Interview mit Ralf Kempf: Cybersicherheit auf Applikationsebene

Warum Hyperscaler kein Allheilmittel sind.

Das Thema wurde bereits mehrfach aufgegriffen, nun wollen wir es von unserem Geschäftsführer Ralf Kempf genau wissen: Warum er Cybersecurity auf Applikationsebene für den blinden Fleck fast jeder IT-Sicherheitsstrategie hält und warum Hyperscaler kein Allheilmittel sind.

Herr Kempf, wo genau sehen Sie den blinden Fleck der Cybersecurity auf Applikationsebene?

Buzzwords wie Zero Trust, Microsegmentierung oder Software Defined Networks gelten heute in vielen Unternehmen als Allheilmittel für die Absicherung von IT-Systemen. Dass aber elementare Grundlagen wie Asset & Application Management, ein IT-Security Management System und der Aufbau einer echten IT-Security Kompetenz noch nicht abgeschlossen – oder schlimmer noch, noch nicht einmal begonnen – wurden, gerät dabei oft aus dem Blickfeld. Dies ist der sogenannte blinde Fleck.

Mit Applikationsebene meine ich SAP-, Oracle-, Standard ERP-Systeme und andere Geschäftsanwendungen, die sich im Einsatz befinden. Oft sehen Unternehmen kein Problem bei der Anwendungssicherheit, es sei doch alles gut beim Outsourcer in der Cloud, inklusive Firewall. Entscheider oder Anwender hingegen haben nach wie vor Angst vor Ransomware-Attacken, den typischen Krypto-Trojanern, gestohlenen Identitäten oder Schlüsseln sowie nicht gepatchten Systemen. Das sind alles Klassiker, die auch täglich in der Presse zu lesen sind, was leider zeigt, dass die Unternehmen hier offensichtlich jahrelang ihre Hausaufgaben nicht gemacht haben.

Was sind Ihrer Meinung nach die Ursachen?

In der IT Security-Welt gibt es stetig neue Konzepte und neue Technologien, immer verbunden mit der trügerischen Hoffnung, dass damit plötzlich alles besser wird. Letztlich dauert jede Umsetzung viel zu lange, es fehlt an Ressourcen, an Wissen und an Budgets.

Es sind die alten Bekannten unter den Risiken und immer noch hinken die Unternehmen den aktuellen Bedrohungsszenarien Monate oder Jahre hinterher. Das ist nichts Neues und es sind nicht nur einige Kreis- und Stadtverwaltungen in Deutschland betroffen, es waren auch sehr namhafte Unternehmen dabei. Und dann ist ein neues großes Problem aufgetaucht, der Super-GAU, als Microsoft eingestehen musste, dass ein Generalschlüssel für die Azure-Cloud entwendet wurde.

Warum hatte ausgerechnet dieser Hackerangriff so eklatante Folgen?

Stellen wir uns mal vor, die ganze Welt ist ein Haus mit Eigentumswohnungen und jemand hat den Generalschlüssel, mit dem er jederzeit in jede Wohnung gehen und dort tun und lassen kann, was er will. Und die Eigentümer merken es nicht.

Aufgeflogen ist dieser Fall, weil einige öffentliche Stellen in den Logs auf merkwürdige Zugriffe aufmerksam geworden sind und diese gemeldet haben. Microsoft hat dann kleinlaut zugegeben: „Wir haben ein Problem!“ Damit bestätigt sich die vermeintlich paranoide Denkweise von uns Security-Experten durch völlig neue Dimensionen von Worst-Case-Szenarien.

Dieser Microsoft Hack zeigt, dass das blinde Vertrauen in die Infrastruktur und das Identity & Account Management der großen Hyperscaler schnell zu schwerwiegenden Sicherheitslücken führen kann. Nicht auszumalen, wenn jemand damit dann nicht nur Daten stiehlt, sondern das ganze System lahmlegt.

Wie sollte man den Gefahren begegnen, ohne den Überblick zu verlieren?

Es kommt darauf an, wie sich die Unternehmen aufstellen. Sind sie schon in der Cloud oder bleiben sie on premise? Oft heißt es, dass die Cloud alle Probleme löst. Zweifellos gibt es sehr gute Szenarien für Cloud-Anwendungen, aber auch hier kommt es auf die richtige Umsetzung an, vor allem mit einer ganzheitlichen Sicht auf das IT-System.

Bei den Applikationsebenen in einer typischen Unternehmens-IT haben wir einmal die Infrastruktur. Dazu gehören Netzwerk, auch Enterprise Clouds, Datenbanken, Betriebssysteme und die Komponenten, auf denen die Software ausgeführt wird. Für diese technischen Komponenten existieren in vielen Unternehmen bereits seit Jahren gute Sicherheitswerkzeuge zur Überwachung von Patches, Konfiguration und Logs. Eine Anwendungsebene höher liegen die Applikationen, die klassischen Business-Anwendungen wie Zahlungsverkehr, ERP-Software, Personalverwaltung. Schließlich gibt es die Betriebstechnikanwendungen wie Fließbandsteuerungen, Fertigungsstraßen, Kraftwerkssteuerungen. Dieser Bereich arbeitet wieder ganz anders, ist aber dennoch mit der internen IT und der Infrastruktur des Unternehmens verbunden.

Die ganzheitliche Betrachtung eines Unternehmens ist also notwendig, allein schon wegen der Schnittstellen?

Auf jeden Fall! Der Aussage, dass die Bereiche völlig getrennt sind, sollte wenig Glauben geschenkt werden. Neulich haben wir eine Anlage von außen gescannt und dem Kunden mitgeteilt, dass ein Mess- und Regelsystem seiner Gasanlagen im Internet frei zugänglich ist und von jedermann nach Belieben eingestellt oder abgeschaltet werden kann. Schließlich stellten wir fest, dass ein Dienstleister ein kleines Gerät in einen Verteilerschrank eingebaut und auf den falschen Port konfiguriert hatte. Mit einer Handvoll falsch platzierter Technik wird die ganze Fabrik gesteuert – das zeigt, wie heikel diese Abhängigkeiten sind.

Wenn wir jetzt ein Anwendungssystem betrachten, ob es nun Operations Technology oder IT Technology ist, dann haben wir einen Basisbereich, sei es Metall oder Virtualisierung, Netzwerkbetriebssystem oder Datenbank. Darauf läuft Software wie Windows Office oder Exchange für eigentlich getrennte Anwendungsbereiche. Es ist genau diese Trennung, die es schwierig macht, solche Systeme zu verstehen. Vor allem, wenn wichtige Komponenten in eine Cloud ausgelagert sind. Der Überblick geht verloren und das macht Unternehmen heute angreifbarer.

Eine häufige Antwort auf Befragungen, worauf sich Unternehmen in Sachen Sicherheit derzeit konzentrieren, war: „Wir arbeiten mit Authentifizierung, haben alles vereinheitlicht, ein zentrales Identity Management und Smartcards eingeführt und uns um segmentierte Berechtigungen gekümmert.“ Das klingt an sich gut. Bis der Wirtschaftsprüfer herausfindet, dass das System nicht richtig aufgesetzt ist und 365 Tage lang ein permanentes Risiko bestand. Dann ist die Erkenntnis bitter: „Wir wissen nicht wirklich, wie unsere Systeme funktionieren. Es wird immer komplizierter, Abhängigkeiten prüfen wir nicht mehr, bei Patches sind wir schon lange nicht mehr auf dem neuesten Stand.“

Um auf unser Hausbeispiel zurückzukommen: Ohne eine ganzheitliche Sichtweise kommt es zu einer Konstruktion, bei der die Türschlösser verbessert werden, die Haustür dreifach gesichert wird, aber die Fenster offenbleiben. Das merken wir bei Tests immer wieder, wie wenig Zeit es braucht, in ein System einzudringen.

Was sind Ihrer Meinung nach derzeit die größten Schwachstellen in Bezug auf die Absicherung?

Zum einen ist die Zuständigkeit oft nicht geregelt und es gibt keine einheitliche Sichtweise im Unternehmen. Sehr oft sind z.B. die klassische IT und die Produktionssteuerungs-IT so getrennt, dass man sich höchstens in der Kantine trifft. Wenn der eine nicht vom anderen lernt, man voneinander abhängig ist, es aber nicht einmal weiß, dann sind das sehr gefährliche Konstruktionen.

Hier lohnt es sich, einen Blick auf die Zugriffskontrolle durch die Einführung modernerer Systeme zu werfen. Auf der einen Seite wird vieles einfacher, weil z.B. die Verwendung einer Microsoft-ID übergreifend möglich ist. Auf der anderen Seite können sie aber auch in vielen Systemen missbraucht werden. Hier ist das Vulnerability Management noch relativ dürftig und auch die Erkennung von Bedrohungen ist noch schwach.

Ein Beispiel hierfür sind Penetrationstests bei einem Kunden mit einem SIEM-System, das eigentlich nach einer Stunde Alarm schlagen sollte. Aber dass ein Administrator etwas bemerkt, ist mir in den letzten zehn Jahren nur einmal passiert.

Wie sollten sich die Unternehmen denn ausrichten?

Zunächst einmal gibt es grundlegende Prozesse, die relativ einfach in der Umsetzung sind, wie das NIST Framework. Alle folgen dieser Methodik: Identifiziere deine Vermögenswerte und Technologien, wo stehen sie und wie funktionieren sie? Damit wird eine realistische Risikoeinschätzung vorgenommen. Dann die Systeme schützen, Patches einspielen, Handbücher durchgehen, Standardbenutzer rausschmeißen. Schließlich gilt es ein System zu etablieren, das all diese Dinge kontinuierlich und rund um die Uhr überwacht.

Mit einer konsequenten Methodik, dem richtigen Ansatz und guten Tools ist es theoretisch möglich, auch große Unternehmen mit ein oder zwei Ressourcen zu überwachen. Diese müssen allerdings bestens ausgebildet sein und dürfen nicht parallel mit Projektarbeit überlastet sein. Und sie müssen lernbereit und skeptisch hinterfragend sein.

Was empfehlen Sie zu tun, um dem „blinden Fleck“ entgegenzuwirken?

Sich das Unternehmen genau anschauen was, wie und wo produziert wird. Dann die Abhängigkeiten ermitteln und hinterfragen, ob es für alle Tätigkeiten definierte Best Practices gibt: Für die Konfiguration, für den Betrieb, für die Überwachung und für die Rückmeldung im Notfall.

Beim Monitoring geht es vor allem darum, dass tatsächlich überwacht wird, was passiert ist. Cloud-Anbieter müssen überzeugt werden, Logs kostenlos zur Verfügung zu stellen. Bei Microsoft waren die Logs zum Zeitpunkt des GAUs nur gegen Aufpreis erhältlich, was natürlich kein Kunde gebucht hat. Aber wenn ich keine Logs sehe, dann sehe ich auch nicht, dass ich angegriffen werde. Es ist also nur eine Frage der Vernunft, warum das scheitern muss.

Zyklische Schwachstellenanalysen sind unerlässlich. Alle Komponenten müssen in die unternehmensweite Sicherheitsstrategie integriert werden.

Anstatt sich blind auf die Cloud zu verlassen, bleiben die Unternehmen selbst für die Erkennung von Bedrohungen und Angriffen verantwortlich und müssen die dafür notwendigen Ressourcen vorhalten – entweder ausgewiesene Experten aus dem eigenen Unternehmen, die das aufbauen können, oder vertrauenswürdige Partner, um es gemeinsam anzugehen.

Herzlichen Dank für das Gespräch, Herr Kempf!

Sehr gerne!

Ralf Kempf (Geschäftsführung Pathlock Deutschland)

Sehen Sie sich zu diesem Thema auch folgendes Video an: