzuklagen, weil dieser auf der Website des Bundesstaats Social-Security-Nummern von mehr als 100.000 Angestellten des Staates im HTML-Code gefunden hatte - Hacking durch Drücken von F12 im Web-Browser also.

Das steckt hinter der neuen Richtlinie

Grund für die Strategie-Änderung sind die Vorfälle um Solarwinds, der erfolgreiche Angriff auf die Colonial Pipeline und viele weitere Attacken - einschließlich der während der Ausarbeitung der Richtlinie bekannt gewordenen Log4Shell-Lücke. Daraus abgeleitet wird vor allem, dass man sich nie auf die Sicherheit anderer Komponenten verlassen kann.

Der Ansatz sieht vor, dass einzelne Applikationen das interne Firmennetz immer als kompromittiert ansehen müssen. Dies führt neben der Forderung, dass jeder Datenverkehr - auch der interne - verschlüsselt sein muss, zu dem Schluss, dass eine Perimeterverteidigung des internen Netzes sinnlos oder gar schädlich geworden ist.

Die Überlegung ist, dass durch das Ansehen des internen Netzes als kompromittiertes Netz einzelne Applikationen genauso gut abgesichert sein müssen, als wenn sie im Internet frei erreichbar wären. Sind sie nur aus einem bestimmten Netz zu erreichen, werden Sicherheitslücken, wie oben erwähnt, mit einer höheren Wahrscheinlichkeit als nicht so dringend angesehen. Schließlich ist die Absicherung des Netzwerks immer noch vorgeschaltet. So wirkt sich beispielsweise ein VPN (für den Applikationszugriff von außen) negativ auf die Sicherheit der eigentlichen Applikation aus.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Richtlinie ist die Schlüsselstrategie zur Umsetzung der Executive Order von Präsident Joe Biden, die Cybersecurity der USA zu verbessern. Erarbeitet wurde das Dokument im Office of Management and Budget (OMB, Büro für Verwaltung und Haushalt). Es richtet sich an die Führungsebenen der Ministerien und Behörden des Bundes. Sie haben ab der Veröffentlichung 30 Tage Zeit, Verantwortliche für die Umsetzung der in dem Papier genannten Maßnahmen zu benennen. Weitere 30 Tage später sollen sie konkrete Umsetzungspläne vorlegen.

Nicht nur für Behörden, auch Firmen folgen hoffentlich

"Angesichts zunehmend anspruchsvoller Cybersicherheitsbedrohungen unternimmt die Administration entschlossene Schritte, die Cyberverteidigung der föderalen Regierung zu stärken", sagte die kommissarische OMB-Direktorin Shalanda Young zur Veröffentlichung.

Dabei beschränkt man sich in den Empfehlungen nicht nur auf Behörden, sondern hofft, auch ein Beispiel für andere zu sein. "Bei dieser Zero-Trust-Strategie geht es darum, sicherzustellen, dass die Bundesregierung mit gutem Beispiel vorangeht, und sie markiert einen weiteren wichtigen Meilenstein in unseren Bemühungen, Angriffe von Personen abzuwehren, die den Vereinigten Staaten Schaden zufügen würden", sagte Young.

National Cyber Director Christopher Inglis fügte hinzu, dass dies ein wichtiger Schritt sei, um einen vertretbaren und kohärenten Ansatz für Cyberabwehr zu entwickeln. "Wir warten nicht darauf, auf den nächsten Cyber-Breach zu reagieren. Vielmehr reduziert diese Regierung weiterhin das Risiko für unsere Nation, indem sie proaktive Schritte in Richtung einer widerstandsfähigeren Gesellschaft unternimmt."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Passwörter im Fadenkreuz 
  1. 1
  2. 2
  3.  


interlingueX 12. Feb 2022

Ist Vertrauensfreie EDV-Absicherungsprinzipien nicht etwas griffiger...

Schroeffu 10. Feb 2022

Ein bisschen Unsinn auf VPN zu verzichten und alle Dienste ins Internet setzten aber...

nohoschi 09. Feb 2022

Verstehe, dass Sie Automatisierung und Hardwareabsicherung (Sticks) bevorzugen. Was mir...

FlashBFE 09. Feb 2022

Was du beschreibst (ohne die Passwörter) ist Risk based authentication. Ist ja auch ein...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /