Cyber Security – Eine komplexe Herausforderung !

Kai Grunwitz, Senior VicePresident Central Europe bei NTT Security im Gespräch mit der TREND REPORT Redaktion über Cyber-Security – Herausforderungen, Defense-Strategien und Lösungen.

 

 

Herr Grunwitz, welchen Unternehmen raten Sie heute zu Penetrationstests?

Penetrationstest und sogenannte Cyber-Attack-Simulationen sind ein elementares Element jedes Sicherheitskonzepts. Darauf zu verzichten, wäre für jedes Unternehmen grob fahrlässig.

Neue IT-Systeme und Anwendungen sollten unter Abwägung des jeweiligen Gefahrenpotentials, bevor sie in den produktiven Betrieb gehen, einem Penetrationstest unterzogen werden. Aus dem Internet erreichbare Systeme sollten grundsätzlich überprüft werden. Empfohlen sind auch regelmäßige Penetrationstests bereits vorhandener IT-Landschaften und Systeme.

Seitens NTT Security empfehlen wir zudem ganzheitliche Cyber-Attack-Simulationen, die technische Angriffe und gezieltes Social Engineering kombinieren. Dadurch kann den Mitarbeitern deutlich vorgeführt werden, welche Bedrohungen bestehen.

 

Inwieweit geht von Hardware (GSM-Modulen) Gefahr für Industrieanlagen aus?

Ein GSM-Modul exponiert eine Anlage direkt im Internet. Der einzige Schutz vor Angriffen sind somit die Sicherheitsmechanismen der Anlage selbst. Die Erfahrung zeigt jedoch, dass diese meist nicht State-of-the-Art sind und zudem oft gar nicht aktiviert werden. Die Anlage steht dann weitgehend schutzlos im Internet.

Moderne Industrieanlagen müssen zu Wartungszwecken aus der Ferne erreichbar sein. Um das dadurch vorhandene Risiko zu beherrschen, muss in einem einheitlichenFernwartungskonzept eine zentrale Überwachung der Zugriffe sichergestellt sein. Gibt es eine Vielzahl unterschiedlicher Zugriffswege, die auch einen direkten Server-Zugriff zulassen, beispielsweise GSM-Module, so ist dies ohne ein ganzheitliches Konzept nahezu unbeherrschbar. Die Anzahl möglicher Sicherheitslücken steigt mit der Anzahl unterschiedlicher Systeme, und eine zentrale Überwachung ist hier nur schwer möglich.

Es ist deshalb unverzichtbar, diese Module zu deaktivieren und die Fernwartung über eine vom Unternehmen kontrollierte spezielle Fernwartungsinfrastruktur zu realisieren.

 

 

Wie müssen die Switches der Zukunft beschaffen sein, um Industrie 4.0 sicher zu realisieren?

Primäres Beschaffungskriterium für Switches im Umfeldvon Industrie 4.0 ist heute sehr oft die mechanische Robustheit. Künftig müssen aber sicherheitsrelevante Kriterien wie Network Access Control Funktionalitäten ebenfalls betrachtet werden. Switches und Komponenten für Industrie 4.0 müssen über Möglichkeiten zur Zugriffskontrolle, Stichworte NAC und 802.1x, verfügen. Vermehrt wird auch Software Defined Networking zum Einsatz kommen.

 

 

Braucht das IoT eine neue Sicherheitskultur?

Definitiv ja! Bei IoT muss die Sicherheit von Anfang an in das Gerät und die gesamte notwendige Infrastruktur mit eingebaut werden. Ein nachträgliches Einbauen oder Upgrade ist selten möglich oder sehr teuer. Leider kann heute niemand garantieren, dass trotz bester Planung die getroffenen Maßnahmen auch langfristig schützen.

Gerade im dynamischem IoT-Umfeld hat Sicherheit oft nicht den höchsten Stellenwert; es steht stattdessen die Funktionalität im Vordergrund. Anerkannte und etablierte IT-Sicherheitsstandards für IoT existieren noch nicht beziehungsweiseIoT-Hardwareverfügt noch nicht über die notwendigen Leistungsreserven für ausreichende Sicherheitsfunktionen.Traditionelle Embedded-Systeme waren in einem vom Internet getrennten Umfeld tätig. Somit war die Bedrohungslage nicht in gleichem Maß gegeben. Dies ändert sich nun dramatisch mit IoT.

cioguide_i_2016_interview_kai_grunitz

Kai Grunwitz, Senior VicePresident Central Europe bei NTT Security Bildquelle: CIO Guide

Die gute Nachricht lautet jedoch: IT-Security muss nicht vollständig neu erfunden werden. Der Umgang mit risikobehafteten IoT-Geräten ist eine Herausforderung, für die bereits viele Sicherheitsmaßnahmen existieren. Denn Endgeräte, wie PCs, Server und mobile Endgeräte, werden auch in der herkömmlichen IT-Security als potenziell unsicher eingestuft.

Klassische, zentrale Schutzmaßnahmen lassen sich auch im BereichIoT anwenden.Segmentierung durch Firewalls, Intrusion-Prevention-Systeme, Authentifizierung und SIEM-Systeme können dasSicherheitslevel für IoT deutlich erhöhen.Viele IoT-Ge­räte verfügen auch über eigene, wenn auch teils eingeschränkte Schutzfunktionen, zum Beispiel zur Verschlüsselung, die natürlich genutzt werden sollten.
Abhilfe könnte hier zudem je nach Anwendungsszenario eine modulare Bauweise für zentrale Sicherheitskomponenten der Geräte schaffen. Dies wird bei preisgünstigen Geräten nicht gehen, da hier eher das Gerät ausgetauscht wird. Bei allen anderen läge der größte Vorteil darin, dass die im IoT vernetzten Geräte auch dauerhaft auf einem hohen Sicherheitsstandard bleiben.

 

 

Kryptomalware-Angriff: Wie gestaltet sich hier die aktuelle Bedrohungslage für Unternehmen? Mit welchen Entwicklungen rechnen Sie noch?

Ransomware bietet den Cyber-Kriminellen die Möglichkeit, ohne Umwege und im großen Stil über Lösegeldforderungen an Geld zu kommen. Dies ist eine sehr kritische Situation, da anders als bei traditionellen unspezifischen Angriffen mit Ransomware zielgerichtet gegen Unternehmen vorgegangen wird.Daher muss sich jedes Unternehmen auf diese Bedrohung einstellen. Leider sind technische Maßnahmen, um sich dagegen zu schützen, bei Unternehmen und Behörden im Einsatz noch nicht flächendeckend.

Viele Unternehmen überarbeiten diesbezüglich aber ihre Sicherheitsstrategie und sind dabei, Lösungen, aber auch sogenannte Awareness-Programme für ihre Mitarbeiter einzuführen. Dies ist auch dringend nötig, da zum Beispiel E-Mails mit Ransomware an Unternehmen, die beispielsweise als Bewerbungen getarnt sind, kaum noch von legitimen E-Mails zu unterscheidensind. Ransomware wird immer professioneller, einfacher zu erstellen und auch mehr und mehr auf den deutschen Markt angepasst.

Ein wichtiger Punkt ist hier, dass es heutemöglich ist, Zahlungen nahezu anonymisiert zu erhalten. Während sich früher Erpresser noch Geld aus fahrenden Zügen zuwerfen ließen, können Cyber-Kriminelle nun beispielsweise über Zahlungen per Bitcoins bequem und mit recht geringem Risiko an das Geld ihrer Opfer kommen. Solange das Geschäftsmodell der Cyber-Kriminellen funktioniert, gehen wir davon aus, dass sich der Trend hier fortsetzen wird und keine Entspannung eintritt. Umso entscheidender ist die Anpassung der Sicherheitsstrategien an diese Bedrohungslage.

Die bei Unternehmen typischen Schutzmaßnahmen wie Firewalls, SPAM- oder Virenschutz sind nicht in der Lage, mit den Cyber-Kriminellen mitzuhalten. Aus Sicht von NTT Security ist es neben kontinuierlichemAwareness-Training für die Mitarbeiter unabdingbar, zusätzliche technische Mechanismen in Form von Sicherheitsgateways auf den Endgeräten einzuführen. So kann unbekannter Schadcode beispielsweise über Sandboxing- oder Code-Analyse-Verfahren erkannt werden – Endgeräte können etwa durch Mikrovirtualisierung geschützt werden.

 

perspecsys-photos-flickr

Trotz der Bedeutung von Time-to-Market und modernster Funktionalität ; Sicherheit muss von Tag eins einer Programmierung auf der Agenda stehen.

 

Welche Gefahren bringen heute Software-Programme mit sich im Kontext von Schwachstellen in der Programmierung?

Wir leben in einem hochdynamischen Markt. Unternehmen müssen schnell auf Marktanforderungen reagieren und Services oder Lösungen bereitstellen, die eine Differenzierung im Markt ermöglichen. Da rückt dann die Funktionalität in den Vordergrund und der Sicherheitsaspekt bleibt oft auf der Strecke.

Gerade bei der Eigenentwicklung von Anwendungen und insbesondere bei Web-Anwendungen lauert ein signifikantes Risiko, wenn nicht von Beginn an Sicherheitsaspekte parallel zur Funktionalität berücksichtigt werden.Die Einhaltung und Prüfung von notwendigen Sicherheitstechniken werden im Rahmen von zeitkritischen Projekten gerne vergessen oder als notwendiges Übel so lange als möglich verschoben. Es ist daher unabdingbar, dass für die Entwicklung Cyber-Security-Richtlinien, die dem individuellen Risikoprofil des Unternehmens Rechnung tragen, konsequent im Entwicklungsprozess umgesetzt werden.

Für NTT Security ist die Anwendungs- aber auch Datenbank-Sicherheit ein entscheidender Schlüssel, um kritische Anwendungslandschaften effizient und sicher zu entwickeln, egal ob es sich um eigene (Web-)Anwendungen oder um Anpassungen rund um Standardprodukte, zum Beispiel in einer SAP-Umgebung handelt. Ein Fehler, der am Anfang eines Entwicklungszyklus passiert, lässt sich später nur mit großem Aufwand wieder korrigieren. Schwachstellen und Sicherheitslücken müssen permanent identifiziert und dann durch Patches und Softwarekorrekturen nachträglich abgedichtet werden. Das ist ein immenser Aufwand und exponiert das Unternehmen, da es immer nur zeitlich verzögert reagieren kann. Daher ein klarer Appell: Trotz der Bedeutung von Time-to-Market und modernster Funktionalität muss die Sicherheit von Tag eins einer Programmierung auf der Agenda stehen.

 

>>> Schutz von öffentlichen Einrichtung, lesen Sie weiter auf der nächsten Seite!