ERNW-Interview

Cyberviren, Cryptolocker, Ransomware & Co. lauern überall. Hochgekochte Hektik oder kommen verstärkt ernstzunehmende wirtschaftliche Risiken auf den Mittelstand und Konzerne zu? Im Interview mit Matthias Luft, Geschäftsführer bei ERNW GmbH in Heidelberg, gehen wir dieser und weiteren Fragen auf den Grund.

Herr Luft, es vergeht mittlerweile kaum ein Tag, ohne dass wir von Cyberviren, Cryptolocker, Ransomware, Trojaner & Co. hören. Laut BSI ist die Zahl bekannter Schadprogrammvarianten in 2016 weiter gestiegen und lag im August 2016 bei mehr als 560 Millionen. Hochgekochte Hektik oder kommen verstärkt ernstzunehmende wirtschaftliche Risiken auf den Mittelstand und Konzerne zu?
Wir würden die reine Anzahl bekannter Malware nicht überbewerten, da hier je nach Methodik auch Varianten einer Malware-Familie mit nur geringfügigen Veränderungen gezählt werden. Unabhängig davon sehen wir in den IT-Umgebungen unserer Kunden weiterhin viele Malware-Infektionen, die jetzt auf Grund der stärkeren Vernetzung, beispielsweise auch produktionsnaher Systeme, in höheren auch direkt wirtschaftlichen Auswirkungen resultieren.

ERNW befasst sich seit mehr als 16 Jahren mit den Themen IT-Sicherheit, Cyber Security und Präventionsmaßnahmen für B2B- Unternehmen. Was hat sich rückblickend geändert, auf welche neuen Risiken und besondere Anforderungen stoßen Sie heute, wenn Sie für Ihre Kunden tätig sind?
Wie in der vorigen Frage erwähnt nimmt die Vernetzung der Systeme immer noch zu und wird teilweise auch direkter. Wo früher produktionsnahe Systeme bspw. nur indirekt über Steuerungs-PCs ans Netz angebunden waren sind diese heute teilweise direkt ans Netz angeschlossen. Dies trifft ebenso für Geräte im „Internet of Things“ zu und erhöht deren Exponiertheit und damit auch Angreifbarkeit massiv.

Zusätzlich hat sich die Komplexität von IT-Systemen exponentiell erhöht, so dass die Absicherung oder Prüfung deutlich umfangreicheres Spezialwissen erfordert als noch vor wenigen Jahren. Ein Beispiel sind moderne Applikationsplattformen und Entwicklungsframeworks, die flexible und schnelle Entwicklung ermöglichen, in sich aber komplex und damit schwer zu beherrschen sind. Gleichzeitig resultiert diese Möglichkeit der schnellen Entwicklung natürlich auch in einem erhöhten Grad kontinuierlicher Veränderung, was die Betrachtung von IT-Sicherheit als Prozess und nicht als einmalig definierten und geprüften Zustand nochmals wichtiger macht.

Treffen Sie auf Unterschiede in der Awareness beim Thema IT-Sicherheit, wenn Sie sich mit mittelständischen Unternehmen und Konzernen unterhalten? Sind Konzerne deutlich offener, Cyber Security zur Chefsache zu erklären und auch entsprechend zu investieren als der Mittelstand?
Wir können keine Korrelation von Awareness und Unternehmensgröße feststellen.

Welches sind die gängigsten Schwachstellen mit denen Sie in Prüfung und Beratung für Kunden konfrontiert werden?
Ein sehr gängiges Muster ist die initiale Kompromittierung eines Internet-exponierten Systems über Standard-Accounts mit schwachen Passwörtern oder eine Schwachstelle in Web Applikationen oder einem veraltetem Applikationsserver/-framework. Nachgelagert findet dann eine Ausnutzung der neuen Privilegien (Zugang zu Server-System, Auslesen gespeicherter Credentials, privilegiertere Netzwerkposition im Zielnetzwerk – das sogenannte Lateral Movement) statt, worüber erfahrungsgemäß weite Teile typischer Netzwerke kompromittiert werden können. Die Schwachstellen die beim Lateral Movement ausgenutzt werden würden sich dann als unzureichende Netzwerkisolation/-filterung sowie unzureichende Trennung/Schutz administrativer Accounts zusammenfassen lassen.

Landläufig kursiert scheinbar gerade bei mittelständischen Unternehmen die vorherrschende Meinung, dass „in meiner Firma so etwas noch nie passiert ist“ und entsprechende Sicherheitsmaßnahmen zur Gefahrenabwehr ohnehin viel zu teuer sind. Wenn es dann zu schwerwiegenden Attacken durch Trojaner, Viren und Würmer kommt, ist das Geschrei groß und die Konsequenzen, auch finanziell, hart. Deckt sich das in etwa mit Ihren Erfahrungen?
Unseren Erfahrungen nach ist das Verständnis für die Notwendigkeit von IT-Sicherheit vorhanden, allerdings haben wir prinzipbedingt auch selten mit Unternehmen zu tun die keinerlei Interesse an IT-Sicherheit haben. Incident Response Fälle in Umgebungen in denen IT-Sicherheit bis zum betrachteten Incident gar keine Rolle spielt treten auf, stellen sich für uns aber als Einzelfälle dar. Einzelne Bereiche der IT-Sicherheit werden dagegen manchmal bis zu einem Vorfall ignoriert obwohl typische Sicherheitsprobleme bekannt sind. Ein Beispiel hierfür ist die Absicherung des Active Directory, die bis vor ca. zwei Jahren nur im Fokus weniger Unternehmen stand.

Nichts ist so stetig wie der Wandel. Dieses Bonmot gilt besonders für die IT- und Kommunikationsbranche. Technologien und Trends wie Robotics, autonomes Fahren, E-Mobility, Mixed Reality, KI, Internet of Things (IoT), 3 D Druck, Hybrid Cloud Computing und Virtualisierung fräsen sich teilweise hochtourig in unsere Welt und unseren Alltag. Unsere Gesellschaft treibt regelrecht in die Digitalisierung. Branchen, Produkte und Services werden zunehmend transformiert. Jeder Trend verspricht große Chancen, birgt aber auch viele Risiken. Gibt es aus Ihrer Sicht einen Security Masterplan, um zumindest einen Großteil der Technologien, Produkte und Services, die auf uns zurollen, abzudecken und damit Sicherheitsrisiken deutlich zu minimieren oder raten Sie eher dazu, jede individuelle Anforderung genau unter die Lupe zu nehmen und zu analysieren?
Es gibt viele Security-Prinzipien die teilweise schon in den 70er- und 80er-Jahren entwickelt wurden und grundlegend auch noch auf moderne Technologien angewendet werden können. Methoden zur sicheren Software-Entwicklung existieren ebenfalls seit vielen Jahren und resultieren entgegen der landläufigen Meinung ja auch in positiven Ergebnissen (Beispiele sind etwa qmail oder OpenSSH). Moderne Betriebssysteme bringen bereits viele Schutzmechanismen mit, die die Ausnutzung bestimmter Implementierungsschwachstellen deutlich erschweren. Warum diese Prinzipien und Methoden die Sicherheit von IT-Technologien noch nicht zu einem hohen Grad verbessert haben ist nicht monokausal und würde den Umfang dieses Interviews sprengen – vorausgesetzt, die Frage kann überhaupt erschöpfend beantwortet werden. Daher würden wir raten die Umsetzung bekannter Sicherheitsprinzipien, -methoden und -mechanismen pro Anforderung zu prüfen. Erschwert wird dies durch die unzureichende Transparenz vieler Software-/Hardwarehersteller oder Service-Provider, die Kunden gegenüber nicht nachvollziehbar dokumentieren welche Sicherheitsarbeit geleistet wurde und der Kunde diese Evaluation somit selbst durchführen muss. Hier raten wir dazu, bei der Auswahl von Produkten oder Providern die Transparenz im Bereich IT-Sicherheit zu einem ausschlaggebenden Auswahlkriterium zu machen.

Eine der boomenden Technologien in Deutschland ist das Cloud Computing. Kaum eine Dienstleistung im IT-Sektor wächst seit den letzten drei Jahren so stark. Immer mehr Unternehmen, insbesondere auch der Mittelstand, setzen auf die Cloud. Was sind die größten Vorteile der Cloud?
Der physisch sichere Betrieb von IT-Infrastruktur (bspw. mit Hinblick auf Umwelteinflüsse oder physischen Zugriff) bindet in vielen Unternehmen noch viel Expertise, ist aber potentiell zu einem höheren Grad gelöst als die Sicherheit des gesamten IT-Stacks bis hin zur Anwendungsebene. Die Nutzung der Cloud ermöglicht es Unternehmen grundlegende Bereiche des IT-Betriebs auszulagern, deren Sicherheit periodisch zu validieren, und den eigentlichen Fokus auf andere Bereiche des IT-Stacks zu legen, wo unserer Erfahrung nach heute die Mehrheit der Schwachstellen existiert. Weiterhin bieten viele Cloud-Umgebungen die Möglichkeiten an, die IT-Umgebung programmatisch zu definieren – zusammengefasst als Infrastructure-as-Code. Dieses Prinzip kann ebenfalls intensiv dazu genutzt werden, die IT-Sicherheit zu verbessern.

Was halten Sie von Security aus der Cloud bzw. Security as a Service?
Wir stehen “IT-Sicherheit als Kaufprodukt” allgemein kritisch gegenüber, da häufig die falsche Annahme getroffen wird, dass ein gekauftes Produkt oder Service ein Sicherheitsproblem generisch und ohne Mitwirkung der speziellen Umgebung lösen kann. Tatsächlich erfordern die meisten Sicherheitslösungen aber dennoch Expertise aus der betroffenen Umgebung. Wenn diese Tatsache ausreichend beachtet wird und (auch bei ausgelagerten/eingekauften Services) Aufwand für kontinuierliche Anpassung und Betrieb eingeplant wird, können Security Services effektiv genutzt werden.

Hosting-Anbieter in Deutschland unterliegen bereits strengen Vorschriften, was Datenschutz und -sicherheit angeht. Welche Vorteile sehen Sie, wenn Unternehmen auf IT-Dienstleistungen von Rechenzentrumsanbietern zurückgreifen und die dort vorhandenen Sicherheitsstrukturen insbesondere im Netzwerk-Bereich nutzen?
Ähnlich zu Aspekten aus vorherigen Fragen kann auch hier die Abgabe von Verantwortlichkeit (konkret: Betrieb von Netzwerkanbindung inkl. entsprechender Mechanismen zur Ausfallsicherheit sowie Betrieb der Komponenten zur Netzfilterung) dazu genutzt werden, Expertise für unternehmensspezifische Aufgaben statt auf generische Betriebsaufgaben zu verwenden. Solche unternehmensspezifische Aufgaben können die eigentliche Pflege und Konfiguration von Regeln zur Netzfilterung umfassen, die ohne entsprechendes Domänenwissen schwer möglich ist.

Welche Ratschläge haben Sie bezüglich Endpoint Security, Data Loss Prevention und Data Encryption?
Das Thema Endpoint Security ist leider sehr komplex und noch nicht zufriedenstellend gelöst. Eine zentrale Rolle spielt dabei die hohe Exponiertheit der Nutzer sowie ein unzureichender Zustand des E-Mail Ökosystems, der es Nutzern nicht erlaubt, qualitativ hochwertige Phishing- oder Malware-Mails als solche zu identifizieren. Zwar existieren Technologien und Produkte um die Vertrauensbeziehungen in der E-Mail-Welt zu verbessern, jedoch erfordern diese teilweise einen hohen Verbreitungsgrad bevor tatsächliche Verbesserungen zu spüren sind. Daher würden wir Unternehmen auf jeden Fall sehr grundlegend empfehlen, das E-Mail-System intensiv zu analysieren; relevante Rollen können dabei DKIM/SPF/DMARC sowie das grundlegende Handling von E-Mail Anhängen spielen. E-Mail Anhänge sind zwar in vielen Unternehmen absolut geschäftskritisch, dennoch aber das überwiegende Einfallstor für Kompromittierungen. Wir raten also dazu, alternative Dateiübertragungswege (wie bspw. authentifizierte Web-Austauschplattformen) zumindest zu evaluieren – mit dem primären Fokus auf Nutzbarkeit und Nutzer-Akzeptanz!
Weiterhin sollte evaluiert werden, ob ein nutzbares Application Whitelisting auf Client-Systemen etabliert werden kann. Auch hier muss gelten, dass die Nutzer dadurch idealerweise wenig eingeschränkt werden, was bspw. durch einen unternehmensinternen „AppStore“ unterstützt werden kann. Die Nutzer sollten ebenfalls die Möglichkeit haben sinnvoll mit ihren Credentials umgehen zu können, dies umfasst die Bereitstellung nutzbarer Passwort-Safes und einer Online-Rechte-Verwaltung.

Welche profunden, einfach umzusetzenden Tipps können Sie Endanwendern in Unternehmen geben, um mögliche Sicherheitsrisiken weitgehend zu vermeiden?
Wie in der vorherigen Frage erwähnt würden wir raten mit E-Mail-Anhängen sehr kritisch umzugehen und diese nach Möglichkeit gar nicht zu öffnen sowie empfangenen Links nicht zu folgen, da gute Phishing-Mails für Endanwender schwer bis gar nicht identifizierbar sind. Weiterhin sollte ein Passwort Safe verwendet werden und automatische Updates für kritische Komponenten wie Browser, Betriebssystem, PDF Reader und Office Software aktiviert sein.

Welche Rolle spielen Hosting Provider im Bereich Cloud Computing, insbesondere, wenn es um sicherheits- und haftungsrelevante Aspekte für Kunden geht?
Die Nutzung grundlegender IT-Services durch externe Anbieter kann dazu genutzt werden, den Betrieb auf physischer Ebene validiert einzukaufen und so technische Expertise für andere IT-Security-Fragestellungen und -Aufgaben einsetzen zu können. Haftungsrelevante Aspekte müssen wir zur Klärung Juristen überlassen.

Was halten Sie von dedizierten Systemen und Netzen, die Rechenzentrums- anbieter Ihren Kunden anbieten, um eine möglichst hohe Sicherheit zu gewährleisten?
Der Hypervisor als Grundlage für Virtualisierung (und damit auch die meisten Cloud-Umgebungen) stellt eine zusätzliche Angriffsoberfläche. Angriffe die einen Ausbruch aus der virtualisierten Umgebung ermöglichen existieren ebenfalls und werden auch gehandelt. In einer Gesamt-Risikobetrachtung haben die meisten Umgebungen dennoch dringendere Herausforderungen als eine möglichst granulare Aufteilung der Virtualisierungsfarmen. Wenn die dringenderen Risiken jedoch bereits adressiert sind, ist die Verfügbarkeit dedizierter Systeme eine relevante Anforderung, um das Gesamt-Risikoniveau weiter zu senken.

Inzwischen gibt es zahlreiche etablierte Security-Produkte und Firewall-Lösungen von namhaften Herstellen wie Sophos, Palo Alto und Cisco. Eine gute IT-Sicherheitsinfrastruktur setzt auch bei Netzwerken und Switchen an. VMware mit NSX gilt als einer der Pioniere im Bereich Netzwerk Virtualisierung, Stichwort SDN (Software Defined Networking). Welche möglichen Effekte und Vorteile versprechen Sie sich von dieser neuen Technologie? Wie hoch ist bisher der Verbreitungsgrad?
Der Verbreitungsgrad ist noch sehr niedrig, die meisten Umgebungen evaluieren die Technologie jedoch. Den Sicherheitszustand der Lösung an sich können wir noch nicht bewerten, die angebotenen Features können allerdings dazu genutzt werden, Netz-Filterungsmaßnahmen an ein Endsystem und nicht eine bestimmte Netzkomponente zu binden. Diese Bindung an Netzkomponenten führt zu hohen operativen Aufwänden, was mit NSX deutlich reduziert werden könnte. Die Abwägung des Aufwandes für den Betrieb von NSX gegenüber dem Aufwand für die Filterungs-Verwaltung muss dabei individuell getroffen werden.

Gibt es eine Art Benchmark im Sinne von einem empfohlenen Invest bezüglich Cyber Security pro User pro Jahr, mit dem ein mittelständisches Unternehmen ungefähr kalkulieren kann?
Keine uns bekannte zuverlässige Kennzahl die wir empfehlen könnten. Wir raten hierbei zu einer für das Unternehmen individuellen Risiko-Analyse.

Deutschland gilt international als eines der Vorbilder, was den Datenschutz und entsprechende Gesetze und Richtlinien, u.a. KRITIS, angeht. Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Was ist neu und welche Herausforderungen entstehen für Unternehmen, um beispielsweise deutlich höhere Bußgelder bei Verstößen zu vermeiden?
Der deutsche Datenschutz stellt bereits hohe Anforderungen an Unternehmen, so dass diese grundsätzlich gut vorbereitet sind. Eine vollständige Betrachtung der Änderungen würde eine deutlich umfangreichere Veröffentlichung erfordern, die grundlegendsten Neuerungen bestehen jedoch in den bereits angesprochenen, zukünftig möglichen Bußgeldern, der Notwendigkeit Data Breaches zu melden und umfassendere Dokumentationspflichten.

Wie können sich Firmen am besten jetzt schon auf das neue Gesetz vorbereiten? Wo können sie sich Unterstützung holen, auch von entsprechenden Verbänden und Behörden?
Die relevanteste Unterstützung werden zukünftig sogenannten Codes of Conduct bieten, die praxisnahe Richtlinien zur Umsetzung der Verordnung bieten sollen. Entsprechende Dokumente oder Zertifizierungen existieren allerdings noch nicht. Ebenso existieren noch keine Präzedenzfälle, die unserer nicht-juristischen Erfahrung häufig dafür herangezogen wurden, die Notwendigkeit von Maßnahmen zu bewerten. Daher stellt sich für uns die gemeinsame Bearbeitung des Gesetzestextes durch Juristen und Techniker als zielführendste Option dar. Glücklicherweise ist der Gesetzestext mit 88 Seiten vergleichsweise überschaubar und auch auf Deutsch verfügbar.

Haben Sie ein Best Business Case aus der Praxis eines smarten Unternehmens, das mit einem relativ überschaubaren Budget, geringen Aufwänden und guten Security Produkten seine IT-Landschaft unter Sicherheitsaspekten gut aufgestellt hat?
Ein sehr positives Beispiel war der Ansatz eines Unternehmens eine Netzwerkanomalie-Erkennung basierend auf offenen Lösungen zu implementieren und das sogenannte Baselining, also die Identifikation des grundlegenden Normalzustandes, selbst und menschengesteuert durchzuführen. Dieser Ansatz hat in der direkten Evaluation im Vergleich zu diversen Produktlösungen, die automatische Anomalieerkennung versprechen, zu deutlich besseren und nachhaltigeren Ergebnissen geführt. Auf der Ebene der gesamten IT-Security-Organisation kennen wir ein großes Unternehmen, das seine IT-Security Arbeit ganz an agilen Entwicklungsmethoden ausgerichtet hat, ihre Security Experten aktiv in die Entwicklungsteams integriert, Sicherheits-Anforderungen auf Belts (in Analogie zu Kampfkünsten) heruntergebrochen hat und Prüfungen kontinuierlich während der Entwicklung durchführt.

Herr Luft, wir danken Ihnen für dieses spannende Gespräch!

ERNW ist ein herstellerunabhängiges Beratungs- und Prüfungshaus mit den
Schwerpunkten Netzwerk- und Applikationssicherheit. Das Unternehmen
wurde 2001 gegründet und beschäftigt aktuell 63 Mitarbeiter. Viele
Mitarbeiter verfügen über mehr als 10 Jahre Erfahrung in Design,
Implementierung, Betrieb und Sicherung sehr großer Organisationsnetze.

Das kontinuierliche Wachstum seit Gründung wurde und wird komplett aus
eigenen Mitteln und Gewinnen finanziert; es gibt keinerlei externe
Beteiligungen oder Abhängigkeiten. Zu den Kunden zählen insbesondere
Banken & Versicherungen, Telekommunikationsanbieter/Provider und
Industrie-konzerne.

Inzwischen besteht ERNW aus vier Firmen:

• ERNW Enno Rey Netzwerke GmbH: Das ursprüngliche Unternehmen ist für die
  Durchführung der Security Assessments und Consulting verantwortlich.
• ERNW Research: Durchführung von forschungsorientierten Projekten (dies
  umfasst bspw. auch die [Weiter-] Entwicklung von Methodiken).
• ERNW Insight: Verantwortlich für die Veranstaltung der hauseigenen
  IT-Sicherheitskonferenz TROOPERS, weitere kleinere Konferenzen sowie
  Schulungen/Webinaren.
• ERNW SecTools: Entwicklung von Software-Produkten im Bereich IT-Sicherheit.

Matthias Luft ist einer der beiden Geschäftsführer von ERNW und Security Consultant.