Mikrosegmentierung verteilter Netze auf Basis explizit hergeleiteten Vertrauens
Obwohl Unternehmen und Behörden mit marktüblichen Sicherheitssystemen geschützt sind, werden sie täglich Ziel von Hackerangriffen. Haben Kriminelle sich einmal Zugang zu einem System in einem Netzwerk verschafft, können sie sich, unter Ausnutzung von Sicherheitslücken, meist sehr weitgehend in den Netzen ihrer Opfer ausbreiten. Die Ursache für die hohe Erfolgsquote dieses Vorgehens ist das derzeitige Vertrauensmodell, das den Standardverfahren der Netzwerksicherheit zugrunde liegt. Es unterteilt Netzwerke in “nicht vertrauenswürdige” und “vertrauenswürdige” Zonen und erlaubt innerhalb vertrauenswürdiger Zonen eine nahezu ungehinderte Kommunikation auf Netzwerkebene. Die einzelnen Zonen werden am Perimeter durch Firewalls getrennt. Hat ein Angreifer Zugang zu einer Zone erlangt, kann er über das Netzwerk andere Systeme derselben Zone angreifen. Das Konzept der “vertrauenswürdigen Netze” und der Perimeter-Sicherheit müssen daher als unzureichend erachtet werden.
Im Vorhaben "Mikrosegmentierung verteilter Netze auf Basis explizit hergeleiteten Vertrauens (XTmicroseg)“ wird eine innovative Zero-Trust-Technologie entwickelt, die das Vertrauen der Kommunikationsteilnehmenden durch identitätsbasierte (Mikro-)Segmentierung herleitet. Statt Kommunikationsteilnehmenden das implizite Vertrauen aufgrund ihres Standortes auszusprechen, wird diese Praxis durch explizites Vertrauen anhand der kontinuierlichen Überprüfung statischer und dynamischer Merkmale ersetzt. Zu den Merkmalen zählen etwa die Identität des Nutzers, der Sicherheitszustand der beteiligten Systeme oder der Kontext der Systeme zum Zeitpunkt des Zugriffs. Es sollen Softwarelösungen für alle gängigen Betriebssysteme entwickelt werden, die plattformspezifische Informationen erfassen können, wie beispielsweise den Sicherheitsstatus oder die Endgeräteeigenschaften. Diese Daten sollen regelbasiert ausgewertet und zur dynamischen Berechnung von Zugriffsrechten, Risikoprofilen und Sicherheitswarnungen verwendet werden. Zusätzlich soll ein zentraler Verwaltungsdienst zur Messung, Kategorisierung und Orchestrierung von Verbindungen entwickelt werden. Dieser kann auch alternative Verbindungen über Zwischenstationen herstellen, wenn eine Direktverbindung aus Sicherheitsgründen nicht möglich ist.
Die im Projekt entwickelte Lösung soll zunächst als technologische Weiterentwicklung von VPN-Produkten vermarktet und als Cloud-Lösung sowie lokal installiertes Produkt nutzbar sein. Hauptzielgruppe sind KMU und öffentliche Einrichtungen, die ihr Schutzniveau erhöhen wollen. Die Entwicklung von Lösungen für Netzwerkzugänge der nächsten Generation stärkt die technologische Souveränität Deutschlands und Europas. Durch den Schwerpunkt auf Benutzerfreundlichkeit, Einfachheit und sicheren Standardkonfigurationen wird IT-Sicherheit so gestaltet, dass sie für alle gut nutzbar ist.