Zero Trust ist in der Security-Branche ein bekanntes Konzept, das für viele Unternehmen zu einem grundlegenden Bestandteil ihrer Sicherheitsstrategien geworden ist. Das Prinzip: traue nichts und niemandem und gebe nur denen Zugriff, die vertrauensvoll sind. [...]
Zusammengefasst geht es dabei darum, ein Unternehmen und eine Organisation vor Cyber-Gefahren maximal zu schützen, indem man den Zugriff auf das Netzwerk und die Informationen über diverse technologische Ansätze radikal begrenzt. Das legt einen Paradigmenwechsel im gesamten Sicherheitskonzept zugrunde.
Nicht zu verwechseln allerdings ist Zero Trust mit Zero Knowledge. Während Zero Trust in den letzten beiden Jahren zu einem Hype-Thema in der Security avancierte, ist Zero Knowledge weitgehend unter dem Radar geblieben, obwohl es von entscheidender Bedeutung für die Eindämmung von Datenverletzungen ist.
Was verbirgt sich hinter Zero Knowledge?
Zero Knowledge ist ein Sicherheitsmodell, das ein einzigartiges Verschlüsselungs- und Datentrennungskonzept zum Schutz vor Datenschutzverletzungen einsetzt. Das Zero-Knowledge-Modell folgt definierten Grundsätzen:
- Die Daten werden auf der Geräteebene ver- und entschlüsselt, nicht auf dem Server
- Die Anwendung speichert niemals Klartextdaten (für den Menschen lesbar)
- Der Server empfängt niemals Daten im Klartext
- Kein Mitarbeiter oder Mittelsmann kann die unverschlüsselten Daten einsehen
- Die Schlüssel zum Ent- und Verschlüsseln von Daten werden aus dem Master-Passwort eines Benutzers abgeleitet
- Die mehrschichtige Verschlüsselung bietet Zugriffskontrolle auf Benutzer-, Gruppen- und Verwaltungsebene
- Die gemeinsame Nutzung von Daten verwendet Public Key Cryptography für eine sichere Schlüsselverteilung
Zusammengefasst: Wenn der Slogan von Zero Trust lautet: “Vertraue nichts und niemandem”, dann lautet der Slogan von Zero Knowledge: “Wir wissen nichts, und wir können nicht auf Ihre Daten zugreifen“.
Zero Knowledge ist besonders wichtig für Sicherheitsanbieter und Organisationen, die mit dem Schutz der Daten ihrer Kunden betraut sind. So ist gewährleistet, dass die Endnutzer die einzigen sind, die auf ihre Daten zugreifen können.
Selbst wenn in das Unternehmen, das die Daten speichert, eingebrochen wird, sind die Endnutzer nicht gefährdet, da nicht einmal das Unternehmen selbst auf die Daten zugreifen kann, geschweige denn ein Dritter, wie beispielsweise ein Cloud- oder SaaS-Dienstleister.
Zero Knowledge ist ein wichtiger Teil einer Security-Strategie
In der digitalen Welt werden die persönlichen Daten des typischen Verbrauchers von einer schwindelerregenden Anzahl von Unternehmen gespeichert und verarbeitet, von denen viele die Daten für Marketing- und Werbezwecke nutzen.
Ein großer Teil dieser Daten besteht aus hochsensiblen persönlichen Informationen, die im Falle eines Verstoßes das Risiko eines Identitätsdiebstahls bergen. Doch die überwältigende Mehrheit dieser Endnutzer weiß nicht, wie ihre Daten gespeichert werden oder ob ihre digitalen Informationen sicher sind.
Bekannt wird die Brisanz zumeist erst dann, wenn Schlagzeilen wieder einmal von einem Datendiebstahl berichten und sich Personen fragen, ob auch ihre Daten entwendet wurden – die Sorge ist umso größer, wenn es sich dabei um Daten für den digitalen Zahlungsverkehr handelt.
Datenschutzverletzungen in Unternehmen sind nicht nur für die Kunden eine schlechte Nachricht, sondern haben auch negative, mitunter katastrophale Auswirkungen auf das betroffene Unternehmen sowie auf seine Mitarbeiter und Partner.
Datenschutzverletzungen untergraben das Vertrauen, beeinträchtigen das Image eines Unternehmens und lassen das Unternehmen hohe Kosten für die Schadensbegrenzung, hohe Geldstrafen für Verstöße gegen die DSGVO und andere Datenschutzvorschriften sowie Klagen von betroffenen Personen befürchten.
Verschärft wird das Problem durch die immer strengere Geschäftsführerhaftung, die eine Datenschutzverletzung automatisch nicht nur zum Problem einer Organisation macht, sondern unmittelbar auch für jeden einzelnen im Management.
Wenn das Unternehmen jedoch eine Zero-Knowledge-Architektur korrekt implementiert hat, sind auf der Client-Seite alle Kundendaten verschlüsselt. Im Fall einer Sicherheitsverletzung, sei es durch einen externen Bedrohungsakteur oder einen böswilligen Insider, sind die einzigen “Daten”, die gefährdet sind, verschlüsselter Text, auch Chiffriertext genannt.
Ein solcher besteht aus einer Reihe von zufälligen Buchstaben und Zahlen, die von Menschen oder Maschinen nicht gelesen werden können. Zero Knowledge in Verbindung mit einer Zero-Trust-Sicherheitsarchitektur ist derzeit der bestmögliche Weg, um Nutzerdaten sowie das Unternehmen und dessen Management zu schützen.
Erkennen, ob ein Unternehmen Zero Knowledge ist
Wenn große Technologieunternehmen wie Apple, Google oder Signal mit Funktionen wie der End-to-End-Verschlüsselung werben, liegen die Vorteile auf der Hand: Die Endnutzer möchten nicht, dass jemand anderes auf ihre E-Mails, Textnachrichten, Fotos oder andere persönliche Kommunikation zugreift. Die gleiche Garantie für den Schutz der Privatsphäre sollte für jedes Unternehmen gelten, das über Nutzerdaten verfügt, egal ob es sich um eine Social-Media-Plattform oder einen Arbeitsplatz handelt.
Das ist jedoch nicht immer der Fall. Zwar nehmen viele Unternehmen die Datensicherheit sehr ernst, doch ebenso viele gehen leichtfertig mit den Nutzerdaten um, darunter auch einige Unternehmen, die von sich behaupten, Zero Knowledge umzusetzen.
Obwohl SSL/TLS und das grüne Schloss auf Websites Zeichen für wichtige Sicherheitsmaßnahmen sind, müssen die Verbraucher verstehen, was das grüne Schloss tatsächlich schützt – nämlich lediglich die Daten, die zwischen dem Verbraucher und der Website oder App übertragen werden. Die Daten werden entschlüsselt, sobald sie den vorgesehenen Empfänger erreichen und sind als lesbare Klartextdaten wieder einem deutlich höheren Risiko ausgesetzt.
Ein weiteres Problem kann entstehen, wenn Anbieter angeben, dass sie eine “vollständige Festplattenverschlüsselung” auf allen Servern haben. Die Schwierigkeit besteht darin, dass die Verschlüsselungsschlüssel im Eigentum des Anbieters sind. Möglicherweise werden diese sogar in derselben Datenbank gespeichert, die auch die Benutzerdaten enthält.
Das ist so, als würde man Wertsachen in einen Tresor einschließen, dann die Kombination auf ein Stück Papier schreiben und an die Vorderseite der Tresortüre kleben. In einer Zero-Knowledge-Umgebung hingegen speichert der Anbieter die Verschlüsselungsschlüssel nicht und hat keinesfalls Zugang zu ihnen.
Wie kann ein Laie erkennen, ob eine Organisation, die behauptet, Zero Trust zu haben, dies auch wirklich umsetzt? Folgend einige Warnsignale, auf die Nutzer sorgsam achten sollten:
- Wenn das Unternehmen dem Nutzer oder Kunden Informationen über Daten per E-Mail zusenden kann, handelt es sich wahrscheinlich nicht um Zero Knowledge.
- Wenn irgendeine Art von In-App-Trackern oder Nutzungsanalysen existieren, ist es wahrscheinlich nicht Zero Knowledge.
- Wenn der Anbieter Daten sinnvoll verarbeiten kann (KI, Analysen, automatisierte Arbeitsabläufe), handelt es sich wahrscheinlich nicht um Zero Knowledge.
Mehr Sicherheit für alle Seiten
Eine Zero-Knowledge-Architektur, insbesondere in Verbindung mit Zero Trust, kann die meisten Datenschutzverletzungen verhindern oder zumindest deren Auswirkungen drastisch minimieren. Passwörter, Adressen, Handynummern und andere personenbezogene Daten tauchen nicht von selbst im Dark Web auf: Jemand hat diese Informationen von einem Anbieter gestohlen, der sie gespeichert hat.
Dieser “Jemand” könnte sogar ein böswilliger Insider sein. Datenschutzverletzungen und ihre Auswirkungen könnten weitaus seltener und weniger schwerwiegend ausfallen, wenn mehr Unternehmen Zero Knowledge einsetzen würden.
Jedes Unternehmen, das sensible Daten speichert, und das sind heutzutage so ziemlich alle, sollte die Einführung einer Zero-Knowledge-Architektur in Erwägung ziehen. Für Anbieter von Sicherheitslösungen, wie etwa Unternehmen und Anbieter für die Passwortverwaltung, sollte dies eine Selbstverständlichkeit sein.
Die Benutzer setzen sehr viel Vertrauen in die Sicherheit ihrer Passwörter und sie wollen alle ihre Daten geschützt wissen – nicht nur ihre Passwörter. Es ist ebenso wichtig, dass Bedrohungsakteure keinen Zugriff auf Gesundheitsdaten, Kreditkarten, Fotos, Videos und Sofortnachrichten oder andere Kundeninformationen haben.
Zero Trust gewährleistet die Sicherheit der Kundendaten. Es kommt auch den allgemeinen Sicherheits- und Compliance-Bemühungen eines Unternehmens zugute – insbesondere der Einhaltung von Datenschutzvorschriften wie der DSGVO. Zero-Knowledge bedeutet Sicherheit für alle Seiten.
*Darren Guccione ist CEO und Mitbegründer von Keeper Security
Be the first to comment