Ende des Jahres 2022 hatte ich die Ehre John Kindervag den Gründer des Zero Trust Framework zu treffen und mich einen Tag mit Ihm über das gesamte ZTF und potentielle Adaptionen für den europäischen Raum auszutauschen.

Im Kern des ZTF liegt das Mantra „Vertraue Niemanden!„, die Absicherung der „Kronjuwelen“ (Protection Surfaces) einer Organisation über alle Lebenszyklen hinweg und die Annahme es ist bereits ein „Angreifer“ in der Organisation.

Dies bedeutet man muss sich mit Themen wie unter anderem Segmentation/Micro-Segmentation, Identity-Access-Management, Strong Authentication/Authorization, Zugangssteuerungen, Asset-Klassifikationen und noch vieles mehr befassen.

Allerdings sehen die Möglichkeiten im europäischen Raum durch Regulation und Regulatorischen/Gesetzlichen Anforderungen etwas anders aus als beispielsweise in den USA.

So sprach ich mit John auch über potentielle TLS-Interception. Diese Praktik ist in den USA Gang und Gebe und ein elementarer Bestandteil in der Sensorik/Erkennung bei einer ZTF-Journey. Nur stellt dies beispielsweise in Deutschland für viele Organisationen eine Herausforderung dar.

Denn hierzulande gibt es unter anderem das Telekommunikationsgesetz usw. welches eine generelle TLS-Interception verbietet. Die Antwort von John viel dementsprechend aus und er sagte zu mir

„Stefan but, then you are totally blind!“

So sieht es leider in den meisten Fällen neben einigen anderen Hürden in Deutschland aus, ja! Mit diesem Hintergrund im Kopf muss also für eine mögliche Zero Trust Adaption umgedacht wer. Fortan stellen wir die Identität in den Mittelpunkt unseres tuns!

„The Identity is the new Security Perimeter!“

„The Zero Trust Framework is an Identity-Centric security concept that requires all services, users and devices to be authenticated/authorized and audited with every access.“