Was ist das Zero-Trust-Modell?

Mit dem Zero-Trust-Modell bezeichnet man ein IT-Sicherheitskonzept, bei dem nur unternehmensinternen Geräten, Nutzern oder Diensten vertraut wird. Außenstehenden Entitäten wird also misstraut.

Ziel ist es dabei das Risiko für Netzwerke und Anwendungen innerhalb der eigenen Unternehmung zu minimieren und insbesondere interne Gefahrenpotenziale auszuschließen. Gerade Insider-Angriffe sowie kompromittierte Geräte und Dienste im internen Netz stellen immer noch eine der größten Sicherheitsrisiken dar.

Grundsätze des Konzeptes

Wie bereits dargestellt liegt ein Grundsatz darin keinem außerhalb des eigenen Netzwerkes zu vertrauen. Daraus lassen sich Maßnahmen ableiten wie die Authentifizierung sämtlicher Anwender und Anwendungen und die grundsätzliche Verschlüsselung des Datenverkehres. Dieser könnte möglicherweise ansonsten von Dritten abgehört und manipuliert werden. Dabei ist außerdem die Verschlüsselung auf Anwendungsebene sowie auf den Speichergeräten erforderlich.

Daneben sind Maßnahmen zu ergreifen, benötigte Zugriffsrechte auf Dienste, Anwendungen und Geräte möglichst feingranular und genau zu definieren, damit unbefugte Zugriffe und Änderungen vermieden werden können.

Entscheidend ist die Gleichbehandlung aller Geräte, Dienste und Anwender insbesondere im Hinblick auf die allgemeinen IT Sicherheitsgrundsätze Vertraulichkeit, Integrität und Verfügbarkeit.

Unterschiede dieses Modells zu traditionellen Ansätzen

Sind Geräte und Benutzer erst einmal im Netzwerk angemeldet behandeln herkömmliche Sicherheitskonzepte diese Geräte grundsätzlich aus vertrauenswürdig. Somit stößt ein potenzieller Angreifer, ist er erstmal mit einer Entität Teil des Netzwerkes, auf keine großen Schwierigkeiten mehr, da entsprechende Authentifizierungs- und Autorisierungsmechanismen in der Regel nur auf eingehenden Datenverkehr ausgerichtet sind. Beim Zero-Trust-Modell werden nicht nur die Netzerwerkgrenzen sondern das gesamte System auch im Innenverhältnis geschützt.

Praktische Umsetzung

Eine “buchstabengetreue” Umsetzung des Zero-Trust-Modells erfordert einen erheblichen Aufwand. Im Sicherheitskonzept müssen alle IT bezogenen Komponenten erfasst und kontrolliert werden. Netzwerke müssen, um ein abestuftes Sicherheitskonzept umsetzen zu können in der Regel segmentiert werden, d.h. je nach Verwendung und Aufkommen des Datenverkehrs werden beispielsweise virtuelle Netzwerke erzeugt, die gegenüber den anderen Netzwerken dann mittels Firewall und IDS Systemen abgegrenzt werden können.

Bei der Auswahl der technisch organisatorischen Maßnahmen zur Gewährleistung von IT Sicherheit im Unternehmen sollte das Zero-Trust-Modell nur dann in Erwägung gezogen werden, wenn andere Konzepte wie ISIS12 oder ISO 27001 aus Gründen des Datenschutzes nicht ausreichend sind.

Google Chrome und Firefox entfernen grüne Adressbar

In den bekannten Browsern Chrome und Firefox entfällt mit Beginn des Jahres 2020 bei zukünftigen Versionen ein oft unbemerktes, aber wichtiges Sicherheitsmerkmal. Die Anzeige der grünen Adressbar. Diese zeigte an, wenn eine Webseite über ein EV SSL Zertifikat verfügte. Der Besucher hatte so die Sicherheit, hinter der Webadresse steht ein seriöses Unternehmen oder Organisation. Im Sinne der Websicherheit eine gute Idee, die nun ein Ende findet.

Webseiten und ihre Angebote

Jeder Anbieter im Internet steht vor dem Problem der Glaubwürdigkeit seines Angebotes und der Sicherheit der Kommunikation. Denn wer ein Produkt oder Dienstleistung online erwirbt, muss seine persönlichen Daten an einen für ihn unbekannten Server übermitteln. Abgefragt werden:

  • vollständiger Name
  • postalische Anschrift
  • Geburtsdatum
  • Bankverbindung oder Kreditkartennummer für die Zahlungsweise
  • gegebenenfalls Kopie des Personalausweises

Gespeichert werden übermittelte Daten meistens in strukturierten Datenbanken, die wiederum mit einem Warenwirtschaftsprogramm beim Anbieter verbunden sind.

Es steht somit die Sicherheit auf der Seite des Webseitenbesuchers zur Diskussion. Denn der Anbieter möchte gerne sein Produkt oder Dienstleistung verkaufen und nicht in Verbindung gebracht werden mit unseriösen Angeboten.

Die Definition der Anbieterseite

Bislang geht die Diskussion von einer sicheren Kommunikation zwischen Webseite und Besucher überwiegend von einem Onlineshop aus. Hier findet bei Kauf eines Produktes ein Vertragsverhältnis statt und die übermittelten Daten gelten als schutzbedürftig. Dabei liegt der Fokus auf eine sichere Verbindung zwischen Besucher und der Anbieterseite.

Jetzt sind die meisten Webseiten aber kein Onlineshop, sondern präsentieren spezielle Informationen zu einem Thema, wie beispielsweise Fotografie, Autos oder Reisen. In den jeweiligen Artikeln eingebunden befinden sich oftmals Werbebanner. Somit sind solche Webseiten ebenfalls Anbieter. Denn angeboten werden Werbeanzeigen, wo der Besucher von sich aus aktiv die Werbung anklicken soll. Der Seitenbetreiber erhält als Gegenleistung eine Provision. Mit dieser Betrachtung steigt die Anforderung an eine Vertrauensstellung für den Besucher exponentiell an.

Die Verpflichtung der Seitenbetreiber

Eine Internetseite mit Informationen und Angeboten zu versehen ist dank der heutigen Content Management Systeme, wie zum Beispiel WordPress, Joomla, Typo3, schnell erledigt. Doch jeder Anbieter kennt auch den hohen Aufwand, der für die Sicherheit betrieben werden muss.

Diese Investitionen dürfen aber als Verpflichtung gegenüber dem Webseitenbesucher bewertet werden. Denn erst dadurch ist ein unseriöser Anbieter zu erkennen, da dieser keinen finanziellen Aufwand betreiben wird. Die Absicherung der gegenseitigen Kommunikation über Sicherheitszertifikate und Protokolle wäre ein solcher Aufwand.

Bei zahlreichen Onlineshops ist die IT-Sicherheit auch auf der Anbieterseite gegeben. Wo diese Sicherheit ausgehebelt wird, ist bei den zahlreichen Webseiten wo Werbeanzeigen eingeblendet werden. Hier hat der Webseitenbetreiber meistens keinen Einfluss auf die geschalteten Anzeigen und dem Datenaustausch.

Warum der Besucher ein Recht auf Sicherheit hat

Wer ein Geschäft betritt, hat die Gewissheit, einen geschützten Raum zu betreten. Daher sind zahlreiche Kunden beim Ladenkauf nicht in einer Fluchthaltung. Da wird der Einkaufswagen inklusive Handtasche unbeaufsichtigt stehen gelassen oder die Geldbörse ist deutlich in der Hosentasche zu sehen. Trifft der Kunde dann noch eine ihm bekannte Person, steht einem lockeren Gespräch nebst unbeaufsichtigtem Einkaufswagen nichts im Weg.

Auf diese Gewissheit hat der Besucher und Kunde einer Webseite ebenfalls ein Anrecht. Er hat ein Recht darauf unbehelligt die ihm zur Verfügung gestellten Informationen und Angebote in Ruhe zu begutachten und zu prüfen. Ebenso darf er darauf vertrauen, dass sein lokaler Speicherplatz nicht für das Ablegen von Dateien seitens der besuchten Webseite missbraucht wird. Denn in einem Supermarkt oder Bekleidungsgeschäft erhält der Kunde auch keine personalisierte Wiedererkennungsmerkmale beim Verlassen des Geschäfts.

Die Verwendung von Zertifikaten

Webseiten und Onlineshops leben vom Vertrauen im Internet. Dies wird seit geraumer Zeit mit der Vergabe von Zertifikaten und einer strikteren Kommunikationsverschlüsselung umgesetzt. Die einfachste Änderung war hierbei sicherlich der Umstieg von „http://“ auf „https://“. Angezeigt wird dies in den Browsern durch ein Schlosssymbol in der Adressleiste.

Damit ist jedoch nicht die Authentizität einer Webseite und dessen Betreiber sichergestellt. Es gibt zwar eine Impressumspflicht, doch kaum ein Nutzer prüft diese Angaben. Das wissen auch unseriöse Anbieter. Hier hilft nur die Überprüfung durch eine neutrale Stelle.

Bei der Verwendung von SSL Zertifikaten geht es um folgende Sicherheitsmerkmale:

  • Authentizität die Kommunikation erfolgt tatsächlich mit der in der Adresszeile aufgeführten Domain
  • Verschlüsselung Daten zwischen Empfänger und Absender können nicht manipuliert werden
  • Vertraulichkeit schutzbedürftige Daten wie Passwörter und Kreditkartenangaben werden verschlüsselt übertragen

Die Zertifizierung durch Extended Validation

Mit der Vergabe eines EV SSL Zertifikates soll das Vertrauen im Internet erhöht werden. Bei diesem Zertifikat handelt es sich um eine umfangreiche Prüfung des Betreibers einer Domain. Beantragen kann ein EV SSL Zertifikat nur eine Organisation oder ein wirtschaftlich selbständiges Unternehmen.

Die Prüfung selbst wird durch ein anerkanntes Unternehmen, welches für die Zertifikatsausstellung zugelassen ist, durchgeführt. Vergleichbar mit den bekannten Ratingagenturen Moody’s oder Standard & Poor’s. Der Antragsteller für ein Extended Validation SSL Zertifikat wird nicht nur schriftlich durch den Zertifikataussteller kontaktiert, sondern auch per Telefon oder einem persönlichen Besuch durch einen Mitarbeiter. Damit ist für die Nutzer der Webseite die geforderte Authentizität sichergestellt.

Ist das EV SSL Zertifikat ausgestellt und in die Webseitenverwaltung eingepflegt, erfolgte bei Aufruf der Webseite mit den Browsern Firefox und Google Chrome eine Änderung in der Adresszeile. Diese erschien in grüner Farbe und der Name des Unternehmens wurde angezeigt.

Der Wegfall der grünen Adressbar bei Firefox und Chrome

Im Jahr 2019 gab Google und Firefox bekannt, in den kommenden Browserversionen die grüne Adressbar nicht mehr zu unterstützen. Wie der Pressemitteilung zu entnehmen war, sei die Anzahl der unsicheren Webseiten stark rückläufig und auch die Nutzer würden der Adressbar kaum Beachtung schenken. Bei beiden Browsern wird nun ein grau hinterlegtes Schloss und der Name des Zertifikatinhabers angezeigt.

Zumindest im Firefox lässt sich die grüne Adressbar wieder aktivieren. Dazu wird in der Adresszeile folgendes eingegeben:

  1. about:config
  2. den folgenden Eintrag suchen und auf „True“ ändern: security.identityblock.show_extended_validation

Fazit

Mit dem Wegfall der grünen Adressbar wird die Sicherheit für den Webseitennutzer nicht geringer. Es entfällt zunächst einmal nur ein optisches Signal für eine Webseite, die ihren Nutzern den höchsten Sicherheitsstandard anbietet. Zumindest Firefox bietet eine einfache Lösung an, die grüne Adressbar wieder sichtbar zu machen.

Wichtig für Browserhersteller und Webseitenanbieter ist jedoch die Sicherheit für den Nutzer. Die immer wieder geforderte IT-Sicherheit und das damit verbundene Vertrauen im Internet muss bei allen Überlegungen und Entwicklungen im Vordergrund stehen. Ob die Adressbar dann grün oder grau ist, spielt dabei keine Rolle. Der Nutzer möchte bei Aufruf einer Webseite einen geschützten Raum betreten und sich umschauen und vielleicht auch seine Einkäufe tätigen. Nicht mehr, aber auch nicht weniger.

Erfolgreiches Linux Schulnetz an Trierer Gymnasium

Gemeinsam mit den IT Verantwortlichen eines Trierer Gymnasiums haben wir mit linuxmuster.net ein linuxbasiertes Schulnetzwerk erfolgreich installiert und ausgerollt. Gerade Schulen profitieren von dieser rein auf Linux basierten Lösung. Die Software selbst ist kostenfrei, d.h. bei der Einführung entstehen keine Lizenzkosten. Die lizenzfreie Lösung wurde mehrfach ausgezeichnet und ist gerade im süddeutschen Raum stark verbreitet. Wir unterstützen diese Initiative durch unsere Mitgliedschaft und Bereitschaft an diesem Linuxprojekt aktiv mitzuarbeiten.

Der Mensch und die Vernetzung – Teil 1: Gesunder Umgang mit der Digitalen Welt lernen

Wer kennt das nicht: Ständig gibt das Mobiltelefon Töne von sich, am Rechner häufen sich Nachrichten die beantwortet werden wollen, das Telefon klingelt auch noch. Stress. Die „Vernetzung“ ist überall, ist ominipräsent. Twitter, Facebook, Google, irgendwelche Apps, die einem Tag und Nacht zur Seite stehen (müssen?), Instagram, WhatsApp, möglicherweise Alexa etc. Es ist einfach zuviel; gibt es noch die Pause vor dem Netz, oder sind wir schon vollständig gefangen?

Spätestens wenn man sich nur noch gestresst fühlt und gereizt, wenn wieder das Smartphone anfängt zu bimmeln oder eine Gesundheits-App einem etwas über den gesunden Schlaf sagen möchte, ist es Zeit etwas zu ändern. Alleine mit dem Smartphone beschäftigen Sie sich im Durchschnitt drei Stunden am Tag, wie eine Studie der Uni Bonn 2015 bereits feststellte.

Neben beruflichen Apps und Anwendungen lenkt man sich auch gerne selbst mit Spielen und anderen mehr oder weniger nutzlosen Anwendungen ab. Dass auf Dauer der digitale Stress Spuren hinterlässt ist klar. Daher ist es sinnvoll sich selbst ein wenig zu konditionieren. Im ersten Teil nehmen wir uns das Smartphone vor und beginnen mit einem einwöchigen Experiment, zu dem wir Sie gerne einladen. Dazu benötigen Sie allerdings eine Münze, ein Blatt Papier und einen Stift.

Wir fangen nächsten Montag an. Zur Vorbereitung notieren Sie drei Tätigkeiten, die Sie gerne verrichten oder verrichtet haben und die nicht den Einsatz des Mobiltelefons voraussetzen, auf dem Blatt Papier. Des weiteren eine Uhrzeit in ihrer freien Zeit, die mindestens sechs Stunden vor Ihrer üblichen Schlafenszeit liegen muss.

Sie werden ab nächstem Montag zu der auf dem Blatt notierten Zeit jeden Tag die Münze werfen. Bei Kopf (oder was auch immer heutzutage Kopf auf einer Münze ist) nutzen Sie das Mobiltelefon in der freien Zeit weiter, bei Zahl dürfen Sie es für den Rest des Tages nicht, und integrieren eine der drei aufgeführten Tätigkeiten in Ihre Freizeitgestaltung.

Versuchen Sie eine Woche durchzuhalten, es lohnt sich! Und wir würden uns über einen kurzen Erfahrungsbericht freuen.

Zufriedenheit der Auszubildenden steigern mittels agiler Ansätze

Die Auszubildenden in Deutschland scheinen einer Studie gemäß unzufrieden mit Ihren Lehrstellen zu sein. Erstmals seit Erhebung des DGB Ausbildungsreports 2010 sinkt die Quote der zufriedenen Azubis unter 70 Prozent. Grund dafür seien, laut DGB, unter anderem miserable Ausbildungsbedingungen und eine schlechte Vergütung.

etis bietet seinen Mitarbeitern und Auszubildenden eine Atmosphäre, in dem Teamgeist und agile Unternehmensstrategie nicht nur Buzz Words sind. Alle Mitarbeiter richten sich nach dem Kundeninteresse aus. Die Teambildung erfolgt lösungsorientiert und ohne komplexeren Hierarchien. Dadurch, dass alle Mitglieder bei einer Entscheidung überzeugt werden müssen, kann sich einerseits jeder als vollwertiges Mitglied des Teams fühlen. Andererseits führt dies zu Entscheidungen, die von allen Mitgliedern getragen werden.

Auch und gerade bei Kundenprojekten ist der Teamansatz besonders zielführend, da das Teamziel das ist, was der Kunde an Service oder Produkten haben möchte. Da alle Projekte nunmehr mittels des agilen Ansatzes realisiert werden, besteht jederzeit die Möglichkeit der Anpassung der Anforderungen und der Projektziele. Dadurch entsprechen Entwicklungen dann auch mehr der Lebenswirklichkeit und werden der Tatsache gerecht, dass sich Anforderungen möglicherweise während der Projektlaufzeit ändern, oder vergessen wurden.

Unsere Auszubildenden lernen sehr frühzeitig sich in Projektteams zurecht zu finden. Dadurch ermöglichen wir einen humanistischen aber auch effizienten Weg in eine agile unternehmerische Umwelt.

etis entwickelt neue API für vTiger CRM

Für das beliebte CRM (Kundenbeziehungsmanagement) System vTiger haben wir eine vollkommen neue API (Programmierschnittstelle) entwickelt. Bei der von vTiger selbst zur Verfügung gestellte API bestehen insbesondere Probleme bei komplexeren Abfragen: so kann man beispielsweise keine Abfrage an die API senden, welche Angebote ein Kunde bisher erhalten hat, und welchen Status diese Angebote haben. Diese verschachtelten und komplexen Abfragen sind jedoch mit der von etis entwickelten API möglich.

Diese API basiert auf PHP und ist RESTful. Daneben ist sie mit einem einfach zu bedienenden Installer ausgestattet und besitzt eine OpenAPI Spezifikation. Damit können Entwickler, die die API nutzen, diese vereinfacht ausliefern. Der Kunde ruft über den Webbrwoser einen Link zur Installation der API auf. Diese installiert sich dann selbständig und ist direkt verfügbar.

Mit der etis vTiger API können nun beliebe Drittanwendungen und Apps entwickelt werden. Für weitere Rückfragen zum Thema API oder zur Entwicklung von individuellen Lösungen, nehmen Sie gerne Kontakt mit unserem Support Team auf.

Junge Menschen entwickeln App Idee

Wie gelangt man von einer Idee zu einer Softwarelösung? etis fördert ein Projekt von Schülern und Auszubildenden zur Platzierung einer Veranstaltungs App am umkämpften Softwaremarkt. Unter Anwendung agiler Methoden erarbeiten die Teilnehmerinnen und Teilnehmer selbständig die Anforderungen der Zielgruppen und entwickeln einen ersten Prototypen.

Begleitet wird das Projekt von erfahrenen Projektmanagern und Consultants.

Wir freuen uns, dass wir junge Menschen für zukunftsfähige Ideen gewinnen konnten. Gerade das frühzeitige Erkennen des Nutzens von Teamarbeit, das Handeln als Team, das sich an den Interessen, Wünschen und Erwartungen potenzieller Kunden orientiert, ist für den Erfolg solcher Ideen von unschätzbarer Wichtigkeit.