Am Rande der Sicherheitskonferenz IT-Defense Anfang Februar in Stuttgart sprach LANline mit Stefan Strobel, Geschäftsführer des Veranstalters Cirosec, über die Lage der IT- und der IoT-Sicherheit (Internet of Things). Trotz all der IT-Defense-Vorträge, die ein breites Spektrum an Risiken – von der Überwindung biometrischer Zugangskontrolle bis zu Sicherheitsmängeln in Industrieanlagen und Windrädern – plastisch vor Augen führten: Der Security-Fachmann zeigte sich voller Vertrauen in die Möglichkeiten, IT-Umgebungen wirkungsvoll abzusichern.

LANline: Laut dem neuesten Malwarebytes-Report hat die Zahl der entdeckten Angriffe auf Unternehmen gegenüber dem Vorjahr um 79 Prozent zugenommen. Ist dies schlicht das Ergebnis eines veränderten Verhaltens der Angreiferschaft oder klafft die Schere zwischen den Angriffswerkzeugen – Stichwort EternalBlue, Emotet, TrickBot – und der Effizienz der Abwehr immer weiter auseinander?

Stefan Strobel: Ich glaube nicht, dass diese Schere auseinandergeht. Natürlich steigt die Zahl der Angriffe – es war immer schon ein „Rüstungswettlauf“, es gibt immer neue Angriffstechniken und ausgenutzte Schwachpunkte. Doch aufsehenerregende Fälle wie kürzlich Ransomware bei Krankenhäusern in Großbritannien waren wohl eher Kollateralschäden als ein APT (Advanced Persistent Threat, d.Red.), der auf den britischen Gesundheitssektor zielte. Windows 10 wiederum hat mit Defender die Endpoint-Sicherheit einen großen Schritt vorangebracht. Wenn man in Unternehmen das Arsenal an Windows-10-Funktionen vernünftig ausnutzt, kann man sehr viel erreichen. Dazu muss man aber Windows 10 Enterprise einsetzen und die Gruppenrichtlinien korrekt konfigurieren.

LANline: Das „Internet of Things“ (IoT) bedeutet: Malware und fehlerhafter Firmware-Code können nicht nur zum Risiko für Daten werden, sondern auch für den Menschen, etwa durch Unfälle, Missbrauch etc. Wie reagieren die IT-Organisationen auf diese veränderte Risikolage?

Stefan Strobel: Das wird wahrgenommen und stößt auf sehr viel Interesse. Wir erhalten immer wieder Anfragen von Unternehmen, in denen man überlegt, wie man IoT-Sicherheit organisatorisch am besten abbildet oder wie man die Sicherheit von IoT-Geräten prüfen kann.

„Der Mensch wird weiter Fehler machen, aber die Technik, um diese Fehler auszugleichen, wird immer besser“, so Cirosec-Geschäftsführer Stefan Strobel. Bild: Cirosec

„Der Mensch wird weiter Fehler machen, aber die Technik, um diese Fehler auszugleichen, wird immer besser“, so Cirosec-Geschäftsführer Stefan Strobel. Bild: Cirosec

LANline: Im IoT-Zeitalter könnten jegliche Elektrogeräte, die irgendeine Fachabteilung beschafft, Schwachstellen oder Sicherheitslücken wie etwa hart codierte Zugangsdaten enthalten. Eigentlich müsste also heute jegliche Gerätebeschaffung über den Schreibtisch des IT-Security-Teams laufen, dafür ist aber natürlich kein Personal vorhanden. Wie kann man dieses Problem in den Griff bekommen?

Stefan Strobel: Da gibt es kein Patentrezept. Ein Unternehmen muss hier einen individuellen Prozess etablieren, denn die Zuständigkeiten können je nach Unternehmen variieren. Ein Ansatz könnte zum Beispiel sein, dass die IT-Abteilung eine Whitelist zugelassener Geräte oder Gerätehersteller herausgibt. Hinzu kommen technische Maßnahmen zur Integration, etwa ein eigenes WLAN für IoT, VLANs oder Ähnliches. Sind diese Mechanismen einmal etabliert, ist die Integration eines neuen IoT-Geräts im Idealfall nur noch ein zusätzlicher Mausklick.

LANline: Welche Möglichkeiten gibt es für Unternehmen, sich gegen Supply-Chain-Angriffe wie etwa mit Malware infizierte IoT-Firmware zur Wehr zu setzen?

Stefan Strobel: Zuerst muss ein Unternehmen sicherstellen, dass die Geräte überhaupt zu patchen sind – bei vielen Anbietern aus dem Consumer-Umfeld ist das nicht vorgesehen. Dem Hersteller kann man entweder vertrauen, dass Supply-Chain-Angriffe nicht möglich sind – namhafte deutsche Hersteller prüfen das –, oder man verifiziert es selbst mit Penetrationstests, wie etwa auch bei unternehmenskritischen Datenbanken oder Applikationen. Diese Prozesse sind in vielen Unternehmen bereits vorhanden, sie müssen nur für IoT adaptiert werden. Der Markt bietet diverse Dienstleistungsangebote oder Werkzeuge zur Prüfung von IoT-Firmware. Solche Tools untersuchen Firmware-Updates automatisiert nach bekannten Schwachstellen.

LANline: Manche Fachleute fordern angesichts der verschärften Bedrohungslage, die durch die zunehmende Vernetzung unterschiedlichster Alltagsgeräte entsteht, eine staatliche Regulierung. Was schätzen Sie hier in Europa – jenseits der DSGVO – den Stand der Dinge ein, und wo sollten wir hier Ihrer Meinung nach stehen?

Stefan Strobel: Das ist ein sehr schwieriges Thema, denn oft ist die Politik sehr weit weg von der Realität im IT-Betrieb. Ein Beispiel ist das neue IT-Sicherheitsgesetz: Wieviel sicherer werden kritische Infrastrukturen dadurch? Das Gesetz hat zunächst vor allem mehr Bürokratie erzeugt, und die Zeit zur Erfüllung bürokratischer Anforderungen fehlt dann bei der Behebung von Schwachstellen. Man kann die Sicherheitsprozesse beim Hersteller zertifizieren, aber damit verbessert sich nicht automatisch die Sicherheit. Es wäre schön, einen Hersteller in die Pflicht nehmen zu können, aber so nett die Idee eines Prüfsiegels auch klingt, es ist nicht für jede Branche umsetzbar. Auch eine Art Produkthaftung kann angesichts schnelllebiger Globalisierung Probleme bereiten, denn man müsste das etablieren, ohne den Markt zu Lasten gründlich arbeitender deutscher Anbieter zu verzerren.

LANline: Bruce Schneier prognostizierte jüngst, dass eines Tages eine KI-gestützte (künstliche Intelligenz) Qualitätssicherung von Code für sichere Applikationen sorgen wird; allerdings werde es eine Übergangsphase geben, in der auch die „Bösen“ Zugang zu diesen KI-Analysen haben, die Softwareanbieter aber noch nicht ausreichend Zeit und/oder Ressourcen, um die ausgenutzten Lücken zu schließen. Wie sollten sich IT-Organisationen auf dieses vielleicht gar nicht so ferne Szenario vorbereiten?

Stefan Strobel: Ich glaube nicht, dass wir hier einen plötzlichen Vorteil der Angreiferseite zu erwarten haben. Sowohl Sicherheitsexperten als auch Angreifer setzen inzwischen KI an verschiedenen Stellen ein. Natürlich braucht ein Softwareanbieter Zeit, um gefundene Schwachstellen zu beheben, aber auch ein Angreifer benötigt Zeit, um einen funktionierenden Exploit für eine gefundene Schwachstelle zu erstellen. Erschwerend kommt für ihn hinzu, dass die modernen Betriebssysteme immer mehr Mechanismen zum Schutz vor Exploits enthalten und immer mehr Softwarehersteller Prozesse zur sicheren Entwicklung etablieren. Dadurch wird es für einen Angreifer immer schwieriger, sein Ziel über neue technische Schwachstellen zu erreichen.

LANline: Ein dadurch um so wichtigeres Bedrohungsszenario: Phishing-Angriffe sind heute oft täuschend echt gemacht, und es reicht ein einzelner Endanwender, der darauf hereinfällt, um teils enormen Schaden anzurichten, wie im Fall von Ransomware wiederholt geschehen. Müsste der Versuch der IT-Organisationen, die Endanwender zu sicherem Umgang mit IT anzuleiten, also über klassische Security-Awareness-Trainings hinausgehen, und wenn ja: in welcher Weise?

Stefan Strobel: Menschen bleiben Menschen, sie haben Schwächen, sind im Projektstress und so weiter. Sensibilisierung wird also immer eine Sisyphus-Aufgabe bleiben, da kann man noch so kreativ sein. Der Mensch wird weiter Fehler machen, aber die Technik, um diese Fehler auszugleichen, wird immer besser. Zum Vergleich: Wie schnell konnte man ein Auto in den Anfangsjahren der Automobilität durch Fehlbedienung beschädigen und sogar zerstören! Die IT ist vergleichsweise jung, dennoch gibt es bereits Verfahren wie Mikrovirtualisierung und Datenwäsche, die Benutzerfehler ausgleichen können. Sensibilisierung ist wichtig, aber man muss die Technik auf einen Reifegrad bringen, dass die Sicherheit einer Unternehmensumgebung nicht von der Sensibilisierung des einzelnen Mitarbeiters abhängt.

LANline: Herr Strobel, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.