Niklas Keller, Head of Cyber Defense Center (CDC) und Teamleiter des neuen CDC-Teams im Bechtle IT-Systemhaus Österreich, über ­Geschäftsmodelle im Darknet, Engagement in der Sicherheit und die Notwendigkeit zur ­Automatisierung.

Report: Welche aktuellen Herausforderungen sehen Sie im Bereich Cybersicherheit in Unternehmen?

Niklas Keller: Ransomware ist nach den jüngsten Attacken auf österreichische Unternehmen sicherlich das große Thema derzeit. Hier steckt ein klares Business-Modell dahinter. Ein Teil der Kriminellen hat sich auf das Programmieren und Bauen von Ransomware-Tools spezialisiert, während sich andere um den Vertrieb im Darknet kümmern. Wir sehen mittlerweile sogar Benchmark-Tests zur Vergleichbarkeit der verschiedenen Anbieter, die offenlegen, wie schnell eine Verschlüsselungssoftware arbeitet. Die Interessenten bekommen im Darknet eine bis ins kleinste Detail beschriebene, fixfertige Anleitung, die auch ohne technische Grundkenntnisse ausführbar ist. Sie liefert Hinweise, wie die Infrastruktur vorbereitet werden muss oder auch Tipps, wie Angreifer sich vor einer Verfolgung durch Behörden schützen können.

Report: Welche Angriffsmethoden sind da zu sehen?

Keller: Es werden sogenannte »Living off the Land«-Techniken eingesetzt, die vorhandene Schutzmaßnahmen umgehen und nicht als Gefahr erkannt werden. Angreifer nutzen Administratorbefehle, die über eine Powershell oder die Eingabeaufforderung CMD abgesetzt werden. Präventive Sicherheitslösungen, die mit Signaturen und Next-Generation-Technologien arbeiten, können das Ausführen solcher Kommandos nicht verhindern und greifen demnach nicht. Die einzigen Technologien, die aktuell für diese Art der Angriffe gerüstet sind, sind »Endpoint Detection and Response«-Lösungen.

Das Ziel der Angreifer ist in der Regel der Diebstahl von Identitäten. Wir kennen aber auch Vorfälle, denen kein initialer Hacker-Angriff vorausging, sondern ein verantwortlicher Administrator Zugangsdaten verkauft hat.

Report: Nun werden oftmals die einfacheren Nutzer*innen als schwächstes Glied in der Sicherheitskette betrachtet. Sind diese nicht eher kompromittierbar als die Kolleg*innen aus der IT?

Keller: Es gibt unterschiedliche Methoden, um in ein Unternehmen einzudringen. Die gängigste Praxis sind Phishing-Mails mit Links oder Attachements, die über eingebettete Scripts eine Schadsoftware aktivieren und einen Client infiltrieren. Der nächste Schritt ist das dauerhafte Einnisten im System und ein Ausforschen des jeweiligen Netzwerks. Die Angreifer sammeln Informationen und stellen dem Administrator mit einem eigens produzierten Fehler eine Falle. Mit einem Anruf beim Administrator gibt dieser dann seine Identitäten preis. Der Täter fängt sie ab, um sich damit selbst im Netzwerk zu bewegen.

Eine weitere, seit März bekannte Methode ist der Angriff auf Exchange Server durch den Hafnium-Exploit. Dabei werden Schwachstellen in lokal betriebenen und über das Internet erreichbaren Services aktiv ausgenutzt. Hafnium betraf Anfang des Jahres alle Unternehmen mit Exchange Servern. Microsoft reagierte mit einem Patch und unser Bechtle-Team empfahl ergänzend Verbesserungen der Architektur und realisierte diese auf Wunsch.
Wir gehen davon aus, dass es rund um Hafnium noch weitere Angriffe geben wird.

Report: Ist der Exchange Service damit weiterhin unsicher?

Keller: Nein, das ist er nicht. Vorsicht ist aber prinzipiell geboten. Software wird von Menschen entwickelt, Fehler und Schwachstellen sind also nicht grundsätzlich auszuschließen. Auch deshalb gibt es rund um Penetration Testing und Bug Bounty Hunting eine wachsende Community, die potenzielle Schwachstellen sucht und beheben will.

Wir empfehlen IT-Verantwortlichen in Unternehmen, sich nicht nur auf Patches und Bugfixes zu verlassen, sondern die gesamte Architektur im Blick zu haben. So können sie das Angriffspotenzial minimieren und mögliche Auswirkungen abschwächen.

Report: Welche Schwerpunkte setzen Sie im Cyber Defense Center bei Bechtle?

Keller: Mit unserem Cyber Defense Center verfolgen wir einen ganzheitlichen Ansatz: Prävention, Detektion und Reaktion. Dabei gibt es zwei Möglichkeiten zum Aufbau eines »Security Operation Centers«, kurz »SOC«. Der konventionelle Security-Incidence-and-Event-Management-Ansatz oder der Next-Generation-SOC-Ansatz, der mit einem sehr hohen Automatisierungsgrad bei der Analyse und der Fehlerbehebung arbeitet. Zusätzlich bieten wir passgenaue Managed Services an. Dazu zählen etwa »Endpoint Detection and Response«, »Network Detection and Response«,« Security Orchestration Automation and Response« und »Security Incidence and Event Management (SIEM)«.

Report: Was kann man sich unter dieser Automatisierung vorstellen?

Keller: Wir platzieren unsere Sensorik an signifikanten Punkten im Unternehmen, meist auf Endgeräten, aber auch im Netzwerk. Die gesammelten Informationen werden automatisiert mit Logikregeln ausgewertet. Je nach Bedrohung werden dann Gegenmaßnahmen eingeleitet. Auf Basis dieser Logiken können auch Verhalten beschrieben werden, um Living-off-the-Land-Techniken zu erkennen, die ansonsten durch das Sicherheitsnetzwerk rutschen würden.
Das ist ein Ansatz, der parallel zu herkömmlichen Maßnahmen und Technologien der Administratoren läuft, die weiter ihren eigentlichen Aufgaben nachgehen. Es bleibt festzuhalten, dass Security-Verantwortliche ohne Automatisierung schnell ans Limit des Machbaren kommen.

Report: Wie sieht es derzeit am Arbeitsmarkt in der IT-Sicherheit aus?

Keller: IT-Fachkräfte sind generell stark nachgefragt – auch im Bereich Security. Daher setzen wir verstärkt auf die Ausbildung eigener Fachleute. Das fängt bei unseren Lehrangeboten an und reicht bis hin zu dualen Studienmöglichkeiten. Aber auch mit Quereinsteiger*innen haben wir gute Erfahrungen gemacht. Bechtle bietet mit flexiblen Arbeitszeitmodellen sowie der Möglichkeit, auch aus dem Homeoffice zu arbeiten, ein attraktives Umfeld in einer zukunftsstarken Branche.

Report: Wie lange dauert die Ausbildung, bis Sie jemanden einsetzen können?

Keller: Wir rechnen hier Minimum mit sechs Monaten Einarbeitungszeit. Interessierten Kolleginnen und Kollegen bieten wir die Möglichkeit, dass sie sich über ergänzende Zertifizierungen schnell weiterentwickeln können.

Report: Steigen die Sicherheitsvorfälle in den Unternehmen – und auch die Awareness für Sicherheitsmaßnahmen?

Keller: Die Zahl der Vorfälle hat auf jeden Fall zugenommen. Unsere Kunden wissen, dass ihr Geschäftserfolg an einer funktionierenden IT hängt. Diese Erkenntnis wirkt sich auch positiv auf die Budgets für IT-Sicherheit aus.
Es ist im Prinzip wie bei einem Auto: Ich entscheide mich für ein bestimmtes Modell mit dem gewünschten Motor. Letztlich entscheiden danach aber regelmäßige Services und Inspektionen, ob, wie und wie lange das Auto läuft.n