Thomas Masicek ist Head of Security Management und Chief Security Officer bei T-Systems Österreich. Er spricht über Einfallstore, Wirtschaftsspionage und Quick-Wins in der Absicherung von Systemen und Netzwerken.
(+) plus: Wie stehen es um die IT-Sicherheit in Österreich? Warum werden Unternehmensnetzwerke und Endgeräte angegriffen?
Thomas Masicek: Die Bedrohungslage ist unverändert dramatisch – mit einer Vielzahl an Angriffen, in denen Schadsoftware zunehmend gezielt eingesetzt wird. Wir beobachten, dass viele Schadcodes vorab getestet worden sind. Diese fertigen Produkte stellen dann das Einfallstor dar, das auf einem Schwarzmarkt gehandelt wird.
Dabei ist Datendiebstahl einer der wesentlichen Treiber. Bei einem unserer Kunden hatten wir Spionageaktivitäten entdeckt. Beschädigt oder zerstört wurde zwar nichts, aber es wurden Informationen abgesaugt. Für einen Technologiekonzern etwa ist das natürlich eine heikle Sache.
(+) plus: Im schlimmsten Fall bemerkt man also einen Eindringling nicht?
Masicek: Wenn es die Angreifer gut machen, merken Sie nichts. Vor kurzem hatte sich ein anderes Unternehmen an uns gewandt: Wir stellten fest, dass ein Angreifer über eineinhalb Jahre unbemerkt Daten mitgeschnüffelt hatte. Das Ziel sind normalerweise sensible interne Informationen wie etwa Rezepturen, personenbezogene Daten oder Produktionsdaten, Designinformationen – einfach Daten, die in irgendeiner Form wertvoll sind. Daten sind das Öl der Zukunft und sie können schon heute entsprechenden zu Geld gemacht werden. Das betrifft aber nicht nur Technologieunternehmen. Wir hatten auch Vorfälle in der Verwaltung.
Es ist aber nicht nur dieser unmittelbare Schaden, sondern es betrifft auch das Image eines Unternehmens. Mittlerweile gibt es auch eine Meldepflicht solcher Vorfälle aufgrund der Datenschutz-Grundverordnung – es könnten ja potenziell auch personenbezogene Daten betroffen sein.
(+) plus: Wer spioniert österreichische Unternehmen aus? Der heimische Mitbewerb oder Angreifer aus fernen Ländern?
Masicek: Das ist sehr gemischt und kommt auf das Opfer an. Letztlich entscheidet die Exponiertheit eines Unternehmens über das Risiko, angegriffen zu werden. Je eher sensible Daten und Know-how in einer Organisation liegen, desto stärker droht Gefahr. Die eigenen Finger macht sich da niemand schmutzig. In der Regel hacken Organisationen auf Auftrag durch Dritte. Welcher Auftraggeber dann tatsächlich dahintersteckt, ist nur schwer nachzuvollziehen. Wir haben Lösungen, die es – wenn man die Plattform rechtzeitig etabliert – ermöglichen, Angreifer zurückzuverfolgen. Mit diesen sogenannten »Deception Technologies« werden Aktivitäten eines Angreifers genau beobachtet und es werden auch präparierte Informationen bereitgestellt.
Es müssen aber nicht immer »Targeted Attacks« sein: Sehr oft werden Unternehmen ungezielt Opfer von großflächigen Phishing-Kampagnen, die zufällig auch die eigene
Domäne betreffen.
(+) plus: 2017 war das Jahr der großen Angriffe mit Ransomware, in denen Festplatten verschlüsselt und Unternehmen erpresst wurden. Ist das vorbei?
Masicek: Die großen Wellen sehen wir nicht mehr, Ransomware gibt es aber weiterhin – mit neuen Versionen und ausgeklügelteren Techniken. Auch heuer hat man wieder von einzelnen Hotelbetreibern lesen können, die mehrmals Opfer wurden. Und auch zu unserem Geschäftsalltag gehören regelmäßig Incidence-Response-Einsätze. Sie schaffen es nur nicht in die Presse.
(+) plus: Wie groß ist die eigene Schuld, wenn man Opfer einer Phishing-Attacke wird? Betrifft das eher Unternehmen, die Software-Updates vernachlässigen?
Masicek: Es gibt schon schwarze Schafe ohne Sicherheitsvorkehrungen, die der Meinung sind, Kriminelle würden sich ohnehin nicht für sie interessieren. Die Mehrzahl hat aber standardmäßig abgesicherte Systeme – trotzdem kann etwas passieren. Heutzutage ist es fast nicht möglich, sich rundum vor Angriffen zu schützen. Selbst eine auf dem neuesten Stand gehaltene Virenschutzsoftware am Arbeitsplatz erkennt neue Malware in den ersten ein bis zwei Wochen nach ihrem erstmaligen Auftreten nicht. Ist eine Phishing-Attacke dann noch authentisch gestaltet, ist dem Mitarbeiter letztendlich nichts vorzuwerfen, wenn dieser auf einen falschen Link klickt. Es braucht dann schon die perfekte Absicherung, die auch ein Erkennen von Anomalien miteinschließt. Reine Verteidigung ist heute nicht mehr ausreichend.
(+) plus: Was bietet T-Systems dazu für Unternehmen?
Masicek: Das beginnt bei einer Absicherung der Arbeitsplätze mit einer Endpoint-Security-Lösung, die auch Smartphones und Tablets einbezieht. Das heißt: Am Arbeitsplatz wird eine Sicherheitskonfiguration mit entsprechenden Policies gesetzt. Angriffe und Anomalien werden auf den Geräten erkannt und an ein zentrales »Security Operations Center« gemeldet.
Der zweite Teil betrifft das gesamte Unternehmensnetzwerk. Wer kommuniziert mit wem? Welche Daten werden verschickt? Mit einer Anomalie-Kontrolle können Abweichungen erkannt werden. Wir bieten dazu Security-Information- und Event-Management-Systeme, die kombiniert mit Intrusion Detection die Log-Files der Server und den gesamten Netzwerk-Traffic analysieren. Eine klassische Intrusion-Detection-Lösung liefert eine Vielzahl an Alarmen. Das kann manuell nicht mehr abgearbeitet werden. Durch die Korrelation aller Informationen und Vorfälle wird eine kleine Menge qualifizierter Alarme herausgefiltert, die rund um die Uhr von unserem Security Operations Center nachverfolgt werden können. Ein Unternehmenskunde bekommt dann Maßnahmen vorgeschlagen, um ein Problem zu beheben. Damit wird verhindert, dass jemand unentdeckt mehrere Wochen oder Monate Zugriff auf ein Netzwerk hat.
Der dritte große Themenblock ist die Absicherung von Netzwerken und Applikationen mittels Next-Generation-Firewalls. Vor allem Applikationen, die von außen erreichbar sind, benötigen entsprechenden Schutz. Das betrifft sowohl Programmierschwachstellen in der Software, die behoben werden, als auch Volumensangriffe – DDOS-Attacken –, die mit den passenden Vorkehrungen abgefangen werden können. Vor allem geschäftskritische Webservices sollten auf diese Weise abgesichert werden. Das beinhaltet auch das kategorische Ausschließen von Prozessen, die nicht ausgeführt werden sollten – beispielsweise eine Datenbank-Eingabe mittels SQL-Injection. Die sollte von Haus aus gar nicht bis zur Applikation gelangen, da sie ein sogenannter Reverse Proxy abfängt und ausfiltert.
(+) plus: Ist IT-Sicherheit etwas, das Unternehmen generell an spezialisierte IT-Dienstleister auslagern sollten?
Masicek: Wir sehen, dass sowohl Großkonzerne als auch der Mittelstand dieses Thema nicht mehr zu Gänze selbstständig lösen wollen. Sie haben erkannt, dass das erforderliche Personal nicht mehr verfügbar ist – siehe Fachkräftemangel am IT-Sektor. Wir haben in Österreich mittlerweile eines der größten Teams an IT-Security-Spezialisten und bieten damit auch die nötige Skalierbarkeit, Projekte unterschiedlicher Größenordnungen auch in ganz speziellen Bereichen vollumfänglich realisieren zu können.
Bei uns gibt es für jedes Thema einen Experten. Der Kunde bekommt dadurch ein ganzheitliches Service – in einer Qualität, die das Unternehmen in der Regel nie selbst schaffen würde. Informationssicherheit ist unser Kerngeschäft.
(+) plus: Wie viel darf Informationssicherheit kosten? Was antworten Sie hier Ihren Kunden?
Masicek: In der Regel – je nachdem, in welchem Bereich ein Unternehmen tätig ist, und wie kritisch die IT fürs Geschäft ist – sind es zwischen sieben und zehn Prozent des IT-Budgets. Alles darunter ist klar zu wenig. Da fehlt dann mindestens eine Komponente, die eine Absicherung in Summe unvollständig oder ineffizient macht.
(+) plus: Gibt es Quick-Wins in diesem Bereich? Welche Maßnahmen raten Sie Unternehmen zur Absicherung von Daten und Systemen?
Masicek: Man sollte auf jeden Fall zuerst mit einem Security Assessment starten, um die aktuellen Sicherheitsmaßnahmen im Betrieb richtig einzuschätzen. Basierend darauf empfehle ich eine Bedrohungsanalyse mit einem Partner auszuführen, um einen gewünschten Zielzustand abzuklären. Der Weg dorthin ist dann relativ leicht. Es gibt bereits erfolgreiche Beispiele für Umsetzungen und Lösungen am Markt, Best-Practices.
Oft heißt das auch, dass man Bestehendes nicht wegschmeißen muss, sondern nur etwas anpasst. Es sind oft nur ein paar Stellschrauben, die gedreht werden müssen. Viele Unternehmen können dann die Security-Komponenten, die sie bereits im Netzwerk im Einsatz haben, wirksamer betreiben.