Krieg im Security-Weltraum: Die dunkle Seite der digitalen Transformation

(Bild: Natalia_80 / istockphoto)

Ob Unternehmen mitten in der Digitalisierung in puncto Security die helle oder die dunkle Seite der Macht kennen lernen, hängt maßgeblich von ihrer Fähigkeit ab, wirksame Verteidigungsstrategien zu entwickeln. Wie sie sich vor der dunklen Seite der digitalen Transformation schützen können, beantwortet Andreas Schindler in diesem Gastbeitrag für silicon.de.

Was muss es für ein Start in den Tag sein, wenn der Mitarbeiter eines Unternehmens morgens feststellt: “Wir wurden gehackt”!? Plötzlich sind geschäftskritische oder vertrauliche Daten im Umlauf oder nicht mehr zugreifbar. Angriffe auf sensible Daten und Netzwerke sind nichts Neues. Aktuell scheint sich die Schlagzahl jedoch gewaltig zu erhöhen, besonders bei namhaften Firmen und Organisationen. Ob Unternehmen mitten in der Digitalisierung in punkto Security nun die helle oder die dunkle Seite der Macht kennen lernen, hängt maßgeblich von ihrer Fähigkeit ab, wirksame Verteidigungsstrategien zu entwickeln. Oder, um es mit den Worten von Luke Skywalker, dem Held der Star Wars-Saga, zu sagen: “Eure Unachtsamkeit ist Eure Schwäche!”

Andreas Schindler, der Autor dieses Gastbeitrags für silicon.de, ist Team Leader Cybersecurity & Enterprise Mobility / Principal Cloud Architect, bei Fritz & Macziol (Bild: Fritz & Macziol).
Andreas Schindler, der Autor dieses Gastbeitrags für silicon.de, ist Team Leader Cybersecurity & Enterprise Mobility / Principal Cloud Architect, bei Fritz & Macziol (Bild: Fritz & Macziol).

Ob Locky-Trojaner im Mail-Anhang, der Hack der Dating-Plattform “Ashley Madison” oder der Hacker-Angriff auf die US-Behörde “US Government’s Office of Personnel Management (OPM)” bei dem es um eine Vielzahl persönlicher Daten staatlicher Angestellter ging – ein neuer Cyber-War entsteht. Häufiges Ziel der Cyberkriminellen ist die Beschaffung persönlicher beziehungsweise geschäftlicher Informationen oder die Störung von Systemen. Auch der Streit zwischen dem FBI und Apple um die Entsperrung von iPhones ist ein Auswuchs dieser Entwicklung.

Der Wettstreit zwischen den Hackern oder Spionen und den Schutzbeauftragten der Privatsphäre und der Unternehmensdaten ist voll entbrannt. Auch auf der internationalen RSA-Sicherheitskonferenz im März 2016 in San Francisco waren die Themen Data Loss Prevention und die aktuelle Debatte um staatliche Zugriffe und Hintertüren in Systeme der Pulstreiber. Über allem schwebt die Frage: Wie kann man sich als Unternehmen vor dieser Klaviatur des IT-Grauens schützen?

Cloud-Services – die Sith der IT?

Aus meiner Erfahrung im täglichen Beratungsgeschäft kann ich sagen: Nahezu jedes Unternehmen führt derzeit diese Sicherheitsdiskussion sehr kritisch – häufig im Kontext der Nutzung (oder besser gesagt Nicht-Nutzung) von Cloud-Services. Oft ist die Denkweise anzutreffen, öffentliche Cloud-Services wären so etwas wie die “Sith der IT”: generell unsicher, voll böswilliger Hintertüren und nur durch das Verharren im eigenen Rechenzentrumsbetrieb zu besiegen. Bei dieser Wagenburg-Mentalität ist es gleichzeitig sehr verwunderlich, dass eigene Systeme und Daten weitgehend unverschlüsselt vorliegen und vielfach veraltete Betriebssystemversionen im Einsatz sind. Das gilt gleichermaßen für Client-Workstations, sowie für mobile Endgeräte oder Serversysteme.

Überwiegend herrscht bei IT-Verantwortlichen noch die Ansicht, mit Perimeternetzwerken und einem Antivirenschutz für Clients und Server habe man doch alles Mögliche getan. Nur selten sind valide und vor allem ganzheitliche Sicherheitskonzepte anzutreffen. Die Klassifizierung von Daten, die Identifizierung potenzieller Schwachstellen im gesamten IT-Stack und die erforderliche Bewertung erkannter Risiken werden in der Fläche der Unternehmen immer noch nicht angegangen. Etwas mehr Strategie im Sinne von Meister Yoda könnte hier nicht schaden: “Ein Jedi benutzt seine Macht für das Wissen zur Verteidigung. Niemals zum Angriff.” Denn genau diese Versäumnisse in der eigenen Security-Strategie werden Privatpersonen oder Unternehmen im Falle von Cyberangriffen derzeit täglich zum Verhängnis.

Höhepunkt der Cyberkriminalität noch lange nicht erreicht

Die Anzahl der Angreifer und Angriffe hat sich dramatisch erhöht. So wurden im Jahr 2015 täglich über 100.000 “bösartige” IP-Adressen registriert. Dahinter verbergen sich weitestgehend Malware-as-a-Service Hosts, welche durch einfaches Klicken auf einen Link oder von bereits infizierten Systemen kontaktiert und aktiviert werden. Diese feindlichen Cloud-Services führen kriminelle Aufgaben durch, wie beispielsweise den Download von Schadsoftware zur Verschlüsselung von Daten (Ransomware), so dass der Nutzer nicht mehr auf seine eigenen Daten oder Netzwerke zugreifen kann.

Neben der Datenverschlüsselung zu Erpressungszwecken existieren viele weitere bösartige Attacken, wie beispielsweise der Upload von Browserlisten zuletzt besuchter Webseiten, welche in Folge für Erpressungszwecke genutzt werden. Ein aktueller Fall aus der Westukraine zeigt, wie eine via Mail verbreitete Schadsoftware namens “Black-Energy” einen Stromausfall in rund 700.000 Haushalten verursachte. Solche Angriffsszenarien nehmen durch die hohe Verfügbarkeit und den einfachen Zugang zu Hacking-Tools und Werkzeugen zur Entwicklung von Malware zu. Daraus entwickelt sich ein gefährlich attraktives “Business”, gerade für Menschen aus wirtschaftlich schwachen Regionen, welches noch lange nicht seinen Höhepunkt erreicht hat.

Verantwortlichkeiten bei Sicherheitslücken oft ungeklärt

Die Folge: IP-Adressen bekannter Opfer werden besonders im Darknet durch Kriminelle entsprechend hoch gehandelt sofern sich das Opfer bereits als zahlungswillig gezeigt hat. Was bedeutet das konkret? Die Gefahr für Unternehmen oder Privatleute, erneut angegriffen zu werden erhöht sich um ein Vielfaches im Vergleich zu Crawler-basierenden Massenaktivitäten. Die wachsende Verbreitung von Open-Source-Lösungen wird die Situation weiter verschärfen. Bereits verfügbare Softwaremodule werden gerne zur Optimierung der Entwicklungsleistung in neu entwickelte Software integriert. Der Heartbleed-Bug in der freien OpenSSL-Software beispielsweise eröffnete kriminellen Angreifern Zugriff auf Unternehmensdaten. Hier bleibt die Frage nach der Verantwortlichkeit zum Schließen der Sicherheitslücke in vielen Fällen ungeklärt.

Das automatisierte Management von Identitäten und Absicherung von Zugängen sollte als Antwort darauf weiter an Bedeutung gewinnen. Noch immer wird diesem Thema zu wenig Beachtung geschenkt, obwohl es neben den vielen Malware-Attacken zunehmend gestohlene und gehackte Identitäten und nicht gewünschte Zugänge zu Systemen von Unternehmen gibt. Von der dunklen Seite der Macht verführte Jedi will niemand in seinem Imperium dulden – daher müssen sich IT-Verantwortliche stärken und um deren Entlarvung kümmern. Dabei helfen ausgeklügelte Delegationsmodelle und intelligente Machine-Learning-Überwachungslösungen, welche nach entsprechenden Lernphasen außergewöhnliches Benutzerverhalten schnell erkennen und die Sicherheitsverantwortlichen alarmieren.

(Bild: Shutterstock.com/Mopic)
(Bild: Shutterstock.com/Mopic)

Das unternehmenseigene Rechenzentrum ist das leichtere Opfer

Die führenden Security-Größen, aber auch Vertreter aus Politik und Wirtschaft, haben es auf der RSA-Konferenz bereits eindeutig formuliert: “Es ist nicht die die Frage ob, sondern wann ein Unternehmen angegriffen wird”. Ist es also in einer zunehmend verflochtenen digitalen Wirtschaft die beste Lösung, weiter die Meinung zu vertreten, das eigene Rechenzentrum sei generell sicher und dem eigenen Unternehmen passiere schon nichts? Mitnichten!

Die digitale Transformation hat den Markt bereits erobert und Unternehmen mit neuen Geschäftsmodellen erfolgreich gemacht. Sowohl im privaten als auch geschäftlichen Umfeld verändern sich Lebensweisen, Märkte und Kundenzugänge. Unternehmen beschäftigen sich intensiv mit der Frage, welche Veränderungen nötig sind um weiterhin am Markt bestehen zu können. Dementsprechend verändern sich die IT-Organisationen weg von der unbeweglichen, internen IT hin zum agilen Partner, der Fachabteilungen entsprechend nach Anforderungen und schnell bedienen soll. Es braucht die Abkehr von organisatorischen Silos hin zur engen Zusammenarbeit zwischen IT-Operations, den Anwendungsentwicklern, sowie den häufig ungeliebten Security-Spezialisten und Datenschutzbeauftragten.

DevOps wird zu DevSecOps

IT-Security heißt auf den Punkt gebracht: Risiken bewerten, Maßnahmen identifizieren und umsetzen, Regeln definieren und ihre Einhaltung kontrollieren. Der Unternehmensbereich “Security” sollte dabei kein isolierter Bereich im Unternehmen sein, sondern sich agil in den kontinuierlichen Software-Delivery-Prozess integrieren. In der IT-Branche etabliert sich hierfür eine neue Begrifflichkeit: DevSecOps. Damit ist Security nicht weiter eine lästige Randvariable welche erst am Ende des Entwicklungsprozesses zum Zug kommt. Ganz im Gegenteil, alle Infrastruktur- und Anwendungskomponenten werden laufend auf ihre Sicherheit hin überprüft und optimiert. So werden beispielsweise die Test- und Feedbackprozesse der sogenannten Continuous Delivery Pipeline um manuelle und automatisierte Penetrations-Tests zur Identifizierung von Schwachstellen erweitert.

Die Hilfestellung zu allen sicherheitsrelevanten Themen erhalten Unternehmen dabei von Security-Experten, welche die vorgegebenen Compliance-Anforderungen, die aktuellen Gefahrenpotenziale sowie Tools und Methoden kennen. Entsprechend schnell können Sicherheitslücken direkt im Entwicklungsprozess identifiziert und behoben werden. Das Management der Software-Komponenten verändert sich weg von der manuellen Konfiguration hin zu “as-code”-Methoden. Damit stellen IT-Verantwortliche Audit-Compliance aber auch eine schnelle Bereitstellung von Komponenten und Konfigurationen sicher. DevSecOps “liefert” im Ergebnis gelebte Sicherheitskonzepte sowie einen angemessenen Schutz aller Ebenen des IT-Stacks.

(Bild: Shutterstock.com/Sergey Nivens)
(Bild: Shutterstock.com/Sergey Nivens)

Das Erwachen der Macht: Call-to-Action

Auch in Zukunft wird das Ringen zwischen der dunklen und hellen Security-Macht weitergehen. Kein Sicherheitskonzept wird Angreifer gänzlich davon abhalten, aktiv zu werden. Jedoch können Unternehmen durch geschicktes Agieren ihre Angriffsfläche erheblich verkleinern oder im Falle des Falles mit einer vollautomatisierten Infrastruktur- und Anwendungswiederherstellung schnell reagieren. Ganzheitliche Schutzkonzepte gegen externe Eindringlinge, ganz gleich welcher Ordnung, beinhalten neben den oben genannten Maßnahmen noch viele weitere Disziplinen, wie Backup- und zentrale Log-Management Lösungen zur Erkennung von Angriffsmustern in Systemen und Anwendungen.

Für das Hier und Heute ist es dringend zu empfehlen, die IT-Organisation und Sicherheitskonzepte für das neue IT-Zeitalter zu rüsten. Unternehmen sollten sich dabei nicht von der Themenvielfalt und dem fast undurchschaubaren Markt mit den unzählbaren Lösungen abhalten lassen. Der Weg zu den Sternen der digitalen Transformation gelingt am besten Schritt für Schritt. Sicherheit ist eine Disziplin, die dabei jeder IT-Jedi beherrschen sollte.