Startseite > Security > Incident Response rückt in den Fokus

Interview mit Stefan Strobel, Cirosec, zur Lage der IT-Sicherheit

Incident Response rückt in den Fokus

24. Februar 2015, 6:55 Uhr | LANline/Dr. Wilhelm Greiner

LANline sprach mit Stefan Strobel, Gründer und geschäftsführender Gesellschafter des Spezialisten für IT- und Informationssicherheit Cirosec mit Sitz in Heilbronn, über die Facetten der aktuellen Lage in der IT-Sicherheit. Die Themen reichten vom Sony-Hack Ende 2014 über lang anhaltende, gezielte Angriffe (Advanced Persistent Threats, APTs), die Risiken für die "Industrie 4.0" und Reaktionen auf Sicherheitsvorfälle (Incident Response) bis hin zum jüngst bekannt gewordenen "Carbanak"-Angriff auf Bankennetze (LANline berichtete).

LANline: Herr Strobel, welche Auswirkungen haben aktuelle Security-Vorfälle wie der viel diskutierte Sony-Hack von Ende 2014 auf deutsche Unternehmen? Geht nun auch hier die Angst um, „gesonyt“ zu werden?

Stefan Strobel: Für viele deutsche Unternehmen ist Sony sehr weit weg und einfach ein Konzern, der ins Visier von Hackern beziehungsweise Nachrichtendiensten geraten ist. Generell finden sich aber die Unternehmen hierzulande zunehmend damit ab, dass man nicht jede Bedrohung vermeiden kann, und investieren stärker in Detektion und Reaktion statt – wie traditionell üblich – vor allem in Prävention. Incident Response rückt damit in den Fokus.

LANline: Was bedeutet das konkret?

Stefan Strobel: Reife in puncto Incident Response bedeutet: sich vorbereiten, Reaktionspläne haben, Know-how und CERTs (Computer Emergency Response Teams, d.Red.) im Haus vorhalten. Manche größere Unternehmen brechen sogar die Silos zwischen den einzelnen IT-Bereichen auf und entwickeln ihre CERTs weiter zu einem vollumfänglichen SOC (Security Operations Center, d.Red.), in dem sie die Sicherheitskompetenzen zu allen Aspekten der IT-Infrastruktur bündeln. Und dies bedeutet auch, dass es Positionen mit dedizierter und übergreifender Verantwortung für Security, Incident Response und Forensik gibt.

LANline: Für welche Arten von Unternehmen ist die Einrichtung eines hauseigenen SOCs zu stemmen?

Stefan Strobel: Ein eigenes Security Operations Center betreiben Konzerne mit großen IT-Bereichen, außerdem IT-Outsourcer wie HP, IBM oder die Telekom sowie natürlich Managed-Security-Service-Provider wie zum Beispiel Dell Secureworks.

LANline: Sollten Mittelständler also diesen Aufgabenbereich an einen externen SOC-Anbieter auslagern?

Stefan Strobel: Ein Auslagern ergibt hier nur Sinn, wenn der SOC-Dienstleister zugleich der Outsourcing-Partner für die Gesamt-IT des jeweiligen Unternehmens ist. Denn im Ernstfall braucht das SOC die Rechte für den sofortigen Durchgriff auf die Server und Endgeräte.

LANline: Wie sollte ein Mittelständler vorgehen, wenn ein solches Auslagern für ihn nicht infrage kommt?

Stefan Strobel: Generell sollten Mittelständler die IT-Sicherheit als eine eigenständige, wichtige Aufgabe wahrnehmen und sich der Herausforderung stellen. Dies bedeutet, entsprechende Rollen zu definieren, Prozesse wie zum IT-Risiko-Management, Verwundbarkeits- und Patch-Management einzuführen und nicht zuletzt auch Budget dafür einzukalkulieren. Ein Unternehmen muss heute ein Security-Gesamtkonzept haben, ebenso jemanden, der die Gesamtverantwortung für die Sicherheit trägt. Für die Umsetzung kann man sich an ISO 27001 orientieren und daraus für das eigene Unternehmen geeignete Strukturen und Maßnahmen ableiten. Insgesamt gilt: Der Mittelstand muss Security ernster nehmen.

LANline: Wie schafft ein Unternehmen diesen Sprung, welchen Aspekt sollte es dabei in den Mittelpunkt stellen?

Stefan Strobel: Zu definieren ist zunächst immer: Was bedeutet Sicherheit für mich, was sind meine Kronjuwelen? Daraus leitet sich dann ab: Was ist zu schützen, damit es beispielsweise stets vertraulich und verfügbar bleibt?

LANline: Derzeit ist viel die Rede von der „Smart Factory“ und von „Industrie 4.0“. Die Industrie sollte doch eigentlich wissen, was ihre „Kronjuwelen“ sind. Geht man in der Industrie das Thema IT-Sicherheit nun also fundierter an als im LAN?

Stefan Strobel: Beim Thema Industrie 4.0 prallen Welten aufeinander: die IT- und die klassische Produktionswelt. Heute steht der Hype um vernetzte Produktion im Fokus, jeder will dabei sein und bloß nichts verpassen. Da sieht man dann nur das große Wertschöpfungspotenzial – obwohl mitunter zu hinterfragen wäre, ob es denn überhaupt gegeben ist. Beispiel Automobilindustrie: Das „Connected Car“ zieht die Aufmerksamkeit auf sich, aber in der eigentlichen Produktion sieht man von „Industrie 4.0“ noch gar nicht so viel. Aus der Sicherheitsperspektive ist dies bedenklich, denn in einem Hype rücken Sicherheitsfragen leider oft in den Hintergrund.

LANline: Bis vor Kurzem hätte man glauben können, wenigstens die Banken hätten ihre IT-Sicherheit im Griff. Doch dann kam der „Carbanak“-Report. Hat dieser groß angelegte APT-Angriff auf die Finanzwelt Sie überrascht?

Stefan Strobel: Ich habe so etwas schon seit Jahren erwartet. Denn in der Bankenbranche herrschte die Einstellung vor: „Das mit den APTs betrifft uns nicht direkt, sondern nur unsere Kunden.“ In der Tat hatten zielgerichtete Angriffe bislang bevorzugt Bankkunden im Visier, und deshalb dachte man, das geht immer so weiter, weil ein Angriff auf Endanwender einfacher ist als der auf ein Banken-RZ. Diese Einstellung ist aus heutiger Sicht nicht mehr zu halten. Carbanak ist eine Zäsur, er hat die Finanzindustrie wachgerüttelt.

LANline: Der Einstieg für die Carbanak-Angriffe war stets Spearphishing in Kombination mit dem Ausnutzen bekannter Schwachstellen in Microsoft Office. Wird sich diese Gefährdungssituation denn abstellen lassen?

Stefan Strobel: Carbanak zeigt, dass nicht nur die Industrie ein Problem mit gezielten Angriffen hat, sondern auch die Bankenbranche. Mit der Veröffentlichung der Angriffe sind die Schwachstellen aber noch nicht behoben. Die Angriffe laufen ja weiter. Das Problem ist: Mitarbeiter werden immer auf Attachments klicken, wenn diese glaubhaft von einem Kollegen stammen. Andere müssen sogar auf Attachments Unbekannter klicken, zum Beispiel wenn sie in der Personalabteilung arbeiten und Bewerbungen per E-Mail erhalten. Software wiederum wird immer Zero-Day-Schachstellen aufweisen, und der Zeitverzug zwischen dem Veröffentlichen eines Patches und dessen Rollout wird ebenfalls immer erhalten bleiben. Das Problem lässt sich also durch bessere Sensibilisierung der Mitarbeiter und schnelleres Patchen nicht lösen.

LANline: Was raten Sie vor diesem Hintergrund den Banken oder anderen Unternehmen, um sich vor der Kombination aus Spearphishing und Zero-Days zu schützen?

Stefan Strobel: Ein nützlicher Ansatz ist die Mikrovirtualisierung, wie der Hersteller Bromium sie anbietet: ein Sandboxing auf Prozessorebene. Ist Mikrovirtualisierung im Einsatz, kann man auf ein Attachment klicken und einfach schauen, was sich tut, ohne andere Prozesse zu gefährden. Denn das Sicherheitsniveau, das Bromium mit seiner Kapselung erreicht, ist vergleichbar mit dem anderer Virtual Machines. Und da der Browser mit seinen Plug-ins heue das primäre Angriffsziel ist, gilt: Kapselt man den Browser, sind 90 Prozent der Probleme auf der Client-Seite schon „abgehakt“.

LANline: Herr Strobel, vielen Dank für das Gespräch.