Das letzte Jahr hat viele neue Sicherheitslücken gebracht.
Für Christopher Ehmsen, Cyber-Security-Verantwortlicher bei
T-Systems Alpine, braucht es jetzt Kombination und Integration.
Für Christopher Ehmsen gehören Aha-Effekte quasi zum täglichen Geschäft. Seit dem letzten Jahr gilt das ganz besonders. Er leitet das Portfoliomanagement und den Solution Sales für das Thema Cyber Security bei T-Systems Alpine, und sein Team führt bei vielen Kunden laufend Schwachstellenanalysen durch. Nach mehr als einem Jahr Pandemie konstatiert er, dass sich die Zahl und Vielfalt der potenziellen Einfallstore in Unternehmensnetzwerke durch Home Office & Co. dramatisch vergrößert hat. Und dass die Gefahr besteht, dass man viele davon gar nicht am Radar hat: „In der ersten Phase wurden binnen kürzester Zeit sozusagen viele neue Türen geöffnet, damit die Mitarbeiter auch von daheim aus auf verschiedenste Systeme und Daten zugreifen konnten und der Betrieb rasch weiter funktionieren konnte. Einen Teil dieser Türen hat man dann jedoch aus den Augen verloren.“
Gründe dafür gibt es genug: Weil es sehr viele unterschiedliche, oft auch kleine, Türen sind, und weil eben alles sehr schnell gehen musste. Und weil man sie ja ohnehin nur vorübergehend öffnen wollte, für oft improvisierte Übergangslösungen, die damals vielfach auch nicht als Dauereinrichtung geplant waren. Oder, weil man manche Türen gar nicht selbst geöffnet hat, und quasi nur den Schlüssel unter die Türmatte gelegt hat ... zum Beispiel für Dienstleister, um etwas an einer Produktionsmaschine zu konfigurieren oder zu warten. Eines haben viele dieser Türen aber gemeinsam: Sie sind heute unversperrt und manchmal auch vergessen.
Herr Ehmsen, wo tun sich die meisten dieser unversperrten oder vergessenen Türen auf – wo sind die größten Sicherheitslücken?
Die größte Sicherheitslücke und der neuralgischste Angriffspunkt sind sicher die User. Dieser Umstand ist nicht neu, aber das hat sich im letzten Jahr massiv verstärkt. Die Mitarbeiter im Home Office sind von Informationen, Tools und von Zugängen zu unterschiedlichsten Systemen überflutet. Beruflich genauso wie privat – mit Online Banking, Online Shopping und so weiter. Gleichzeitig sind die Anonymität und damit auch die Unsicherheit viel größer geworden, weil ich bei Kollegen nicht mehr im Büro gegenüber direkt nachfragen kann, sondern primär über E-Mail oder Chats kommuniziere. Dadurch ist es für Angreifer viel leichter geworden, zu Credentials und Zugangsdaten der User zu kommen, und damit in ein Unternehmensnetzwerk einzudringen.
Auch wenn Social Engineering schon vor der Pandemie eine Bedrohung darstellte, haben viele Unternehmen in den letzten Jahren vor allem in technische Abwehrmaßnahmen investiert, um sich gegen die rasant wachsende Anzahl klassischer Cyber-Angriffe zu schützen. Hätte man da im Nachhinein auch mehr in Sachen User Awareness tun müssen? Beispielsweise, um auf neue Bedrohungen und Risiken durch Home Office & Co. hinzuweisen?
Die User Awareness für das Thema Security und für neue Bedrohungen zu stärken, ist immer notwendig. Das machen ja auch viele Unternehmen. Aber es geht weniger darum, den Fokus stärker auf Social Engineering oder auf klassische Cyber-Angriffe zu richten, oder ihn hin und her zu verlagern. Es ist wichtig, eine Gesamtsicht und eine Gesamtstrategie zu entwickeln .
Wodurch sollte diese Gesamtstrategie geprägt sein?
Dass ein Angreifer in das Unternehmensnetzwerk eindringt, wird man nicht mehr mit absoluter Sicherheit verhindern können. Da können wir noch so gute organisatorische und technische Vorkehrungen treffen.
Wir müssen uns daran gewöhnen, dass Sicherheitslücken auftreten. Umso entscheidender ist es, sie möglichst früh zu erkennen und eine klare Strategie zu haben, wie und vor allem wann diese geschlossen werden können.
Angreifer werden immer besser darin, sich unauffällig im Netzwerk zu verbreiten. Deshalb müssen wir gute Tools einsetzen und diese sinnvoll miteinander kombinieren, damit wir es auch schaffen, bei der Detection, der Erkennung von Angriffen, besser zu werden. Umso mehr Einzelelemente dabei kombiniert werden, umso schlagkräftiger werden wir bei der Abwehr von Security-Risiken.
Wie lässt sich das konkret umsetzen? Welche Voraussetzungen und Hebel braucht es dafür?
Einen wichtigen Hebel bilden technische Tools. Im Bereich Cyber Defense sind diese in den letzten Jahren sehr viel intelligenter geworden. Mit ihrer Hilfe können wir immer schneller und besser Millionen und Milliarden von Daten quer über alle Prozesse sichten und daraus die richtigen herausfiltern, um zu erkennen, wo es Anomalien im Netzwerk oder im Verhalten der einzelnen Komponenten gibt. Und um zu analysieren: Sind diese durch einen Angriff von außen hervorgerufen, oder ist die Anomalie einfach dadurch entstanden, dass ein Geschäftsprozess zu diesem Zeitpunkt tatsächlich atypisch verlaufen ist, und ich kann sie deshalb ignorieren? Das hilft uns entscheidend dabei, frühzeitig zu erkennen, wo sich Angreifer eingenistet haben. Und auch dabei, nicht nur rasch, sondern auch punktgenau und effektiv darauf zu reagieren. Einerseits, um zu verhindern, dass die Angreifer – wenn sie entdeckt sind – noch möglichst viel Schaden anrichten, Daten absaugen oder sich ein Backdoor öffnen. Und andererseits, um die Response-Maßnahmen so zielgerichtet zu gestalten, dass man zum Beispiel nur bestimmte Segmente oder Rechnergruppen vom Netz nehmen kann und nicht den ganzen Betrieb lahmlegen muss. Die intelligenten technischen Tools bilden aber nur die Basis, auf der wir das Konzept einer ganzheitlichen Security-Sicht aufsetzen müssen.
Sind in den meisten Unternehmen schon das Bewusstsein und die Voraussetzungen dafür geschaffen?
Das Bewusstsein dafür ist schon in vielen Unternehmen vorhanden, auch besonders durch die Erfahrungen der Pandemie, wo sich herausgestellt hat, dass die Vorbereitung auf unterschiedliche Risken sehr wichtig ist. Viele beginnen jetzt gerade damit, konkrete Voraussetzungen in Form eines entsprechenden strukturierten Managements zu schaffen. Das Motto „Patchen wir alles“ reicht nicht. Dazu gilt es, sich intensiv mit einer Reihe von Fragen auseinanderzusetzen: Wie bringe ich einen Patch wirklich aus? Wo kann ich das innerhalb von Stunden machen? Wo ist ein System ohnehin total abgeschottet? Und wo habe ich solche Abhängigkeiten, dass ich eine Vorplanung brauche und andere Systeme abgeschaltet werden müssen, damit ich meine Produktion nicht lahmlege? Für die Antworten benötigt es allerdings tiefgreifendes Wissen und eine eingehende Analyse der Systeme und der etwaigen Schwachstellen, weil die Dinge immer komplexer miteinander kommunizieren und zusammenspielen.
Ein Zusammenspiel, das schon vor der Pandemie ein komplexes und vielerorts auch herausforderndes Thema war, ist das zwischen IT und OT. Ist das durch die Pandemie auch noch komplexer geworden? Bei Home Office denkt man ja eher an die klassischen Backoffice-Bereiche und weniger an die Produktion.
Durch die digitale Vernetzung sind wachsende Remote-Zugriffe in der Produktion nicht erst seit der Pandemie ein großes Thema – intelligente Fernwartung beispielsweise ist ein absoluter Trend. Das hat sich im letzten Jahr natürlich extrem verstärkt. Und das macht auch die Security-Szenarien noch komplexer, wenn die Angriffsmöglichkeiten sich auf Teile der Produktion erweitern.
In der Produktion hat man es oft mit Maschinen und Steuerungsgeräten zu tun, die zwar auf IT-Komponenten basieren, aber viel heikler bei technischen Eingriffen reagieren, und die aufgrund sehr langer Lebenszyklen oft mit veralteten Software-Versionen ausgestattet sind. Hier mal rasch Patches auszubringen, geht da in den meisten Fällen gar nicht.
Angreifer machen allerdings keinen Unterschied zwischen organisatorischen Unternehmensbereichen. Für professionelle Angreifer geht es einfach darum, einen Weg in die Unternehmen und in deren Systeme zu finden.
Umso wichtiger sind geeignete Mittel zur Erkennung von Angriffen und Strategien zur Eindämmung. Speziell herausfordernd wird es im Bereich der Produktion, wenn die Produktionsabläufe sehr komplex sind und man nicht so schnell mal Förderbänder oder Produktionsmaschinen einfach stoppen kann. Und wenn heute immer mehr Produkte nicht mehr physisch am Ende eines Fließbandes ankommen, sondern, zum Beispiel in Form von Apps, digital sind, wird Datensicherheit noch einmal auf einer zusätzlichen Ebene zur Herausforderung. Je besser deshalb IT-Verantwortliche mit Produktionsverantwortlichen übergreifend abgestimmt sind, desto besser ist zumindest der Plan, wie auf eine Security-Bedrohung reagiert werden kann.
Haben solche Erkenntnisse den Gap zwischen IT und OT im letzten Jahr eher kleiner oder größer werden lassen?
Die Entwicklung, dass IT und OT näher zusammenrücken, ist schon beschleunigt worden. Das ist zum Beispiel bei der Kommunikation und der Sprache zu beobachten – die beiden Welten beginnen einander schön langsam zu verstehen. Und es ist in diesem Zusammenhang auch als Trend zu sehen, dass immer öfter die IT-Wissenden, also die CIOs und die CISOs, auch Verantwortung für den OT-Bereich übernehmen, insbesondere beim Thema Security. Nicht zuletzt, weil diese Rollen zumeist auch das Thema Digitalisierung mit vorantreiben und sich dazu bereits mit der Prozesswelt des Unternehmens beschäftigen.
Aber auch in der OT ist durch die Pandemie das Bewusstsein für Fragen nach Schwachstellen, die eine Produktion stoppen könnten, deutlich gewachsen, insbesondere natürlich – aber nicht nur –, in systemrelevanten Sektoren. Das ist wichtig, weil eine Gesamtsicht weit mehr umfasst als IT und OT. Das gesamte Risk Management gehört dazu.
Also auch eine neue Betrachtungsweise von Risiken?
Es geht in diese Richtung. Wenn man über Security redet, dann liegt der Fokus oft auf sehr technisch orientierten Lösungen und Maßnahmen. Aber im letzten Jahr wurde deutlich, dass Unternehmen nicht nur mit Risiken durch Cyber-Angriffe auf die Security konfrontiert sind, sondern es heute mit einer komplexen Risikowelt zu tun haben, die darüber weit hinaus geht. Beispielsweise, wenn die Mitarbeiter während eines Lockdowns nicht mehr ins Unternehmen kommen, oder wenn kritische Rollen oder Wissensträger nicht verfügbar sind.
Das heißt, auch im Risikomanagement bedarf es noch viel stärker ein zentrales Gesamt-Framework, in das die technische, die wirtschaftliche und die organisatorische Ebene einfließen, und das von ISO-Zertifizierungen bis zu gesundheitlichen Risiken reicht.
Solch ein Framework ist natürlich sehr komplex, allerdings kann man sich auch dabei mittlerweile auf sehr intelligente Governance, Risk- und Compliance-Management Tools stützen. Die auch die Wechselwirkung zwischen den verschiedenen Bereichen, Systemen und Prozessen und die spezifischen Szenarien und Anforderungen eines Unternehmens abbilden, von verteiltem Arbeiten bis zu unterschiedlichsten Zertifizierungen.
Für die Verantwortlichen für Security und Risk Management wird es jetzt eine der ganz entscheidenden Herausforderungen, diese integrierte Gesamtsicht zu schaffen und damit auch eine Gesamtstrategie gegen die Vielfalt an Bedrohungen und Risiken zu ermöglichen.
Von Marion Degener; Fotos: Marlena König