Andreas Scheurle von Dell im Interview
Im Visier von Ransomware
Es vergeht keine Woche mehr ohne Schreckensmeldung über Unternehmen, die Opfer eines Ransomware-Angriffs geworden sind. LANline sprach deshalb mit Andreas Scheurle, Produktspezialist für Endpoint Security bei Dell, über die Hintergründe dieser Angreifbarkeit, mögliche Vorbeugungsmaßnahmen sowie darüber, was bei der Reaktion auf Vorfälle zu beachten ist.
LANline: Herr Scheurle, Ransomware hat sich unter Kriminellen offenbar als lukratives Geschäftsmodell etabliert – und ist damit für viele Sicherheitsverantwortliche wohl das Security-Problem Nummer eins. Wie kommt es, dass Unternehmen so anfällig sind für Erpressungstrojaner?
Andreas Scheurle: In der Tat gibt es massiv Breaches und Ransomware-Attacken, die die Security-Infrastruktur auf den Prüfstand stellen. Viele Unternehmen haben Endpoint Security lange vernachlässigt: Sie setzen auf signaturbasierte Antivirus-Tools und ein veraltetes Backend – ein Problem, das sich noch verschärft, wenn die Mitarbeiter im Home-Office arbeiten. Digitalisierung, New Work und Work from Home erfordern Next-Generation-Antivirus, hier können Cloud-basierte, multimandantenfähige Tools ihre Stärken ausspielen. Erfolgreiche Angriffe muss man laut DSGVO veröffentlichen, so geraten sie an die Öffentlichkeit. Bei Gesprächen auf Management-Ebene ist das Thema omnipräsent, denn es hat direkten Einfluss auf das Geschäft. Außerdem kommt es regelmäßig vor, dass ganz gezielt unternehmenskritische Systeme angegriffen werden. Davon sind auch viele Unternehmen betroffen, von denen man das nie gedacht hätte. Oft geht das Hand in Hand mit Phishing – ein riesiges Problem, auch durch Digitalisierung und Work from Home, zumal Phishing häufig für Ransomware-Attacken genutzt wird.
LANline: Phishing und Spear-Phishing setzen kein mobiles Arbeiten voraus. Inwiefern hat der „Work from Home“-Trend Ransomware-Angriffe erleichtert?
Andreas Scheurle: Heute sagen immer mehr Unternehmen, darunter Siemens und Dell: Remote Work ist die neue Realität. Aber viele Unternehmen haben das Thema Work from Home lange vernachlässigt, oft war es gar nicht gewünscht. Und als plötzlich eine größere Zahl der Mitarbeiter remote auf interne Ressourcen zugreifen sollte, gelangten veraltete Technologien an ihre Grenzen: So schnell wie erforderlich konnte man die VPN-Infrastruktur zunächst gar nicht ausbauen. Da haben manche Unternehmen den Zugriff auf die Ressourcen eben anderweitig ermöglicht. Erschwerend kam hinzu, dass die Mitarbeiter nicht mehr im geschützten Perimeter waren.
LANline: Das Perimeter-Sicherheitsdenken herrscht also immer noch vor?
Andreas Scheurle: Das ändert sich gerade. Es geht immer mehr in Richtung Zero-Trust und Work from Anywhere als Konsequenz aus der neuen Normalität: Man schaut immer mehr auf die Identität des Nutzer und gewährt Zugriffe identitätsgesteuert statt eines klassischen VPN-Zugangs. VMware setzt hier mit Carbon Black auf „intrinsische Security“. Bei hyperkonvergenter Infrastruktur, die Software-Defined funktioniert, zum Beispiel ist es sinnvoll, dies an neuralgischen Punkten zu implementieren.
LANline: Rick McElroy von Carbon Black hat in der LANline erst kürzlich den Status quo der Bemühungen um intrinsische Sicherheit erläutert. Abgesehen von VMware und Carbon Black: Welche intrinsische Sicherheitsmechanismen liefert Dell denn auf der Endgeräteseite?
Andreas Scheurle: Auf Hardware-Ebene bietet Dell eine sogenannte Safe BIOS Off-Host Verification. Das BIOS wird hier mittels dezentraler Infrastruktur überprüft. Anhand von über 50 Parametern wird analysiert, ob das BIOS deckungsgleich ist mit dem, was erwartet wird, um Manipulation auszuschließen. In Carbon Black gibt es dann einen Alert im Fall von Manipulationen. Hinzu kommen Maßnahmen wie Safe ID, ein proprietäres Chipset, das in einigen Geräten für das sichere Speichern biometrischer Daten verbaut ist.
LANline: Zur Abwehr von Ransomware raten Sicherheitsfachleute immer wieder zu Security-Awareness-Trainings. Offenbar gerät dieser Ansatz aber an seine Grenzen, wenn es reicht, mittels Phishing oder gar Spear-Phishing einen einzelnen Anwender zu überlisten. Welche technischen Maßnahmen sind als Ergänzung unerlässlich?
Andreas Scheurle: Die wichtigsten Ratschläge bezüglich Technik zur Abwehr von Ransomware-Attacken sind nach wie vor unverändert: zeitgemäße Antivirus-Technologie, EDR (Endpoint Detection and Response, d.Red.) und vor allem eine ganzheitliche Betrachtung der IT-Sicherheit, also User, Infrastruktur und Lösungen. Weitere wichtige Punkte sind die Authentifizierung mit Zugriffen nach dem Least-Privilege-Prinzip, das wird oft vernachlässigt.
LANline: Die Etablierung von Least Privilege ist ein aufwendiges Projekt, es kostet Geld und erfordert Expertise. Was sollen kleinere Unternehmen machen, die sich das nicht leisten können oder nicht über die nötige Expertise verfügen?
Andreas Scheurle: Bei kleineren Unternehmen kommen Managed Security Services ins Spiel. Von externer Security-Kompetenz können viele Unternehmen massiv profitieren.
LANline: Wie sollte ein Unternehmen vorgehen, sobald es einen Ransomware-Befall feststellt?
Andreas Scheurle: Zunächst sollte es die Behörden informieren und sich auf LKA-Ebene um Hilfe bemühen. Dort gibt es inzwischen Spezialisten, auch Forensiker, die direkt Input geben können, um Datenverluste zu vermeiden. Als Nächstes sollte man einen spezialisierten Dienstleister hinzuziehen, der Erfahrung mit Incident Response (Reaktion auf Angriffe, d.Red.) hat. Dell SecureWorks bietet speziell hierfür einen Incident Response Retainer. Das ist ein Kontingent von 40 Stunden, im Prinzip wie eine Prepaid-Karte für Incident Response. Der Retainer steht für Reaktionsmaßnahmen nach einem Ransomware-Angriff bereit, lässt sich aber auch für andere Dienstleistungen nutzen, etwa für Audits oder High-Level-Security-Beratungsleistungen. Als zweite Variante gibt es einen Emergency Response Service: Im Angriffsfall bezieht man die Dienstleistungen zu ähnlichen Konditionen, aber als reiner Ad-hoc-Service.
LANline: Was erachten Sie neben Ransomware als die weiteren drängendsten Probleme der Endpoint-Sicherheit?
Andreas Scheurle: Neben Ransomware sehen wir vor allem das Risiko von DDoS-Angriffen. Auch sie werden vermehrt zur Erpressung genutzt, weil die Unternehmen immer stärker auf digitale Infrastruktur angewiesen sind. Ein weiteres Problemfeld ist die sichere Nutzung von Cloud-Services. Es gibt immer wieder Vorfälle, bei denen Unternehmensdaten in Cloud-Services öffentlich abrufbar waren. Public-Cloud-Services müssen sicher konfiguriert sein, sonst kommt es schnell zum Super-GAU. Und schließlich ist der akute IT-Fachkräftemangel ein Problem, vor allem im Security-Bereich. Die Unternehmen suchen händeringend nach entsprechenden Experten.
LANline: Sehen Sie Hebel, um diesen Fachkräftemangel zu entschärfen?
Andreas Scheurle: International legen viele Unternehmen in letzter Zeit weniger Wert auf die akademische Ausbildung des IT-Security-Personals. Immer öfter greift man auf Quereinsteiger zurück, die tief im Thema sind. Das ist eine gewisse Erleichterung, löst aber das Problem nicht dauerhaft. Security-Jobs müssen vor allem attraktiver werden. Hier ist Besserung in Sicht: Immer öfter wird Security in KPIs (Key Performance Indicators, d.Red.) messbar gemacht. Dann sieht man auch die Erfolge der eigenen Arbeit.
LANline: Wie würden Sie vor diesem Hintergrund insgesamt den Status quo der IT-Security zusammenfassen?
Andreas Scheurle: Die allermeisten Unternehmen haben heute das Thema Security auf der Agenda, das ist ein Fortschritt. Bis intrinsische Sicherheit verbreitet ist, wird es noch dauern. Denn das ist ein Prozess, der erfordert, bestehende Prozesse aufzubrechen. Aber wir sind auf einem besseren Weg als noch vor ein, zwei Jahren. Ebenfalls eine gute Nachricht: Bei Modernisierungsprojekten steht heute IT-Security immer gleich mit im Fokus.
LANline: Herr Scheurle, vielen Dank für das Gespräch.
Lesen Sie mehr zum Thema
