Nachgefragt bei Udo Schneider, Trend Micro

IT-Sicherheit: Es hapert an der Aufklärung

Interview mit Udo Schneider, Senior Manager PR Communications DACH bei Trend Micro

Udo Schneider, Trend Micro

Udo Schneider, Senior Manager PR Communications DAC bei Trend Micro

ITM: Herr Schneider, Wirtschaftsspionage ist für viele Mittelständler seit längerem ein Thema. Mit dem NSA-Skandal/Prism sowie des britischen Tempora-Programms kommen nun auch staatliche Spähangriffe hinzu. Wie schätzen Sie diesbezüglich die aktuelle Gefahrenlage für den deutschen Mittelstand ein?

Udo Schneider: Offiziell dienen ja alle bisher aufdeckten Maßnahmen nur dem Kampf gegen den Terrorismus. Angesichts der Tatsache, dass sich gerade im deutschen Mittelstand viele Weltmarktführer finden, ist es nur ein kleiner Schritt, ausspionierte Daten auch wirtschaftlich auszunutzen oder weiterzugeben. Und wenn gerade keine Terrorgefahr zur Hand ist, zaubert man halt die vermeintlich allgegenwärtige Bestechungskultur in Europa aus dem Hut.

ITM: Wo sehen Sie derzeit die größten Einfallstore für Spionageaktionen bzw. Wirtschaftskriminalität im Mittelstand? An welchen Stellen sind die Unternehmen derzeit noch offen wie ein Scheunentor?
Schneider:
Von technischen Maßnahmen einmal abgesehen: Viele Unternehmen im Mittelstand sind sich auf der einen Seite der Gefahr leider nicht bewusst und denken „Wer soll uns schon ausspionieren?“. Auf der anderen Seite hapert es immer noch bei der Aufklärung der Mitarbeiter. Diese ist in der Regel zu allgemein und geht zu wenig auf spezielle Gefahren ein wie zum Beispiel Social-Engineering-Taktiken, da diese unabhängig von der Intention der Angreifer ein beliebtes Einfallstor darstellen.

ITM: Ausspähaktionen laufen zumeist im Verborgenem ab – wie perfide gehen staatliche Institutionen bzw. Industrie-/Wirtschaftsspione mittlerweile vor? Welche Methoden werden in der Regel angewandt?
Schneider:
Die verwendeten Werkzeuge, wie Social Engineering und Sicherheitslücken, sind bei normaler Schadsoftware und Industriespionage bis auf Details identisch. Bei der gezielten Spionage ist das Verhalten nach dem Errichten des initialen Brückenkopfes ein anderes. Anstatt wahllos „alles“ mitzunehmen oder beim kleinsten Problem aufzugeben (ein Verhalten, das durch das Preis-/Aufwand-Verhältnis erklärt wird), sind Angreifer aus diesem Milieu deutlich langatmiger.

ITM: Wie bemerkt man, dass man Opfer einer Spähaktion wurde? Was sollte die IT-Verantwortlichen stutzig machen?
Schneider:
Wenn das eigene Produkt zum halben Preis im Markt auftaucht, ist es natürlich zu spät. Ebenso verhält es sich, wenn auf einmal eine andere Partei die eigenen Entwicklungen zum Patent anmeldet ... Grundsätzlich ist aber ungewöhnliche Kommunikation bzw. ungewöhnliches Verhalten der Systeme ein erster Warnhinweis. Dies natürlich auch nur, wenn die Systeme permanent überwacht werden und deren ungewöhnliches Verhalten im Vergleich zum normalen Verhalten überhaupt festgestellt werden kann.

ITM: Wie sollten IT-Verantwortliche beim ersten Verdacht reagieren? Welche Maßnahmen sollten umgehend in die Wege geleitet werden?
Schneider:
Bitte nicht in Panik verfallen, alles vom Netz trennen und alles neu aufsetzen! Damit verbaut man sich sämtliche Möglichkeiten, dem Angreifer forensisch auf die Schliche zu kommen. Als erster Schritt bietet sich daher die Einbeziehung von entsprechender Experten und, wenn gerechtfertigt oder gar zwingend notwendig, von Ermittlungsbehörden.

ITM: Mit welchen Technologien und Lösungen können sich Mittelständler vor staatlichen bzw. wirtschaftlichen Spionagetätigkeiten schützen? Was raten Sie zur Gefahrenabwehr?
Schneider:
Ungewöhnliches Verhalten kann nur erkennen, wer diese vom normalen Verhalten unterscheiden kann. Daher ist die durchgehende Überwachung sensibler Systeme Pflicht. Dies fängt mit ungeliebten Aufgaben wie dem Auswerten von Log-Informationen an und hört mit dem Patchen der Systeme bzw. dem Patch-Management nicht auf. Entsprechende Technologien zur Erkennung von Angriffen bzw. Konsolidierung von Daten (SIEM) sind am Markt verfügbar – sie müssen aber auch rechtzeitig (d.h. vor einem Angriff) ausgerollt werden, um ihre volle Wirksamkeit entfalten zu können.

ITM: Wie können sich Unternehmen insbesondere im Mobility-Bereich vor solchen Gefahren schützen?
Schneider:
Auch im Mobility-Bereich stellt „Datenhygiene“ einen guten ersten Schritt dar. Daten, die nicht auf den mobilen Endgeräten gespeichert sind, können von diesen auch nicht entwendet werden. Anstatt also Applikationen und Daten auf den Geräten lokal vorzuhalten, ist die Nutzung von (im eigenen RZ gehosteten) Webapplikationen eine mögliche Alternative. Das mobile Endgerät „verkommt“ also zum reinen Terminal. In vielen Fällen schlägt man damit zwei Fliegen mit einer Klappe, da das Endgerät nicht mehr mittels einer Vielzahl von Protokollen mit der Firma kommuniziert und die Daten auch nicht mehr lokal vorhält.

ITM: Wie aufwendig ist die Anwendung solcher Technologien und Lösungen?
Schneider:
Die größte Hürde bei dem oben genannten Modell ist leider wie so oft die Erwartungshaltung der Anwender – also der klassische Konflikt zwischen Sicherheit und Komfort. Bei einer zentralisierten Datenhaltung kann man halt nicht „mal eben schnell“ mit einem beliebigen Gerät auf die Daten zugreifen. Am Beispiel E-Mail verdeutlicht heißt dies, dass nicht der native E-Mail-Client des Gerätes genutzt wird, sondern man „umständlich“ über einen Web-Client arbeitet. Mit diesem ist aber das schnelle Einfügen von Fotos oder der Zugriff auf andere Komfortfunktionen des Gerätes nicht möglich. Leider entscheiden sich viele Firmen aufgrund des Drucks der Mitarbeiter dann doch gegen die Sicherheit und für den Komfort und hoffen gleichzeitig, dass schon nichts Schlimmes passieren wird.

ITM: Was halten Sie von dem zuletzt mehrfach geäußerten Vorwurf (etwa vom BITMi), dass kein Anwenderunternehmen sicher sein kann, ob bzw. welche Hintertüren in den benutzten Soft- und Hardwareprodukten ausländischer Anbieter (z.B. aus USA, Asien) eingebaut sind?
Schneider:
Diese Aussage ist technisch und sogar mathematisch (Stichwort Halteproblem, de.wikipedia.org/wiki/Halteproblem) leider vollkommen korrekt. Bei Software, die über die Komplexität eines simplen „hello world!“ hinausgeht, kann nicht eineindeutig entschieden werden, ob diese außer der offensichtlichen Funktion noch weitere Funktionen enthält.  Man kann also nur über den Ursprung der Software mit einer entsprechenden Risikoeinschätzung zu einer Entscheidung gelangen, ob der Einsatz der Software vertreten werden kann. Dies betrifft auch Open-Source-Software!

ITM: Stichwort Cloud Computing: Anbieter aus diesem Umfeld hielten sich nach Bekanntwerden der staatlichen Spähaktionen mit Äußerungen in der Öffentlichkeit merklich zurück. Was denken Sie, warum legte man eine solche Zurückhaltung an den Tag?
Schneider:
Die Technologie-Stacks bei Cloud-Anwendungen sind heute so komplex, dass kaum ein einzelner Cloud-Anbieter sich über das Gefahrenpotential jeder einzelnen Komponente klar sein kann. Damit fällt auch eine Pauschalaussage zur Sicherheit sehr schwer. Nur weil man sich keiner Lücken im eigenen Stack bewusst ist, heißt das noch lange nicht, dass nicht irgendwo tief unten in einer Sub-sub-sub-Komponente eine Gefahr lauert. In diesem Kontext sollte man in der Zurückhaltung also kein stilles Schuldeingeständnis sehen, sondern eher die technische Schwierigkeit, bei einem komplexen System, das man nicht komplett selbst entwickelt hat, eine rechtlich verbindliche Aussage über das Gesamtsystem zu treffen. Auf der anderen Seite gibt es aber durchaus verbindliche positive Äußerungen von Unternehmen am Markt.

ITM: Öffnet sich mit dem Auslagern in eine externe Cloud für Mittelständler automatisch ein neues Sicherheitsleck? Insbesondere da selbst die bislang als „sicher“ geltenden Rechenzentren in Deutschland bzw. innerhalb der Europäischen Union nicht vor Spähangriffen und Datenklau gefeit scheinen?
Schneider:
Rein organisatorisch müsste man nicht nur auf ein Rechenzentrum in Europa achten, sondern auch darauf, in der Besitz-/Beteiligungskette des Anbieters nur Firmen aus dem EU-Raum zu finden. Mit dem Auslagern der Prozesse gibt man zwangsweise althergebrachte Kontrollmechanismen auf. Ziel ist es also, diese aufgegebenen Kontrollmechanismen durch andere zu ersetzen und zu erweitern, um das gewünschte Schutzniveau zu halten.

ITM: Dank welchen Maßnahmen bzw. Vorgehensweisen könnten mittelständische Unternehmen doch noch einen recht sicheren Weg in die Cloud finden?
Schneider:
Ein möglicher Ansatz ist es, die Cloud als „feindliches Territorium“ zu betrachten und die eigene Sicherheitsstrategie auch entsprechend auszurichten. Dies impliziert natürlich auch, sich nicht ausschließlich auf die vom Cloud-Service-Provider bereitgestellten Sicherheitsmechanismen zu verlassen bzw. als Risikobeurteilung immer damit zu rechnen, dass Daten dort entwendet werden könnten. D.h. man muss sowohl klassische Sicherheitsmechanismen (z.B. Patches, Firewall, IDS/IDP, Antivirus, ...) selbst ausrollen und kontrollieren als auch am besten alle Daten beim Cloud-Service-Provider nur verschlüsselt vorhalten – und zwar so, dass man selbst die ausschließliche Kontrolle über die Schlüssel hat. Langfristig erscheint mit vollständig homomorphe Verschlüsselung ein Silberstreif am Horizont. Dies würde es einem Kunden ermöglichen, einem Cloud-Dienste-Anbieter verschlüsselte Daten zu übergeben, so dass dieser auf diesen immer noch verschlüsselten Daten sinnvolle Operationen durchführen kann, ohne jemals die Klartextdaten zu sehen. Bis diese Technologie jedoch praktisch einsatzfähig ist, dürften noch ein paar Jahre vergehen ...

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok