Kunden fehlt es häufig am Verständnis für Security-Zusammenhänge

Die Frage ist nicht mehr ob, sondern wann ein Cyberangriff kommt. Damit bringt es Stefan Klatt, erfahrener IT-Security Spezialist, auf den Punkt. Unternehmen machen sich zunehmend Gedanken über die Sicherheit ihrer Infrastrukturen und digitalen Services und brauchen daher Menschen wie Herrn Klatt. Das zeigt auch der aktuelle Hays Fachkräfte-Index, bei dem die Suche nach Sicherheitsexperten im ersten Quartal 2022 kometenhaft um über 100 Prozentpunkte zugenommen hat.  

HAYS Fachkräfte-Index Q1/2022 Referenzwert Quartal 1/2015

 

Entwicklungen in der Cybersecurity- Lage bei Auftraggebern

IT-Freelancer Magazin: Herr Klatt, es scheint als habe sich die Lage für Unternehmen in puncto Cyberattacken nochmals verändert. Das BSI hat allein in 2021 einige Fälle als „Alarmstufe rot“ tituliert. Worin liegt genau die Veränderung und warum kommen die Unternehmen nicht mit?

Stefan Klatt: Das Thema ist für Verantwortliche, die nicht tief in der Materie stecken, nicht greifbar und damit zu abstrakt. Anstatt Planung und Design einem Architekten auf Geschäftsführungsebene anzuvertrauen werden diese Themen sehr gerne nach unten „geschoben“. Verantwortlich ist die Geschäftsführung trotzdem.

Auf der anderen Seite hat die IT für Planung, Implementierung, Wartung, Updates usw. nicht genug Zeit, Geld, Wissen und Manpower.

Awareness bei Auftraggebern

IT-Freelancer Magazin: Sitzen Ihre Auftraggeber möglicherweise einem überholten Verständnis von Cyberkriminalität auf? Sind ihnen Umfang und Auswirkungen bewusst? Was tun Sie in solchen Fällen?

Stefan Klatt: Ich denke nicht, dass man es „überholtes Verständnis“ nennen kann. Folgen und Konsequenzen von Angriffen auf die IT sind kaum beziffer- und detailliert nennbar. Dadurch sind Kosten, die durch Security-Maßnahmen entstehen, nicht bewertbar. Vor allem übergreifende Security-Maßnahmen lassen sich nicht einzelnen Anwendungen/Bereichen zuordnen.

Ich frage firmen-/bankspezifisch welche direkten und indirekten Folgen und Ausfälle entstehen, wenn z.B. der Shop nicht mehr funktioniert oder Daten einzelner oder mehrere Applikationen verschlüsselt werden. Die Summen, die dann genannt werden, können je nach Größe leicht in die Millionen gehen.

Vertrauen ist hier der Schüssel um eine Basis für das Verständnis der Zusammenhänge zu erzeugen.

Die Infrastruktur muss robust gegenüber Angriffen sein – Segmentierung der Netze

IT-Freelancer Magazin: Sie sagen, die Infrastruktur ist das letzte, was bei einem Angriff fallen darf, um die Kronjuwelen zu schützen. Aber Kundenkontaktpunkte wie der Login für digitale Dienste müssen flexibel geschützt werden. Wie geht das zusammen?

Stefan Klatt: Es ist nicht die Frage ob, sondern wann ein Angriff Erfolg zeigt.

Um ein weiteres Vordringen von Angreifern (intern als auch extern!) zu erschweren bzw. unmöglich zu machen ist eine Segmentierung der Netze, auch zwischen Teilen einer Applikation wie Webserver oder Datenbankserver, mit definierten Zugriffen über Firewalls notwendig.

Auch dürfen nur notwendige Daten für den Zugriff von Extern bereitgestellt werden. Aufgrund von Bequemlichkeit und Aufwänden werden gerne komplette Datenbanken verfügbar gemacht und Firewalls wesentlich offener als notwendig konfiguriert. Dies betrifft oft auch Entwicklung und Test Umgebungen.

Ein sehr schönes Beispiel sind Produktions bzw. IoT Umgebungen, die in vielen Firmen direkt mit dem Office Netzwerk verbunden sind. Dies ist dem einfachen Datenaustausch und Zugriff geschuldet.

Um eine verbesserte Security zu erreichen muss man die Themen „automatischer Datenaustausch zwischen Servern und Produktion“ und „Zugriff auf die Produktion aus dem Office Netzwerk“ getrennt betrachten.

Beim Datenaustausch kommen Firewalls, Datendioden, Reverse Proxys usw. zum Einsatz.

Den Zugriff auf die Produktion kann man über Sprungserver und Firewalls realisieren. Hierbei müssen Dienstleister speziell berücksichtigt werden. Dann wirkt sich z.B. eine Infektion mit einem Verschlüsselungstrojaner im Office Netzwerk auf Endbenutzer PCs nicht auf die Produktion aus. Als Nebeneffekt lassen sich Zugriffe protokollieren.

Natürlich muss der Rest des Netzwerks entsprechend durch Segmentierung abgesichert sein, eine dedizierte Betrachtung von Teilumgebungen macht nur im Rahmen einer kompletten Betrachtung Sinn. Auch Sicherheitslücken, wie sie im Artikel des Heise Verlags eindrucksvoll beschrieben werden, lassen sich mit den genannten Maßnahmen eindämmen. Wenn man Systeme nur mit großem Aufwand erreichen kann, dann kann man Sicherheitslücken auf diesen nur erschwert ausnutzen.

Leider ist es immer so, dass Security-Maßnahmen Änderungen in Prozessen und/oder einzelnen Arbeitsschritte notwendig machen. Das lässt sich nicht verhindern, aber abmildern. Transparenz gegenüber der Belegschaft verhilft hier zu mehr Akzeptanz. Als Nebeneffekt einer strikten Segmentierung ist es einfacher Vorgaben wie die der DSGVO einzuhalten.

Security Awareness von Mitarbeitenden

IT-Freelancer Magazin: Stichwort Security Awareness Trainings – wie können auch Mitarbeitende besser vorbereitet werden?

Stefan Klatt: Jährliche oder halbjährliche Tests um Wissen abzufragen sind ein Schritt. Leider lernen viele Menschen nur nachhaltig wenn sie etwas erleben. Um das auszunutzen gibt es z.B. Schulungen mit Rollenspielen, aber auch vorgetäuschte Angriffe, die Benutzer „schocken“. Denn wenn sie einmal erlebt haben was passieren kann, wenn sie einen gefundenen USB-Stick in den Rechner stecken oder auf einen unscheinbaren Link in einer E-Mail klicken, dann werden sie das in Zukunft nicht mehr machen. Meist sind einfache Tipps im Umgang mit der Technik sehr hilfreich.

Mitarbeitende müssen auch in der Form sensibilisiert werden, dass sie jederzeit bei den entsprechenden Stellen (die ev. erst geschaffen werden müssen) nachfragen können, wenn sie unsicher sind. Denn viele Mitarbeitende haben eventuell Angst davor nachzufragen, da sie denken, sie wären selbst dran schuld.

Welches Know How ist bei auftraggebenden Unternehmen gefragt?

IT-Freelancer Magazin: Welches Knowhow bringen Sie konkret in die Projekte ein und wo (in welchen Bereichen) fehlt es den Unternehmen?

Stefan Klatt: Als Freiberufler habe ich mich auf Themen wie Infrastrukturarchitektur, ISM/ISMS, Technisches Partnermanagement, Infrastrukturplanung, Securityanalysen, Changemanagement, Incidentmanagement und Netzwerkanalysen spezialisiert. Um dies darstellen zu können bin ich CISSP, CEH, CISM, ISO 27001 Lead Implementer, VdS Consultant für Cyber-Security (VdS 3473/10000), TOGAF 9, ITIL und Prince2 zertifiziert.

Bei meinen Kunden fehlt es häufig an Verständnis für Infrastruktur und Security Zusammenhängen und der Bewertung von Folgen von Changes und Incidents.

Z.B. ist durch Outsourcing nach einiger Zeit schlichtweg kein Wissen mehr da um die Auswirkungen von Changes, die Dienstleister stellen, bewerten zu können.

Einige Beispiele:

– Ein anderer Kunde des Dienstleisters möchte eine DDOS Lösung (Appliance oder externer Dienstleister/ISP um Distributed Denial of Service Angriffe mit teils sehr hohen Bandbreiten übers Internet abzuwehren) in der Internetanbindung implementieren und der Dienstleister reicht einen Change für einen kurzen Ausfall des Internetzugriffs ein. Das ist auf dem ersten Blick nichts Dramatisches. Was aber wenn die DDOS Lösung nur für den anderen Kunden komplett konfiguriert wurde und das eigene Netzwerk im Fall eines Angriffes „nebenbei“ lahmlegt? Genauso gut können auch Applikationen, deren spezielle Zugriffsarten nicht bekannt sind, gestört oder lahmgelegt werden. Dies kann auch den E-Mail-Verkehr betreffen, wenn für diesen keine speziellen Regeln erstellt wurden. Solche Effekte sind teils schwer nachzuvollziehen, Emails würden in diesem Fall Stunden, teils Tage später oder gar nicht ankommen. Fehlermeldungen der Server sind hier nur sehr bedingt aussagekräftig. Nur eine Netzwerkanalyse und Analyse der Logfiles auf der sendenden Seite können Anhaltspunkte liefern.

– Ein Dienstleister möchte eine globale DNS-Verwaltung implementieren. Auch das ist auf dem ersten Blick eine gute Sache. Leider kann man damit eine AD lahmlegen, wenn nicht genug Sorgfalt bei der Konfiguration an den Tag gelegt wurde.

– Es soll eine Applikation sicher in der Infrastruktur implementiert werden. Was ist dafür notwendig? Was muss der Softwarelieferant hierfür liefern? In welcher Zone mit welchen Rechten und welchen Ressourcen muss die Software implementiert werden? Welches Risiko besteht? Müssen Dienste redundante ausgeführt werden? Was müssen der/die Dienstleister implementieren? Welche Tests sind notwendig?

Um auf Incidents reagieren zu können ist sehr viel Wissen über die Zusammenhänge zwischen Hardware und Software notwendig.

Was passiert bei Ausfällen? Theoretisch ist eine erweiterte CMDB (eine Datenbank aller Services/Geräte inkl. Infos über deren Verbindungen), sofern sie denn vorhanden und aktuell ist, in vielen einfachen Fällen – wie harte Ausfälle von Geräten und Leitungen – in der Lage eine Antwort zu geben. Sobald es etwas komplexer wird reicht das leider nicht aus. Dann ist Erfahrung und Hintergrundwissen gefragt.

Das gilt auch im Falle eines potentiellen Angriffs. Ohne Erfahrung und Wissen ist es nicht möglich adäquat zu reagieren.

Wer trägt die Verantwortung für Cybersecurity im Unternehmen?

IT-Freelancer Magazin: Wo sollte Ihrer Meinung nach die Verantwortung für Cybersecurity Aspekte liegen und warum?

Stefan Klatt: Genau wie für die IT ist die Geschäftsführung für Cybersecurity Aspekte verantwortlich. Das ergibt sich aus der Verantwortung die Firma oder Bank am Laufen zu halten und vor Schäden zu schützen.

Durch Outsourcing z.B. lässt sich Verantwortung an sich nicht delegieren. Nur die Ausführung auf eine andere Firma verschieben, entlässt die Geschäftsführung nicht aus ihrer Verantwortung.

Dies geht soweit, dass ein eigenes Monitoring der Infrastruktur und der Security (kombiniert mit einem ISMS) inkl. der kritischen Services notwendig ist. Theoretisch könnte man sich auf seine Dienstleister verlassen, aber wie möchte man diesem im Ernstfall nachweisen können, dass die Infrastruktur so, wie vertraglich vereinbart, läuft? Zugriffe auch unter Last performant genug sind? Ausfallzeiten wirklich wie dokumentiert sind? Die Security gewahrt ist (Updates, Zugriffe, Logs, usw.)? Firewalls wie geplant laufen? Wenn mehrere Dienstleister involviert sind kann man ein Fingerpointing, bei dem sich diese gegenseitig beschuldigen Schuld zu haben („Bei uns läuft alles, das kann nur am anderen Dienstleister liegen“), meist nur mit eigenem Monitoring und Wissen auflösen.

Unabhängig davon wird bei Prüfungen gerne darauf geachtet, dass man selbst in der Lage ist den Zustand der Infrastruktur auf Knopfdruck zu bewerten.

IT-Freelancer Magazin: Gibt es einen Rat, den Sie jungen Nachwuchs-Kolleg*innen mit auf den Weg geben möchten?

Stefan Klatt: Hört nie auf zu lernen und schafft Euch Test- und Spielumgebungen zum Experimentieren.

Es gibt kaum was schlimmeres als von etwas zu reden, das man noch nie gesehen hat, mit dem man noch nie „gespielt“ hat.

Über den Interviewpartner: 

Stefan Klatt ist Freiberufler mit Spezialisierung auf Themen wie Infrastrukturarchitektur, ISM/ISMS, Technisches Partnermanagement, Infrastrukturplanung, Securityanalysen, Changemanagement, Incidentmanagement und Netzwerkanalysen . Um dies darstellen zu können ist er CISSP, CEH, CISM, ISO 27001 Lead Implementer, VdS Consultant für Cyber-Security (VdS 3473/10000), TOGAF 9, ITIL und Prince2 zertifiziert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Nachrichten und Ratgeber für IT Freelancer  

   + kostenlos

   + kompakt

   + monatlich

   + spamfrei

Das Neueste zum Wettbewerb 'IT Freelancer des Jahres'

Newsletter des IT Freelancer Magazins