IT meets Press: Security im Zeitalter von Cloud und IoT

Die rasanten Veränderungen in der Entwicklung der IT machen es für Anwender immer schwieriger, ein hinreichendes Security-Niveau zu halten. Wie sie den zunehmenden Anforderungen genügen können, das war Thema des Presse-Roundtables IT meets Press, der übrigens vor dem Angriff auf die Telekom-Router stattfand. Eines verdeutlichte die lebhafte Podiumsdiskussion: Sich gegen Attacken – auch und gerade im IoT – zu wehren, wird zunehmend anspruchsvoller, aber auch die Sicherheitslösungen werden intelligenter.

Vor zahlreichen IT- und Wirtschaftsjournalisten diskutierten Milad Aslaner von Microsoft; Tolga Erdogan von Dimension Data; Mirco Rohr von Bitdefender; Matthias Reinwarth von KuppingerCole und Dr. Jürgen Spilker von der DATEV. Die Macher von IT meets Press, Christoph Witte und Wolfgang Miedl, moderierten die spannende Podiumsdiskussion zum Thema „Security im Zeitalter von Cloud und IoT“.

Noch nie waren Angriffe leichter

„Einen erfolgreichen Angriff zu starten, war selbst für Laien nie leichter als heute“, erklärte Tolga Erdogan, Director Solutions und Consulting beim IT-Dienstleister Dimension Data mit Blick auf die groß angelegten DDoS-Attacken der letzten Monate. Bei diesen Angriffen, zum Beispiel auf die weltweite DNS-Infrastruktur, seien auch zahllose IoT-Devices gekapert und als „Sklaven“ in Bot-Netzen missbraucht worden. Er plädierte dafür, DDoS – obwohl eigentlich eine wohlbekannte Angriffstechnik – nicht zu unterschätzen. „Diese Angriffsart ist auch im IoT am destruktivsten und am schwersten zu kontrollieren. Damit werden Verfügbarkeiten angegriffen und das kann fatale Auswirkungen haben, wenn ich an Produktionsanlagen oder Energieversorgung denke.“

Auch Matthias Reinwarth, Senior Analyst bei KuppingerCole, betonte: „Das IoT ist ein neuer vielversprechender Markt – und derzeit eine der massivsten Sicherheitsbedrohungen. Denn IoT-Devices wie Sensoren, Kameras, Thermostate, Waschmaschinen, Produktionssteuerungen, Produktionsmaschinen und viele andere Geräte mit IP-Adresse seien in der Regel weder geschützt, noch unterliegen sie regelmäßigen Update- oder Patch-Zyklen.

Eklatanter Mangel an Sicherheitsexperten

Hinzu komme der eklatante Mangel an ausgebildeten Sicherheitsfachleuten und das damit einhergehende Fehlen an Kompetenz in den Unternehmen. Diese Knappheit an geschulten Leuten sieht Dr. Jürgen Spilker, Leiter Datenschutz und Informationssicherheit bei der DATEV, „als eine der größten Sicherheitsbedrohungen“ an.

Allerdings ist das nur eine unter vielen Gefährdungen der IT-Sicherheit. Zwar hat sich nach Meinung der Podiumsdiskussionsteilnehmer in Sachen Cloud-Security seit den „Wildwestzeiten“ am Anfang der Cloud-Ära viel getan. Aber die Anbieter müssen Reinwarth zufolge noch wesentlich mehr tun.

„Heute achten insbesondere die großen Anbieter darauf, dass sie die Regularien der Länder erfüllen, in denen sie tätig sind. Sie erlangen die relevanten Zertifikate. Das ist aber noch nicht genug. Es ändert sich vieles mit der europäischen Datenschutzgrundverordnung.“  Dabei seien noch einige Hausaufgaben zu erledigen, denn unter anderem müssen neue Prozesse geschaffen werden.

Wie ernst Microsoft das Thema Sicherheit nimmt, erklärte Milad Aslaner, Senior Product Manager Windows Commercial und Security bei Microsoft Deutschland: „Microsoft hat eine Milliarde US-Dollar in Cybersecurity investiert –das ist mehr als die gesamte IT-Sicherheitsbranche zusammen.“ Daraus resultieren unter anderem zusätzliche Kapazitäten in den Bereichen Azure, Office 365 und Windows, die sich intensiv mit Cybersicherheit beschäftigen. „Bei der Produktentwicklung geht es uns darum, leistungsstarke Sicherheitslösungen zu entwickeln. Ein Großteil unserer Forschungsarbeit befasst sich dabei mit der Entwicklung von innovativen Methoden zur aktiven Bekämpfung von Internetkriminalität“, so Aslaner.

Schwierigkeiten bei der Bewertung

Mirco Rohr, Global Evangelist beim Antivirushersteller Bitdefender, sieht noch ein anderes Problem: „Gerade mittelständische Unternehmen haben Schwierigkeiten, die Sicherheits-Services zu bewerten, die ihnen von Cloud-Providern geboten werden. Sie wissen also gar nicht, ob ihre Daten beim Cloud-Provider ausreichend abgesichert sind.“ 

In diesem Bereich müssten Anwenderunternehmen ihre Hausaufgaben machen. Mittelständler dürften nicht hoffen, dass der Cloud-Provider die Verantwortung für die Sicherheit ihrer Daten übernehme. „Die Verantwortung für die Sicherheit der Daten liegt immer beim Besitzer der Daten.“ Reinwarth ergänzt: „Genau das macht Security heute so viel komplexer. Wir speichern in der Cloud: also im Grunde auf Computern, die uns nicht gehören. Wir sind zwar verantwortlich für die Sicherheit, aber der Provider sichert die Daten de facto ab und wir können nur eingeschränkt kontrollieren, ob er alles richtig macht.

Spilker zeigt sich indes überzeugt, dass Cloud-Angebote auch in Sachen Sicherheit helfen können, die Komplexität für den Kunden zu reduzieren. Dies belegte er am Beispiel der Datev: „Jeder unserer Anwender kann über von uns definierte Schnittstellen Daten in unserem Rechenzentrum speichern und abrufen, und wir verteilen diese Daten dann verlässlich an die richtige Stelle. Wenn er unsere Cloud nicht als Datendrehscheibe nutzen würde, müsste er zum Teil hunderte verschiedene Kommunikationswege pflegen und absichern.“

Ein schwieriges Unterfangen – vor allem in digitalisierten Produktionsprozessen, bei denen Daten viele „Hände“ durchlaufen. In jeder davon könnten sie kriminell manipuliert werden. Die Lösung für Reinwarth heiß: Hashing und Verschlüsselung während des Transports. 

Security-Lifecycle gefordert

Doch auch an die Dokumentation und die Archivierung dieser immensen Datensammlungen müsse gedacht werden. In Sachen Archivierung fordert Erdogan die Entwicklung eines Security-Lifecycle, denn „über eine Technologie wie das Prüfsummenverfahren, das vor zehn Jahren als sicher galt, lachen heute die Sicherheitsexperten.“ Und bei der Dokumentation komplett elektronischer Prozesse könnten für Reinwarth Blockchain-Technologien zum Einsatz kommen, die durch Verteilung und Kryptografie sicherstellen, dass die übermittelten Daten nicht manipuliert werden können. 

Ein weiteres Sicherheitsproblem stellte für die Diskussionsteilnehmer die Virtualisierung dar. Zu den bisher gewohnten Hardware-Virtualisierungen komme jetzt die Virtualisierung der Applikationen durch Software-Container wie Docker. „Die sind preiswert zu haben, und Hacker können nach Belieben testen, wie sich dort die Security-Schichten am besten überwinden lassen. Und Software ist immer einfacher anzugreifen als Hardware“, mahnte Erdogan.  Damit eröffnen sich neue große Betätigungsfelder – für Angreifer und Anbieter.

Bei der Frage nach dem aktuell wichtigsten Sicherheitsbereich gilt für Aslaner somit die Devise „Assume Breach“: Unternehmen müssen heute davon ausgehen, dass sie angegriffen werden – und dann muss schnell gehandelt werden. Deshalb setzt Microsoft nicht nur auf Pre-Breach-Security, sondern verstärkt auf Post-Breach-Lösungen, „die Anwender in die Lage versetzen, bereits erfolgte Angriffe schnell zu erkennen und die davon ausgehenden Gefährdungen aus der Welt zu schaffen“, so Aslaner.

Gute alte E-Mail ist weiterhin Einfallstor

Absolute Sicherheit gibt es nicht; auch nicht für die Rechenzentren der Datev mit ihrem enormen Security-Aufwand, wie Spilker feststellt. „Wir haben einen hohen Schutz durch Prevention, aber wir müssen auch auf Detection und Reaction fokussieren“. Denn auch die gute alte E-Mail ist weiterhin ein Einfallstor für Angreifer. Er nennt ein Beispiel: „Hacker greifen die Stellenangebote ab und schicken eine Mail an die Personalabteilung, die diese an die entsprechende Fachabteilung weiterleitet. In der Mail ist ein Link auf eine Ressource hinterlegt, in dem die weiteren Unterlagen wie Zeugnisse usw. einsehbar sein sollen. Doch genau da sitzt der Trojaner. Wie soll eine Personalabteilung das erkennen? Natürlich haben wir unsere Mitarbeiter vor solchen Anschreiben gewarnt. Aber das können wir immer erst, nachdem eine neue Masche entdeckt worden ist.“ Man müsse also immer damit rechnen, dass etwas passiere, und sich entsprechend vorbereiten, um im Falle eines Falles den Schaden bestmöglich zu begrenzen.

Security-Software reicht nicht mehr

Alle Teilnehmer der Podiumsdiskussion waren sich einig: Klassische Security-Software reicht nicht mehr aus. Nötig ist in Zeiten von IoT und Cloud eine komplett andere Grundkonzeption von Systemen. Sie umfasst laut Reinwarth unter anderem

 1. Security by Design als „Grundsicherung“: Installationen, die von Haus aus sicher sind und einen sicheren Umgang gewährleisten.

2. Identität als neue Außenkante: Starke, belastbare Identitäten, die sicher authentifiziert werden und dann Berechtigungen bekommen.

3. Blockchain-Technologien für Identity-Management oder das Konfigurationsmanagement. Sie erlauben Nachweisbarkeit in jeglicher Form.

4. Big Data Security, in der Expertenwissen in Analyseverfahren implementiert wird.

Viel Hoffnung steckt dabei auch in der Nutzung von Methoden aus der künstlichen Intelligenz. „Sie unterstützen uns dabei, die Angriffsvektoren zu verstehen“, so Rohr. „Wir fragen nicht mehr, woher der Angriff kommt, sondern, was er bezwecken will. Wir erkennen Anomalien. Die gesamte Security-Industrie arbeitet daran, die Detection-Zeit zu reduzieren. Heute dauert es noch zwischen fünf und neun Monate, bis ein Breach auffällt. Diese Zeit deutlich zu verringern, das ist das Leistungsziel der gesamten Industrie.“

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags