Automated Endpoint Security

Automated Endpoint Security

Die TREND-REPORT-Redaktion sprach mit Oliver Bendig, CEO der Matrix42 AG, über den Schutz vor hoch automatisierten Cyber-Angriffen. Wie Deep Learning auch bei der Abwehr von Bedrohungsszenarien unterstützen kann, beschreibt er im Interview.

Herr Bendig, was ändert sich durch die neuen Arbeitsformen für die Sicherheitskultur und das Risikomanagement in den Unternehmen?

Wir erleben, dass Mitarbeiter immer stärker flexibel arbeiten und das in diesem Kontext vor allem das mobile Arbeiten zunimmt. Dies erzeugt Druck auf der Technologieseite, da von den Anwendern immer mehr Geräte verwendet werden. Wenn man diese Kette durchzieht – also PC, Notebook, Smartphone, Tablet –  dann bedeuten immer mehr digitale Arbeitsmittel auch immer mehr Angriffsvektoren. Angreifer und Cyberkriminelle wissen das, denn mobiles Arbeiten wird heute ausgenutzt – Unternehmen müssen heute flexibles Arbeiten ermöglichen.

Betrachtet man die Sicherheitskultur aus der Angreifersicht, beobachtet man, dass Angriffe heute nicht mehr manuell, sondern hochautomatisiert ablaufen. Die Antwort auf hochautomatisierte Angriffe muss demnach auch hochautomatisierte Abwehr sein. Ansonsten können Sie dieses Hase-Igel-Spiel nicht gewinnen. Wenn man sich das ganze Thema vor Augen hält, – also Erpressersoftware, Hackerangriffe und so weiter – sieht man, dass dies sehr lukrativ für die Angreifer ist. Deshalb gibt es gerade einen Anstieg solcher Angriffe. Dies bedeutet für mich als Unternehmensleiter, dass ich mich einerseits auf der Technologieseite schützen muss, andererseits muss ich aber auch meine Mitarbeiter und Menschen im Unternehmen deutlicher darauf hinweisen, dass sie auf verdächtiges Verhalten achten müssen – in diesem Sinne vor allem darauf achten sollten wo sie hinklicken.

Im Hinblick auf die Sicherheitsrisiken haben wir kürzlich an einer Studie von IDC teilgenommen, die 230 Unternehmen in Deutschland genau zu diesem Thema befragt hat. Es geht in diesem Bezug um die  Sicherheitskultur, aber auch Sicherheitsrisiken. Es ist nichts neues, dass auf die Frage der größten Sicherheitsrisiken 37 Prozent der 230 befragten Unternehmen der Meinung sind, es ist das Fehlverhalten der Anwender, gefolgt von 34 Prozent mit unzureichend geschützten Endpoints. Wenn wir das in Kombination setzen, dann reflektiert es das, was ich gesagt habe: Wir haben hochautomatisierte Angriffe und immer mehr Angriffsvektoren, also besteht der Lösungsansatz darin, auch die Abwehr zu automatisieren – und vor allem auch die Anwender zu schützen.

Etwa zwei Drittel aller Unternehmen in Deutschland sind in diesem Jahr bereits attackiert worden.

Wir wissen, dass viele Unternehmen im Kontext von Erpressungsversuchen lieber zahlen, als das Problem technisch anzugehen. Wo und wie genau muss der Schutz ansetzen?

Aus unserer Perspektive heraus ist klar, dass das Endgerät besonders schützenswert ist. Aus den Zahlen von IDC wird deutlich, dass über 60 Prozent der Angriffe auf den Endgeräten stattfinden. Die „Data at Rest“, also alle Daten, die vorliegen und mit denen gearbeitet wird, sind das größte Problem und damit besonders schützenswert. In unserer Terminologie ist das der Endpoint, der Workspace. Hier sind die Gefahrenpotenziale am höchsten. Wann immer Sie digitale Geräte zum Arbeiten nutzen, öffnen sich entsprechende Angriffsvektoren. Heute haben Sie keine 1:1-Beziehung zwischen Mensch und Maschine mehr, eher sind es 1:2-, 1:3-, oder 1:4-Beziehungen, d.h. Sie haben auf einmal bis zu vier Angriffsvektoren oder mehr. Dies sind beispielsweise, aus der Perspektive des Endpoints betrachtet, das Betriebssystem, Applikationen oder Datenlayer. Diese gilt es besonders zu schützen.

Was können wir heute unter der Automatisierung im Security-Management oder im Bereich Endpoint-Security verstehen?

Ich denke hier in mehreren Abwehrlinien. Wenn Sie heute das Thema Cyber-Security und ganz besonders Endpoint-Security betrachten, dann könnte man bildlich gesprochen von der linken Seite starten: Sie brauchen natürlich weiterhin das klassische Firewalling, welches im Netzwerk Angreifer herausfiltert. Doch wie bereits erwähnt, ist dieses sehr leicht zu überwinden. Die zweite Abwehrlinie besteht aus klassischen Muster-erkennenden Antiviren-Lösungen. Diese gibt es seit vielen Jahren, weshalb sie nicht mehr allzu wirksam sind. Wenn man hier auch wieder der Analysten-Community Glauben schenkt, sind es über 60 Prozent der Angriffe, die ein klassisches Antivirenprogramm überwinden. Also geht es im nächsten Schritt darum, Next Gen AVs zu entwickeln; es geht darum, mit Machine Learning Heuristiken zu erkennen. Damit kann man erste Verhaltensmuster adressieren. Doch das ist noch nicht alles: die letzte Line of Defence – und aus unserer Sicht die wichtigste – ist die so genannte „Post Infection Protection“. Die Post Infection Protection akzeptiert erst einmal den Fakt, dass es irgendjemand irgendwann schafft, erfolgreich auf ihr Endgerät zu gelangen – also einen Angriff erfolgreich durchführt. Das heißt, ich stelle nicht die Frage: „Bist du ein Virus – ja oder nein?“, sondern stattdessen die Frage: „Auf was möchtest du auf meinem Endgerät zugreifen?“. Wenn dieses Verhalten in irgendeiner Weise verdächtig wirkt, dann möchte ich, dass die Maschine dieses Verhalten automatisiert isoliert und unterbindet. Wenn Sie diese verschiedenen Verteidigungslinien aufeinander aufreihen, dann haben Sie einen höchstmöglichen Schutz. Um zu beantworten, was davon nun Automation ist: Automation ist es aus unserer Sicht, wenn eine automatisierte Abwehr selbstständig Entscheidungen treffen kann.

Ein konkretes Beispiel: Wenn es jemand wirklich auf Ihr Endgerät schafft und in letzter Instanz die Post Infection Protection diesen Eindringling isoliert, dann wäre es doch schön, wenn jetzt automatisiert geprüft werden würde, wo dieser sonst noch in die Infrastruktur gedrungen ist – oder dass das Endgerät automatisch in Ihre Netzwerk-Quarantäne gestellt wird. Eine weitere Möglichkeit: der Applikationszugriff wird unterbunden oder die Maschine wird deinstalliert.

Das definieren wir als automatisierte Abwehr, weil auf einmal kein Mensch mehr darauf schauen muss, da die Maschine dies selbstständig nachprüft.

Die Maschinen haben in der Vergangenheit im Bereich Predictive Maintenance jeden Tag verschiedenste Viren und Malicious Code-Infrastrukturen kennengelernt. Wird dann das so geschehene Deep Learning wirklich in eine Entscheidung umgesetzt, die das System allein trifft?

Ja, absolut. Anders können Sie dieses Hase-Igel-Spiel auch nicht mehr gewinnen. Ca. alle 12 Minuten entsteht eine neuer Virus oder die Variante eines bekannten Virus. Wie wollen Sie dieses Rennen gewinnen, wenn Sie mit traditionellen, manuellen Mitteln gegen automatisierte Angriffe kämpfen?

Wie kann man denn kreativ die Sensibilisierung der Mitarbeiter im Kontext der Sicherheit voranbringen?

Wie bereits angesprochen, liegt die größte Angriffsfläche bei den Mitarbeitern. Ein kleiner Fehler genügt, vielleicht auch nur ein Versehen, um einen solchen Fall eintreten zu lassen. Ich bin kein Freund davon, in Restriktionen zu denken. Ein alphanumerisches Passwort mit 12 Zeichen mag eine höhere Sicherheit vorgaukeln – ist in der Praxis aber für Mitarbeiter kaum zu merken und somit wird die Situation „Passwort vergessen“ häufiger eintreten. Sowas wird heute eher mit Biometrie oder weiteren Möglichkeiten der Authentifizierung gelöst werden müssen.
Aber zurück zu Ihrer Frage: Ich bin ein Freund davon, Sicherheit spielerisch zu erlernen. Wir beraten unsere Kunden auch dahingehend, dass man Gamification-Szenarien aufbauen sollte. Machen Sie Sicherheit zu einem Wettbewerb, in dem man Punkte sammeln kann und sich an Spielregeln halten muss. Dies dann bei der Authentifizierung und bei der Art und Weise, wie man Technologie verwendet.

Kernursachen von IT-Security-Vorfällen.

Also ein Gamebased-Learning?

 Ja. Schauen Sie: Wenn ich Ihnen fünf Dokumente hinlege, die Sie als Mitarbeiter lesen müssen, weil Sie sonst bei mir im Unternehmen nicht arbeiten können, dann liest das vielleicht die Hälfte. Gerade Themen wie Gamification-Szenarien mit Punktesystemen bieten da ein hohes Potenzial. Wir beraten da gerne mit interaktiven Lerninhalten. So etwas funktioniert bei der Sensibilisierung von Mitarbeitern hinsichtlich Sicherheit sehr gut.
In letzter Instanz, bei aller Sicherheitstechnologie, sagen wir aber auch: „Mitarbeiter, du kannst auch mal auf etwas Falsches klicken, wir schützen dich trotzdem.“ Es ist trotz allem nochmals sehr wichtig, deutlich zu machen, dass auffordernd blinkende Websites, die zum Download anregen oder Gewinnversprechen via E-Mail mit exe-Datei zum Anklicken, meist schädliche Software enthalten und zu vermeiden sind.

Woran scheitern „Future of Work“-Initiativen?

Richtig scheitern ist eine Frage der Definition. Aber woran es hakt? Ein erstes Thema ist, dass man „Future of Work“-Initiativen aus einer reinen IT-Perspektive betrachtet. Auch wenn ich selbst in der IT viele Jahre als CTO tätig war: wir neigen dazu, uns zu häufig mit der Technologie zuerst zu beschäftigen. Nehmen wir an, ich führe z. B. einen cloudbasierten Arbeitsplatz ein, weil mir die Vorteile enorm erscheinen… Nur schade, dass es eine Lösung ist, die ein Problem im Unternehmen sucht – denn vielleicht haben meine Mitarbeiter so etwas gar nicht gebraucht. Im Endeffekt läuft es ganz klassisch auf das Involvieren der Anwender hinaus. Häufig sehe ich schon am Anfang der Kette etwas, das ein Problem erzeugt. Etwas, dass man eigentlich gar nicht bei „Future of Work“ ansiedelt, sondern eher im Kontext der verschiedenen Fachbereiche und vor allen Dingen der unterschiedlichen Generationen im Unternehmen.

Wenn ich bspw. jemanden frisch von der Hochschule einen cloudbasierten Arbeitsplatz anbiete – einen mobilen Arbeitsplatz mit bunten Apps und Icons – und ihm sage: „Du musst nirgends mehr anrufen, du kannst alles über Self-Service machen“, dann findet der das super. Habe ich aber jemanden, der schon 30 Jahre oder länger im Berufsleben ist, dann muss ich den unterstützen, indem ich ihm einen Kanal wie E-Mail und Telefon anbiete. Mein Punkt ist, das dort das Anwenderbusiness zu wenig involviert wird.

Das zweite Thema wäre diesbezüglich das Digitalisieren um des Digitalisierens Willen. Es ist hip, alles in die Cloud zu schieben und jeden papier-basierten Prozess zu digitalisieren, was in den meisten Fällen auch Sinn ergibt. Aber nicht von der IT her denken, also nicht inside out, sondern outside in.

Der letzte Bereich, der zu Problemen führen kann, ist das Silodenken. Wenn ich an „Future of Work“ denke, dann ist das für mich nicht nur eine Mobile-Initiative. Viele Unternehmen sehen aber „Future of Work“ als eine solche an: „Ich führe jetzt mobile Geräte ein, kann von überall aus arbeiten, erlaube Home-Office, kann von überall aus meine Applikationen, Daten und E-Mails nutzen und bin damit bei ‚Future of Work‘ angekommen.“ Dabei ist das mobile, dezentrale Arbeiten nur ein Zehntel von dem, was man braucht. Wir reden hier auch über solche Dinge wie Teamorganisation, Organisationsstruktur im Allgemeinen und agilem Arbeiten. „Future of Work“ ist nicht nur ein Technologie-Thema. Was ich erlebe und berate: es fängt ganz vorne und oben an, etwa beim Mindset des Unternehmens und der Geschäftsführung. Wenn ich sage, ich möchte modern den Arbeitsplatz der Zukunft realisieren, damit meine Mitarbeiter flexibel und agil auf Veränderungen reagieren können, dann muss ich in der Regel auch meine Organisationstruktur verändern. Ich habe dann ein agileres Unternehmen mit flacheren Hierarchien, die Experimente ermöglichen und eine Build-Measure-Learn-Kultur etablieren – weg von plan-build-run. Erst dann kommt – automatisch – auch der Technologieteil.

Gerade in der Automatisierung von IT-Security-Prozessen verortet IDC in seiner Studie großes Potenzial

Wie viel Potenzial haben in diesem Kontext KI-basierte digitale Workflows für die interne Zusammenarbeit?

Ich sehe ein enormes Potenzial. Durch KI, Machine Learning und Deep Learning verändert sich das Arbeitsleben in Gänze. Wir haben es schon angesprochen: Was mich antreibt, sind Dinge wie wiederkehrende Aufgaben, manuelle Arbeit, sowohl bei Wissensarbeit, als auch bei physischer Arbeit. Bleiben wir kurz bei digitaler Arbeit, dort sind es einfache Sachen, wie die richtigen Applikationen zur richtigen Zeit am richtigen Ort für das richtige Meeting zur Verfügung zu stellen. Meine und unsere Vision von einem cleveren, smarten Arbeitsplatz ist, dass die Maschine mich kennt. Sie beantwortet mir Fragen, bevor ich sie gestellt habe. Das klingt für manche beängstigend, aber so etwas können wir heute realisieren, weil wir Telemetrie, Informationen und Daten über Mitarbeiter haben, die wir clever nutzen können. Nicht um sie zu missbrauchen, sondern ganz im Gegenteil, den Menschen noch produktiver zu machen.

Ein Beispiel: Wo arbeitet Mitarbeiter XY, an welchem Standort, in welchem Office, mit welchem Gerät? Ich kann ihm dann automatisch einfache Dinge, wie den richtigen Drucker, das richtige Dokument für das nächste Meeting, sowie die Beschreibung für die Agenda bereitstellen, ohne das er dreimal klicken und suchen muss. Das alles sind digitale Workflows, die über KI automatisiert werden können und mir ein produktiveres Arbeiten ermöglichen. Es geht viel um Personalisierung und automatisierte Konfiguration. Ich bezeichne das als „etwas von der Ticking-List herunternehmen“. Ein zukunftsträchtiger Arbeitsplatz, der KI-gestützt ist, nimmt mir wie von selbst wiederkehrende Aufgaben ab.

Welches Potenzial räumen Sie in diesem Zusammenhang der Blockchain-Technologie ein?

Auch hier sehen wir enormes Potenzial. Wir beschäftigen uns damit und sind immer auf der Suche nach Technologien und Möglichkeiten, wie wir ein einfacheres und sichereres Arbeiten ermöglichen können. Blockchain funktioniert sehr gut in unseren Lösungen. Denn wann immer Sie eine sehr dezentrale Situation schaffen, werden Sie ein Problem haben. Dieses Problem ist, dass es bisher immer eine zentrale Stelle gab, die – übertragen gesprochen – die Wahrheit kennt. Demgegenüber stehen aber ganz viele dezentrale Mitspieler, die dieser einen zentralen Stelle vertrauen müssen. Das erleben wir auch, wenn wir Endgeräte betrachten. Wem vertraut heute ein Endgerät? – Einer zentralen Stelle, bspw. einem zentralen Management-Server. Das ist das veraltete Modell. Aber wir wissen, dass ist nicht mehr sicher, also erhöhe ich die Sicherheit durch Dezentralisierung der Arbeitsprozesse.

Konkretes Beispiel, mit dem wir uns beschäftigen: Authentifizierung. Das Identity- und Access-Management wird revolutioniert durch die Blockchain-Technologie. Das Thema Verschlüsselung, sowohl was Datentraffic betrifft (SSL-Verschlüsselungen), als auch Verschlüsselung auf dem Endgerät selbst, wird revolutioniert durch die Blockchain. Wir sind natürlich noch am Anfang, aber ich glaube, dass führt zu einer enormen Erhöhung der Sicherheit, gerade in einem dezentralen Umfeld. Ein wesentlicher Treiber dabei ist das IoT. Darin gibt es noch mehr Dezentralität, da ich Hunderte, Tausende, Millionen von neuen Endgeräten habe, die auf irgendeine Weise eine Vertrauensstelle brauchen. Da habe ich mit der Blockchain-Technologie völlig neue Möglichkeiten, weil dort die Grenzen noch lange nicht ausgereizt sind.

Weitere Beiträge von Matrix 42 und Herr Bendig:

_{Aufmacher/Bild/Lizenzen
Matrix42 AG}