TN hat sich mit diesem Thema bereits mehrfach ausführlich beschäftigt. Letztlich werden die einzigen Personen, die ins Internet gehen können, unabhängig vom Zugangspunkt (5G, 6G, Glasfaser, privates oder öffentliches WiFi), erst einmal eindeutig identifiziert werden müssen. Dazu ist eine persönliche, registrierte ID erforderlich, vergleichbar mit einem elektronischen Reisepass. Kein digitaler Ausweis? Sie nutzen das Internet nicht. Haben Sie eine ID? Jede Aktivität wird nachverfolgt, katalogisiert und gespeichert. Das Militär ebnet den Weg dafür. ⁃ TN-Redakteur
Das Verteidigungsministerium hat endlich seinen Plan für den Schutz seiner Cyber-Netzwerke vorgestellt, nachdem es sich schon seit Jahren dazu verpflichtet hat, diesen Plan umzusetzen.
Das Office of the Chief Information Officer veröffentlichte im November die “Zero-Trust-Strategie des Verteidigungsministeriums”, in der die Kriterien und Fristen für die vollständige Einführung von Zero Trust bis 2027 festgelegt wurden. Cybersecurity-Experten sagten, dass die Regierung und der private Sektor zusammenarbeiten sollten, um die Ressourcen für einen erfolgreichen Einstieg in das neue System zu nutzen.
“Physische Cyber-Bedrohungen für kritische Infrastrukturen sind wirklich eine der größten nationalen Sicherheitsherausforderungen, mit denen wir heute konfrontiert sind, und die Landschaft, mit der wir es zu tun haben, ist noch komplexer geworden”, sagte Nitin Natarajan, stellvertretender Direktor der Agentur für Cybersicherheit und Infrastruktursicherheit, während einer MeriTalk-Veranstaltung im Oktober.
Cyber-Angreifer verfügen über mehr Ressourcen als in der Vergangenheit, und es ist weniger kostspielig, einem unsicheren System großen Schaden zuzufügen, sagte er. Es sind nicht nur einsame Hacker, sondern auch Nationalstaaten und Cyber-Terroristen, die eine Bedrohung darstellen können.
So wurde unter anderem der SolarWinds-Cyberangriff von 2019, der die Abwehr von Tausenden von Organisationen, darunter auch die Bundesregierung, überwunden hat, mit von Russland unterstützten Akteuren in Verbindung gebracht.
Der Grundgedanke der neuen Strategie ist, dass die Sicherheit von Organisationen nicht wie ein Wassergraben um ein Schloss herum behandelt werden kann, um böse Akteure fernzuhalten.
“Sowohl die Eigentümer von Missionen und Systemen als auch die Betreiber nehmen diese Ansicht zunehmend als Tatsache an. Sie sehen den Weg zu [Zero Trust] auch als Chance, die Mission positiv zu beeinflussen, indem sie technologische Modernisierungen in Angriff nehmen, Sicherheitsprozesse verfeinern und die operative Leistung verbessern”, heißt es in dem Dokument.
Eine Null-Vertrauens-Kultur setzt voraus, dass jede Person innerhalb eines Netzwerks davon ausgeht, dass dieses bereits kompromittiert ist, und verlangt von allen Benutzern, dass sie ihre Identität jederzeit nachweisen.
Die Strategie listet Technologien auf, die dabei helfen können, eine Zero-Trust-Umgebung zu kultivieren, wie kontinuierliche Multi-Faktor-Authentifizierung, Mikro-Segmentierung, fortschrittliche Verschlüsselung, Endpunktsicherheit, Analytik und robuste Audits.
Während diese verschiedenen Technologien zur Umsetzung dieser grundlegenden Prämisse verwendet werden können, bedeutet dies im Wesentlichen, dass “Benutzer nur auf die Daten zugreifen können, die sie benötigen und wenn sie benötigt werden.”
Die Strategie stützt sich auf vier Säulen: Akzeptanz der Zero-Trust-Kultur, Operationalisierung von Zero-Trust-Praktiken, Beschleunigung der Zero-Trust-Technologie und abteilungsweite Integration. In der Strategie wird darauf hingewiesen, dass die IT-Abteilungen im gesamten Pentagon zwar Produkte kaufen müssen, dass es aber keine einzige Fähigkeit gibt, die alle Probleme lösen kann.
Während die Ziele vorschreiben, “was” zur Erreichung des Ziels getan werden soll, schreiben sie nicht vor, “wie”, da die DoD-Komponenten die Ziele möglicherweise auf unterschiedliche Weise umsetzen müssen”, heißt es in der Strategie.
Für den Technologiebereich fordert die Zero-Trust-Strategie des Pentagons eine schnellere Verbreitung von Fähigkeiten bei gleichzeitigem Abbau von Silos. Fähigkeiten, die eine einfachere Architektur und ein effizientes Datenmanagement fördern, seien ebenfalls wichtig, heißt es in dem Dokument.
Während viele Methoden zur Authentifizierung von Nutzern verwendet werden können, fordert die Integrationssäule die Erstellung eines Beschaffungsplans für Technologien, die bis Anfang des Fiskaljahres 2023 abteilungsweit skaliert werden können.
Eine bereits laufende Technologieentwicklung ist der Thunderdome, ein Vertrag im Wert von 6,8 Millionen Dollar, der Anfang dieses Jahres an Booz Allen Hamilton vergeben wurde. Laut einer Pressemitteilung der Defense Information Systems Agency soll die Technologie den Zugang zum Secure Internet Protocol Router Network, dem geheimen Informationssender des Pentagon, schützen.
Es wird nicht möglich sein, jede ältere Plattform vollständig mit einer Technologie wie der Multi-Faktor-Authentifizierung nachzurüsten, heißt es in der Strategie. In der Zwischenzeit können die Dienststellen jedoch Schutzmaßnahmen für diese weniger modernen Systeme einführen.
Die Säule der Sicherung von Informationssystemen erfordert auch die Automatisierung von Operationen der künstlichen Intelligenz und die Sicherung der Kommunikation auf allen Ebenen.
Die Automatisierung von Systemen ist ein wichtiger Bestandteil von Zero Trust”, so Andy Stewart, Senior Federal Strategist beim digitalen Kommunikationsunternehmen Cisco Systems und ehemaliger Direktor des Fleet Cyber Command/U.S. Tenth Fleet. Wenn die Prozesse, die hinter Zero Trust stehen, nicht gut funktionieren, kann es für die Mitarbeiter schwierig werden, die Technologie zu nutzen und die Zero-Trust-Mentalität zu übernehmen.
“Bei Zero Trust geht es nicht nur um die Erhöhung der Sicherheit, sondern auch um die Frage, wie man effizienter arbeiten kann”, sagte er. “Die Nutzererfahrung sollte eine Stimme bekommen.”
Während die Strategie einen Wendepunkt für die Bemühungen markiert, hat das Pentagon den Weg zu Zero Trust schon vor Jahren eingeschlagen. In seiner Digitalen Modernisierungsstrategie von 2019 wird Zero Trust als ein neues Konzept erwähnt, das es “erforscht”.
Die Akzeptanz strengerer Cybersicherheitsmaßnahmen durch die Null-Vertrauens-Mentalität ist etwas, woran das Marine Corps durch Aufklärung und Bewusstseinsbildung gearbeitet hat, sagte Renata Spinks, stellvertretende Direktorin und stellvertretende Chief Information Officer of Information, Command, Control, Communications and Computers und amtierende Senior Information Security Officer.
“Wir verbringen viel Zeit mit der Aufklärung, denn wenn die Leute wissen, was sie tun und warum sie es tun, dann werden sie meiner Erfahrung nach viel eher mitmachen als sich zu wehren”, sagte sie.
Das Zero-Trust-Mandat der Regierung von Präsident Joe Biden aus dem Jahr 2021 war ein Geschenk des Himmels”, weil es den Mitarbeitern des Marine Corps, die die Notwendigkeit einiger IT-Initiativen vielleicht nicht verstanden haben, eine Rechtfertigung lieferte, sagte sie.
Eine erfolgreiche Zero-Trust-Implementierung wird die Bedrohungen für einige der kritischsten Arten von Fähigkeiten reduzieren, auf die sich die Streitkräfte in Zukunft verlassen werden: Cloud, künstliche Intelligenz und Command, Control, Communications, Computer und Intelligence.
Das Militär benötigt die Hilfe von Verteidigungsunternehmen, um sensible Daten zu schützen, so Spinks. Die Industrie kann dem IT-Personal des Militärs dabei helfen, zu verstehen, wie man mit der Art von Daten arbeitet, die sie bereitstellen werden, und auf wie viele Daten das Militär Zugriff haben muss.
“Kein Vertrauen wird nicht erfolgreich sein, wenn wir keine Hilfe bei der Verwaltung von Identitäten bekommen”, sagte sie.
Das Marineinfanteriekorps hat in jüngster Vergangenheit einen Datenbeauftragten eingestellt, der von den Auftragnehmern wissen könnte, wie viel Zugriff das Militär benötigt, um die besten Möglichkeiten zur Klassifizierung und Verwaltung der Daten des Dienstes zu finden, sagte sie.
Die Strategie des Pentagons sieht vor, dass der ortsunabhängige Zugriff auf sichere Daten den Angehörigen des Militärs und den Mitarbeitern der Verteidigungsindustrie, die außerhalb der Geschäftszeiten und an entfernten Standorten arbeiten, zugute kommt.
Der Vorstoß für Zero Trust unterscheide sich von anderen Cybersicherheitsinitiativen, weil er mit Nachdruck verfolgt werde, fügte Spinks hinzu. Die Führungsebene hat Richtlinien und Verfahren festgelegt und ist bereit, dafür zur Rechenschaft gezogen zu werden, sagte sie.
“Cybersicherheit ist kein billiges Unterfangen. Aber ich denke, was die Sache wirklich vorantreibt, ist der bösartige Gegner und all die Aktivitäten nicht nur auf Bundesebene, sondern auch auf staatlicher und lokaler Ebene”, sagte sie.
Bessere Cybersicherheitspraktiken werden auch benötigt, um Lieferketten zu sichern, so Natarajan. Das Pentagon hat sich in den letzten Jahren intensiv damit befasst, diese widerstandsfähiger zu machen, insbesondere bei kritischen Technologien wie Halbleitern.
“Wir wissen, dass dies von böswilligen Cyber-Akteuren ausgenutzt wird, um eine Menge Risiken für Dritte auszunutzen, nachdem sie die Lieferkette eines Unternehmens angegriffen haben”, sagte er.
Das ist ein weiterer Grund, warum die Regierung nicht allein arbeiten kann, fügte er hinzu.
“Wir betrachten dies nicht nur aus einer sektoralen Perspektive, sondern auch aus der Perspektive nationaler kritischer Funktionen”, sagte er.
Die CISA hat im Oktober Leistungsziele für die Cybersicherheit veröffentlicht, an denen sich Unternehmen messen lassen können. Obwohl sich die Leistungsziele nicht speziell auf Zero Trust beziehen, sind sie für Unternehmen unabhängig von ihrer Größe gedacht.
“Wir sehen diese Ziele wirklich als ein Minimum an Cyberschutz an, das den Rest der Betreiber kritischer Infrastrukturen reduziert”, sagte er. “Aber letzten Endes haben wir damit auch Auswirkungen auf die nationale Sicherheit und die Gesundheit und Sicherheit der Amerikaner im ganzen Land.
Der private Sektor wiederum braucht die Investitionen der Regierung in Bildung und Ressourcen, um seine Cyber-Arbeitskräfte aufzubauen.
“Der Cyberspace umfasst nicht nur die Hardware und Software, die Technologie, Ihre Tablets, Ihre iPhones, Ihre Technologie, sondern auch die Menschen. Menschen haben den Cyberspace entwickelt. Menschen nutzen den Cyberspace. Wir befinden uns im Cyberspace”, sagte Kemba Walden, stellvertretender Hauptdirektor des National Cyber Director’s Büro, während der MeriTalk-Veranstaltung.
Das National Cyber Director’s Büro, das noch nicht voll funktionsfähig ist, wurde 2021 eingerichtet, um die Führung in Cyberfragen auf Bundesebene zu übernehmen und unter anderem die erste nationale Cybersicherheitsstrategie zu entwickeln.
Genauso wichtig wie die umfassende Strategie wird das nationale Dokument zu Arbeitskräften und Bildung sein, das nach der Cybersicherheitsstrategie veröffentlicht wird, so Walden.
“Wir haben uns umgesehen und festgestellt, dass etwa 700.000 Arbeitsplätze in den USA, in denen das Wort Cyber vorkommt, unbesetzt sind”, sagte sie. Diese Zahl stammt aus dem Bericht 2022 des Marktforschungsunternehmens Lightcast, der auf Daten aus dem Jahr 2021 basiert.
“Als Anwältin für Cyberfragen und nationale Sicherheit macht mir das Angst”, sagte sie. “Das ist aus meiner Sicht ein nationales Sicherheitsrisiko.”
In den letzten Jahren sind Organisationen wie die Joint Cyber Defense Collaborative und das Cybersecurity Collaboration Center der National Security Association entstanden, um den Bedarf zu ermitteln und Feedback von großen Unternehmen zu sammeln, sagte sie.
“Das sind die Arten von Kooperationsbemühungen, die meiner Meinung nach notwendig sind, um die öffentlich-private Zusammenarbeit und den Informationsaustausch insgesamt weiterzuentwickeln”, sagte sie.
Letztlich kommen die Vorteile von Zero Trust laut dem Dokument auch den Soldaten zugute.
So sind beispielsweise die gemeinsamen Bemühungen des Pentagons um eine bereichsübergreifende Befehls- und Kontrollstruktur – die darauf abzielt, Sensoren und Schützen miteinander zu verbinden und gleichzeitig künstliche Intelligenz für die Entscheidungsfindung einzusetzen – auf die Sicherheit dieser Daten angewiesen. Wenn sie in die falschen Hände geraten, können die militärischen Führer keine Informationsherrschaft erlangen, heißt es in der Strategie.
“Wir müssen sicherstellen, dass böswillige Akteure, die versuchen, unsere Zero-Trust-Verteidigung zu durchbrechen, sich nicht mehr frei in unseren Netzwerken bewegen und unsere Fähigkeit gefährden können, den Kriegsteilnehmern maximale Unterstützung zu bieten”, so Chief Information Officer John Sherman in der Strategie.
