Über Billigprodukte und Treppenwitze
"Hype um Blockchain stößt mir sauer auf"
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Sebastian Rohr ist seit zehn Jahren geschäftsführender Gesellschafter der accessec GmbH. Seit knapp 20 Jahren begleitet ihn der Themenkomplex des Identity & Access Managements (IAM) in all seinen Facetten. Im Rahmen des Cybersecurity-Seminars von COMPUTERWOCHE, CIO und Fraunhofer AISEC am 7./8. März 2018 wird Rohr als Referent und Moderator auftreten.
Cybersecurity-Seminar: Jetzt noch anmelden!
Herr Rohr, welche Security-Trends sehen Sie auf die einzelnen Branchen in diesem Jahr zukommen? Bleibt Ransomware 2018 Gefahr Nummer eins, zumindest in der öffentlichen Wahrnehmung?
Sebastian Rohr: Ransomware als Trend zu bezeichnen, halte ich für brandgefährlich! Diese gefährliche Art der MalwareMalware ist ein besonders unangenehmes Symptom der leidigen Tatsache, dass wir es global und über nahezu alle Branchen hinweg nicht schaffen, grundlegende Prozesse der IT-Sicherheit wie die Verteilung von Patches für bekannte Sicherheitslücken einigermaßen zeitnah auszuführen. Ransomware ist ja kein Hexenwerk und nutzt in den seltensten Fällen hochaktuelle Zero-Day Exploits aus - oftmals sind es seit vielen Wochen oder gar Monaten bekannte Schwachstellen -, die zu einem Befall mit dieser Art Malware führen. Alles zu Malware auf CIO.de
In gewissem Sinne bin ich dem erheblichen Erfolg der verschiedenen Typen der Ransomware geradezu dankbar, denn sie haben IT-Sicherheit überhaupt einmal in der öffentlichen Wahrnehmung auftreten lassen.
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Bußgeldandrohung sorgt für Bewegung
Welche wirklichen Security-"Trends" sehen Sie denn dann?
Sebastian Rohr: Für nahezu alle Branchen steht die Absicherung der administrativen Zugriffe im absoluten Fokus. Alle Arten von Lösungen für das sichere Session Management beziehungsweise die Verwaltung privilegierter Konten werden durch die massiven Missbrauchsfälle durch Innentäter in der Priorität nach oben rücken.
Wenn es in den nächsten Monaten ein heißes Thema im Grenzbereich zwischen DatenschutzDatenschutz, Datensicherheit und IT-Sicherheit gibt, dann die neuen Anforderungen durch die europäische GDPR respektive die deutsche Variante DSGVO. Alleine die Androhung von hohen Bußgeldern hat hier hohe Awareness auf Vorstandsebene geschaffen. Auf Basis unserer intensiven Kooperation mit Spezialisten für Datenschutz aus den großen Sozietäten sehen wir bei der Bewältigung der GDPR-Anforderungen eine weitaus wichtigere Aufgabe als Ransomware zu bekämpfen. Um genauer zu sein: GDPR wird zwangsläufig dazu führen, dass Unternehmen ihre IT-Systeme deutlich besser schützen, was im Umkehrschluss - hoffentlich - zu einem schnelleren Ausrollen von Patches führen wird. Damit wird auch die Gefahr der Ransomware gebannt. Alles zu Datenschutz auf CIO.de
Der Hype um die Kryptowährungen wie Bitcoin und die dahinterstehende Technologie der BlockchainBlockchain stoßen mir tatsächlich als negativer Trend auf! Die in den letzten Monaten entstandene Blase wird eher kurzfristig platzen. Das wird den wirklich spannenden und erheblich lösungsorientierteren Ansätzen der zweiten Generation von Blockchain den Wind aus den Segeln nehmen - wie zum Beispiel dem von der IOTA Foundation geförderten "Tangle" Ansatz als Directed Acyclic Graph. Alles zu Blockchain auf CIO.de
Unsichere Billigprodukte
Security im Internet of Things, kurz IoT-Security, ist ein heißes Thema derzeit. Warum wirkt sich die "totale Vernetzung" so extrem auf den Bedarf an neuen Security-Architekturen, -ansätzen und -lösungen aus?
Sebastian Rohr: Das besonders markante Problem der IoT-Security ist die schiere Anzahl an IoT-Geräten, die den Markt überschwemmen. Viele Hersteller versuchen mit besonders schnell auf den Markt geworfenen und günstig produzierten Geräten, ihre Position in diesem aufstrebenden Segment zu sichern. Wie die jüngsten Ereignisse zeigen, wird an der Sicherheit offensichtlich als erstes gespart. Kaum einer der Hersteller berücksichtigt auch nur die grundlegenderen Regeln zur Entwicklung eines sicheren Produkte.
Das von uns seit Jahren propagierte "Security by Design" wird vollständig ignoriert. Die Geräte kommen nicht nur unsicher auf den Markt, sondern sind bei allen Bemühungen der Kunden und Betreiber nicht annähernd in einen sicheren Betriebszustand zu überführen. Das liegt daran, dass sie teilweise fest verdrahtete, hochprivilegierte Benutzerkonten mit nicht änderbaren Passworten enthalten. Da diese Geräte jedoch fast ausnahmslos über eine Netzwerk-Konnektivität verfügen und zudem oft auch automatisch Verbindung mit dem Internet aufnehmen, können sie selbst mit geringen Mitteln und wenig Vorkenntnissen voll automatisiert gehackt, kompromittiert und übernommen werden.
Das im letzten Jahr bekannt gewordene Mirai-Botnetz ist das Ergebnis der Ignoranz der sogenannten "First Mover" und "Early Adopter" im IoT, die mit ihren unsicheren Billigprodukten Risiken unermesslichen Ausmaßes produzieren. Aus meiner Sicht kann hier nur eine deutlich verschärfte und gesetzlich verankerte Produkthaftung dazu führen, dass diese Anbieter zumindest grundlegende Sicherheitsfunktionen anbieten und einen sicheren Betrieb ihrer Produkte ermöglichen.
The latest #IoT #botnet displays evidence of a halfway clever #botmaster https://t.co/y3BoWM91mv #Mirai #Satori
— Francesca Bosco (@francibosco) 2. Februar 2018
Den Anschluss verpasst!
Inwieweit ist zumindest das Grundverständnis von Cyber- und IT-Sicherheit auch eine Aufgabe des CEOs, CIOs und anderen Vorstandsfunktionen im Unternehmen?
Sebastian Rohr: Es ist nahezu ein Treppenwitz, dass die Zukunft des deutschen Mittelstandes und der Industrie nur durch eine radikale Adaption der digitalen Transformation gesichert werden kann. Aus meiner Sicht haben weite Teile der patriarchalisch inhabergeführten mittelständischen Unternehmen den Anschluss an die neue digitale Weltordnung bereits verpasst und können nur mit Herkuleskräften wieder aufs rechte Gleis gerückt werden. Betrachtet man die massive IT-Abhängigkeit, die selbst kleinere mittelständische Unternehmen mittlerweile prägt, so ist es mir komplett unverständlich, dass in den wenigsten Unternehmen die IT-Leitung - oder neudeutsch der CIO - Teil der Geschäftsleitung oder des Vorstands ist.