Das Katz und Maus Spiel gewinnt an Geschwindigkeit und Komplexität
Es gibt nicht mehr nur eine „Line Of Defense“
Waren früher lediglich E-Mails und der Internetzugang die beiden Einfallstore für Viren und Hacker, so hat sich die Anzahl der Angriffsvektoren in kurzer Zeit vervielfacht. Die Anwender benutzen unterschiedlichste Messenger Dienste. Die klare Trennung zwischen privater und beruflicher Nutzung verschwimmt. Eine Spielwiese für Angreifer, wenn es um Social Engineering, Auskundschaften oder um Malware Angriffe geht – Cyber Security im Remote, Cloud und Social Media Zeitalter.
Netzwerke und dahinter liegende Infrastrukturen erfahren zunehmend immanente Lücken durch den Einsatz von Cloud, Remote und Social Media Anwendungen. Jürgen Renfer, CISO, Kommunale Unfallversicherung Bayern
Es haben sich Zwei wesentliche Angriffsmotive herauskristallisiert: Datendiebstahl und/oder Erpressung von Lösegeld. Auf der einen Seite gibt es hochgerüstete Security Appliances, auf der anderen Seite bleibt das schwächste Glied der Kette der Mensch. Dieser wird durch einen unbedachten Klick einer nicht erkannten Fake-E-Mail Handlanger eines Angreifers, um Schadcodes in das Unternehmen zu schleusen. Helmut Waitzer, Leiter IT, Wolf Theiss
Unter Advanced Persistent Threats werden Bedrohungen subsumiert, die vom Angreifer hohes technisches Know-how erfordern und sich nicht auf eine einzelne Maßnahme beschränken. Angreifer bereiten sich immer gezielter auf bestimmte Opfer vor. Sie kennen die richtigen Personen und ihre Schwachstellen. Sie kundschaften Architekturen und Systemlandschaften aus. Sie tun dies über Monate, bevor sie zuschlagen.
Typischerweise werden Plattformen wie LinkedIn und XING genutzt, um ein Unternehmen und dessen Strukturen auszuspähen. Eintrittskarte der Verbrecher sind dabei gefälschte Profilangaben. Die solcherart erlangten Infos werden dann etwa genutzt, um per CEO-Fraud-Versuch Zahlungsströme umzuleiten.
Prof. Thomas R. Köhler
Oft wird nur der E-Mail-Verkehr und dessen Gefahren betrachtet, jedoch kann Malware auch über Messenger, Social Media Plattformen, Filesharing und/oder Collaboration Plattformen übertragen werden. Da auch hierbei der Faktor Mensch eine große Rolle spielt, ist die Frage zu stellen, inwieweit Userrechte in Bezug auf Datenaustausch eingeschränkt werden müssen – dies nur auf E-Mails zu beziehen, ist mittlerweile zu wenig. Der Arbeitsort bzw. das Gerät darf aus Sicht der Security keinen Unterschied mehr machen. Helmut Waitzer, Leiter IT, Wolf Theiss
Die Vielzahl an involvierten Herstellern, Produkten und neuen Bezugsmöglichkeiten von IT und Software haben zur Folge, dass nicht mehr nur das Unternehmen und seine Mitarbeiter ein Ziel für die Angreifer darstellen. Gezielt werden Schwachstellen von Standardprodukten genutzt oder sogar still und heimlich zur späteren Nutzung eingebaut. Bevor eine solche Kompromittierung von Lieferanten aufgedeckt wird, steht der Gegenseite ein Zugang offen, der mit herkömmlichen Maßnahmen weder aufspürbar noch durch Policies und Awareness Maßnahmen abzuwehren ist.
War es früher mit einer klassischen Firewall getan, so muss man heute auch all die neuen, potenziellen Angriffsvektoren betrachten. Wie sehr das Katz und Maus Spiel an Geschwindigkeit zugenommen hat, sieht man auch sehr gut an der zuletzt bekannt gewordenen Exchange Schwachstelle. Walter Hölblinger, Security Evangelist
Beim Sprint ins Homeoffice ist einiges auf der Strecke geblieben
Innerhalb weniger Monate hat sich die Arbeitswelt 2020 verändert. Mitarbeiter wurden aus den Büros abbestellt und arbeiten seither im Home-Office. Die Voraussetzungen dafür waren in vielen Unternehmen bereits vorhanden, aber nicht für den flächendeckenden Einsatz, vorbereitet. Es mussten rasch zusätzliche Lizenzen, Endgeräte und Connectivity geschaffen werden. Wie so oft bei Hauruck Aktionen, kamen dabei Security und Compliance auch manchmal zu kurz. Hier muss jetzt nachgeschärft werden.
Gerade in der ersten Welle der Pandemie haben viele Unternehmen überhastet große Teile ihres Personals ins Homeoffice geschickt. Nicht immer war Zeit für eine saubere Konfiguration. Derartige Provisorien haben die Tendenz dauerhaft zu werden – zumindest bis zum ersten Cybersicherheitsvorfall. Ebenso wurden in der Pandemie Konzepte, die längst in die Mottenkiste gehören, wieder ausgegraben. Etwa wie das unselige BYOD (Bring Your Own Device) Konzept, das nun dem ein oder anderen Unternehmen auf die Füße fällt. Nur eine strikte Trennung betrieblicher Endgeräte und Access vom privaten Umfeld liefert das notwendige Maß an Sicherheit. Prof. Thomas R. Köhler
Die Zusammenarbeit mittels Videoconferencing Tools, Cloudservices und Homeoffice bildet an sich schon Angriffsflächen der verschiedensten Art. Enorm gesteigert wird das daraus resultierende Risiko durch den Druck, möglichst schnell auf neue Arbeitsweisen wie Homeoffice oder Distance Learning umzusteigen. Alles, was schnell und einfach zu verwenden ist, wird genutzt. Gefahren werden vernachlässigt, um möglichst schnell wieder mit dem gewohnten Workload zurechtzukommen. Gregor Hartweger, CISO, TU Wien
Die meisten Cloud Risiken sind hausgemacht
Das Vorurteil, die Cloud wäre ein unsicherer Ort, um Daten zu speichern, hat in den letzten Jahren an Verbreitung verloren. Im Gegenteil – IT-Chefs wissen, dass man mit einem vernünftigen Aufwand niemals das gleiche Sicherheitsniveau erreichen kann, wie es die großen Cloud-Provider garantieren. Organisatorische Schwächen, Fehlkonfigurationen und Anwenderfehler bergen ein weit höheres Gefährdungspotenzial.
Mit der steigenden Integration in die Cloud und der intensiveren Nutzung des Home-Office ändert sich auch die traditionelle und zentralistische Sichtweise auf die IT-Infrastruktur. Diesbezüglich stellen sich vor allem die Fragen:
- Wie muss die jahrelang gelebte und gut erprobte Arbeitsweise angepasst werden, sodass weiterhin die Sicherheit gewährleistet ist?
- Sind meine Vorgaben und Richtlinien mit der neuen Technologie zu vereinen oder müssen diese auch adaptiert werden?
- Wie kann die Sichtbarkeit auf Datenströme auch außerhalb meiner eigenen IT-Infrastruktur aufrecht erhalten bleiben?
Wir sehen aber auch immer mehr, dass es Benutzerinnen und Benutzern gerade aus dem privaten Umfeld gewöhnt sind, schnell und unkompliziert Clouddienste zu nutzen. Häufig wollen sie diese dann auch im Unternehmensumfeld zur Verfügung gestellt bekommen und melden sich ohne böse Absicht mit Firmendaten bei SaaS Lösungen an. Damit ergeben sich zusätzliche Herausforderungen, die Fragen bezüglich des Umgangs mit Shadow Cloud und Shadow Services aufwerfen.
Thomas Zapf, Bereichsleitung Digitalisierung und Informationssicherheit, Verbund AG
Ein Großteil aller Sicherheitsprobleme bei der Cloud-Nutzung hat mit Fehlkonfigurationen zu tun. Dies kommt nicht von ungefähr. Zwar ist es sehr einfach, eine Cloud-Instanz bei einem der großen Anbieter – von Amazon über Google bis Microsoft – aufzusetzen, die Tücke lauert jedoch im Detail: Nicht ohne Grund gibt es bei AWS (Amazon Web Services) trotz der vermeintlichen Einfachheit mehr als 200 (!) Onlinekursangebote für die Implementierung und den Betrieb von Cloud-Services. Zwischen dem in der Werbung gezeigten Bild von Cloud Computing und der Realität – insbesondere mit Blick auf die „Nebenwirkungen“ in Sachen Cybersicherheit – gibt es Unterschiede. Dies sollte man berücksichtigen. Prof. Thomas R. Köhler
Die Komplexität zu unterschätzen, ist also wohl eines der größten Risiken im Umgang mit Cloudlösungen. Die entsprechende Überwachung und Kontrolle muss man bei solchen Projekten sehr früh mitberücksichtigen und budgetieren.
Zugelassene Applikationen, sogenannte sanktionierte Applikationen, müssen richtig administriert werden. Benutzer machen Fehler und deren Auswirkungen können weit gefährlicher sein als bei Applikationen, die On-Prem betrieben werden. Daher ist es sinnvoll, eine entsprechende Überwachungssoftware (CASB) zu betreiben. Mit der kontrolliert werden kann, ob alle Daten der eigenen Compliance entsprechend abgelegt und verwaltet werden. Sollte es sich bei der Cloud um Infrastructure as a Service handeln, gelten in Bezug auf Security die gleichen Regeln wie On-Prem, also Vulnerability Management, Patch Management, Firewalls und IDS, IPS etc. Zusätzlich wird auch für IaaS CASB angeboten und es wäre empfehlenswert, dieses auch gleich mit zu budgetieren und frühestmöglich zu implementieren. Christopher Ehmsen, Head of Portfoliomanagement & Solution Sales Cyber Security, T-Systems Austria GmbH
Der Anwender als Angriffsziel, Fehlerquelle und Risiko?
WhatsApp ist ein prominentes Beispiel – hier könnten Kontaktdaten Dritter übertragen werden, ohne dass es den Regeln der DSGVO entspricht. Generell führt das „always on“-Paradigma zu vielfältigen neuen Angriffsvektoren im Cyber-Raum, die mit herkömmlichen Mitteln nicht mehr beherrschbar sind. Diese erfordert zwangsläufig die Inhaltskontrolle von Datenströmen, was wiederum mit Grundsätzen der informationellen Selbstbestimmung kollidieren kann. Letztlich stellt sich daher die Frage der Güterabwägung. Jürgen Renfer, CISO, Kommunale Unfallversicherung Bayern
Die Anforderungen von IT-Anwendern und Kunden sind hoch. In der always-on Gesellschaft wird eine hohe Verfügbarkeit vorausgesetzt. Als Google oder Apple User ist man gewohnt, sich weder mit komplizierten Einstellungen befassen muss, noch Wartungsfenster zu berücksichtigen hat. Digitale Innovationen sollten nicht daran scheitern, dass sie für den Anwender nur schwer zu nutzen sind. Wenn der Erfolg eines neuen Produktes von seiner time-to-market abhängt, umgeht man Sicherheitsbestimmungen lieber, als sich aufhalten zu lassen.
Bei Datenspeicherung und Datenabrufen auf externe Medien wie Cloud Speicher ist ein wesentlicher Sicherheitsaspekt eine starke Benutzerauthentifizierung. Es sollten strenge Passwortvorgaben definiert werden sowie eine Verwendung von mehreren Faktoren für einen erfolgreichen Login. Für den sicheren Umgang mit Remote Zugriffen und Social Media ist ein zentrales Fokusthema die Steigerung der Awareness von Benutzern. Gottfried Tonweber, Leitung Cyber Security und Data Privacy, EY
Customer und User Experience lassen sich nur schwer mit Einschränkungen und Policies vereinbaren, die die Nutzung von Software unnötig kompliziert machen. Insbesondere in Zeiten, in denen die Anwender ohnehin gezwungen sind, von vielen bewährten Prozessen und Arbeitsweisen Abschied zu nehmen. Entscheidend ist also, Anwender nicht nur als Sicherheitsrisiko zu betrachten, sondern sie aktiv dabei zu unterstützen, ihre Aufgaben erfolgreich und sicher zu erledigen.
Wir sehen es als unsere Pflicht, dem Anwender nicht mehr „Changes“ als unbedingt notwendig aufzuzwingen. Es ist ja kein Zufall, dass die meisten Cybersecurity Vorfälle ihren Ursprung in irgendeiner Form des Social Engineerings haben. Ebenso wichtig wie die Kunden- und Kundinnen-Zufriedenheit sollte auch die Mitarbeiter- und Mitarbeiterinnen-Zufriedenheit sein. Gregor Hartweger, CISO, TU Wien
Die Fragen sind dieselben
Über viele Jahre befassen sich IT-Manager jetzt schon mit den Anforderungen der Cyber Security. Eine Unzahl an Tools steht zur Verfügung. Virenschutz und Firewalls sind ausgereift und es gibt einen breiten Erfahrungsschatz dazu in den Unternehmen und bei den Experten. Und doch sind wir weit davon entfernt, dass die Frage gelöst wäre. Rasante technologische Entwicklung, die digitale Durchdringung aller Lebensbereiche und eine Angreifer-Seite, die sich technologisch und konzeptionell ständig weiterentwickelt – Das führt dazu, dass sich CIOs, CISOs und IT-Security Verantwortliche in den Unternehmen auch in Zukunft tagtäglich damit befassen müssen, mit welchen Maßnahmen sich eine größtmögliche Sicherheit für das Unternehmen erreichen lässt.
Es sind dieselben profanen, teils unliebsamen klassischen Infrastruktur-bezogenen Fragen, die seit Dekaden zu stellen sind. Sollten sie unbefriedigend bzw. unbeantwortet bleiben, hat dies heute aber unter Umständen wesentlich gravierendere Folgen. Wolfgang Mayer, Head of Security, Hoerbiger
Das Katz und Maus Spiel geht munter weiter, aber der Einsatz hat sich erhöht. Immerhin geht es um die „Kronjuwelen“. Die Fragen, die sich IT-Entscheider dabei stellen müssen, sind:
- Welches sind unsere Kronjuwelen und wie hoch ist das Appetit Risiko von Dritten?
- Welche Daten/Prozess/Systeme müssen wir zwingend schützen?
- Welche sind unsere konkreten Risiken?
- Was habe ich wo im Einsatz und wer greift von wo auf die Daten/Systeme zu?
- Wie sieht mein Desaster Recovery Szenario aus (inkl. Cloud)?
Ricardo Nebot, Head of IT, Emmi Schweiz AG
Wenn Sie keines unserer Factsheets verpassen wollen, abonnieren Sie unseren Confare Newsletter. Wenn Sie an unseren Publikationen oder bei den Digital Confare CIO ThinkTanks mitwirken wollen, melden Sie sich bei melanie.vacha@confare.at
