{"id":36498,"date":"2024-06-03T04:20:55","date_gmt":"2024-06-03T11:20:55","guid":{"rendered":"https:\/\/pathlock.com\/?p=36498"},"modified":"2026-03-05T09:14:20","modified_gmt":"2026-03-05T14:14:20","slug":"cybersicherheit-auf-applikationsebene-warum-hyperscaler-kein-allheilmittel-sind","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/cybersicherheit-auf-applikationsebene-warum-hyperscaler-kein-allheilmittel-sind\/","title":{"rendered":"Interview mit Ralf Kempf: Cybersicherheit auf Applikationsebene"},"content":{"rendered":"\n

Warum Hyperscaler kein Allheilmittel sind.<\/h2>\n\n\n\n

Das Thema wurde bereits mehrfach aufgegriffen, nun wollen wir es von unserem Gesch\u00e4ftsf\u00fchrer Ralf Kempf genau wissen: Warum er Cybersecurity auf Applikationsebene f\u00fcr den blinden Fleck fast jeder IT-Sicherheitsstrategie h\u00e4lt und warum Hyperscaler kein Allheilmittel sind.<\/p>\n\n\n\n

Herr Kempf, wo genau sehen Sie den blinden Fleck der Cybersecurity auf Applikationsebene?<\/em><\/strong><\/h2>\n\n\n\n

Buzzwords wie Zero Trust, Microsegmentierung oder Software Defined Networks gelten heute in vielen Unternehmen als Allheilmittel f\u00fcr die Absicherung von IT-Systemen. Dass aber elementare Grundlagen wie Asset & Application Management, ein IT-Security Management System und der Aufbau einer echten IT-Security Kompetenz noch nicht abgeschlossen – oder schlimmer noch, noch nicht einmal begonnen – wurden, ger\u00e4t dabei oft aus dem Blickfeld. Dies ist der sogenannte blinde Fleck.<\/p>\n\n\n\n

Mit Applikationsebene meine ich SAP-, Oracle-, Standard ERP-Systeme und andere Gesch\u00e4ftsanwendungen, die sich im Einsatz befinden. Oft sehen Unternehmen kein Problem bei der Anwendungssicherheit, es sei doch alles gut beim Outsourcer in der Cloud, inklusive Firewall. Entscheider oder Anwender hingegen haben nach wie vor Angst vor Ransomware-Attacken, den typischen Krypto-Trojanern, gestohlenen Identit\u00e4ten oder Schl\u00fcsseln sowie nicht gepatchten Systemen. Das sind alles Klassiker, die auch t\u00e4glich in der Presse zu lesen sind, was leider zeigt, dass die Unternehmen hier offensichtlich jahrelang ihre Hausaufgaben nicht gemacht haben.<\/p>\n\n\n\n

Was sind Ihrer Meinung nach die Ursachen?<\/em><\/strong><\/h2>\n\n\n\n

In der IT Security-Welt gibt es stetig neue Konzepte und neue Technologien, immer verbunden mit der tr\u00fcgerischen Hoffnung, dass damit pl\u00f6tzlich alles besser wird. Letztlich dauert jede Umsetzung viel zu lange, es fehlt an Ressourcen, an Wissen und an Budgets.<\/p>\n\n\n\n

Es sind die alten Bekannten unter den Risiken und immer noch hinken die Unternehmen den aktuellen Bedrohungsszenarien Monate oder Jahre hinterher. Das ist nichts Neues und es sind nicht nur einige Kreis- und Stadtverwaltungen in Deutschland betroffen, es waren auch sehr namhafte Unternehmen dabei. Und dann ist ein neues gro\u00dfes Problem aufgetaucht, der Super-GAU, als Microsoft eingestehen musste, dass ein Generalschl\u00fcssel f\u00fcr die Azure-Cloud entwendet wurde.<\/p>\n\n\n\n

Warum hatte ausgerechnet dieser Hackerangriff so eklatante Folgen?<\/em><\/strong><\/h2>\n\n\n\n

Stellen wir uns mal vor, die ganze Welt ist ein Haus mit Eigentumswohnungen und jemand hat den Generalschl\u00fcssel, mit dem er jederzeit in jede Wohnung gehen und dort tun und lassen kann, was er will. Und die Eigent\u00fcmer merken es nicht.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aufgeflogen ist dieser Fall, weil einige \u00f6ffentliche Stellen in den Logs auf merkw\u00fcrdige Zugriffe aufmerksam geworden sind und diese gemeldet haben. Microsoft hat dann kleinlaut zugegeben: „Wir haben ein Problem!“ Damit best\u00e4tigt sich die vermeintlich paranoide Denkweise von uns Security-Experten durch v\u00f6llig neue Dimensionen von Worst-Case-Szenarien.<\/p>\n\n\n\n

Dieser Microsoft Hack zeigt, dass das blinde Vertrauen in die Infrastruktur und das Identity & Account Management der gro\u00dfen Hyperscaler schnell zu schwerwiegenden Sicherheitsl\u00fccken f\u00fchren kann. Nicht auszumalen, wenn jemand damit dann nicht nur Daten stiehlt, sondern das ganze System lahmlegt.<\/p>\n\n\n\n

Wie sollte man den Gefahren begegnen, ohne den \u00dcberblick zu verlieren?<\/em><\/strong><\/h2>\n\n\n\n

Es kommt darauf an, wie sich die Unternehmen aufstellen. Sind sie schon in der Cloud oder bleiben sie on premise? Oft hei\u00dft es, dass die Cloud alle Probleme l\u00f6st. Zweifellos gibt es sehr gute Szenarien f\u00fcr Cloud-Anwendungen, aber auch hier kommt es auf die richtige Umsetzung an, vor allem mit einer ganzheitlichen Sicht auf das IT-System.<\/p>\n\n\n\n

Bei den Applikationsebenen in einer typischen Unternehmens-IT haben wir einmal die Infrastruktur. Dazu geh\u00f6ren Netzwerk, auch Enterprise Clouds, Datenbanken, Betriebssysteme und die Komponenten, auf denen die Software ausgef\u00fchrt wird. F\u00fcr diese technischen Komponenten existieren in vielen Unternehmen bereits seit Jahren gute Sicherheitswerkzeuge zur \u00dcberwachung von Patches, Konfiguration und Logs. Eine Anwendungsebene h\u00f6her liegen die Applikationen, die klassischen Business-Anwendungen wie Zahlungsverkehr, ERP-Software, Personalverwaltung. Schlie\u00dflich gibt es die Betriebstechnikanwendungen wie Flie\u00dfbandsteuerungen, Fertigungsstra\u00dfen, Kraftwerkssteuerungen. Dieser Bereich arbeitet wieder ganz anders, ist aber dennoch mit der internen IT und der Infrastruktur des Unternehmens verbunden.<\/p>\n\n\n\n

Die ganzheitliche Betrachtung eines Unternehmens ist also notwendig, allein schon wegen der Schnittstellen?<\/em><\/strong><\/h2>\n\n\n\n

Auf jeden Fall! Der Aussage, dass die Bereiche v\u00f6llig getrennt sind, sollte wenig Glauben geschenkt werden. Neulich haben wir eine Anlage von au\u00dfen gescannt und dem Kunden mitgeteilt, dass ein Mess- und Regelsystem seiner Gasanlagen im Internet frei zug\u00e4nglich ist und von jedermann nach Belieben eingestellt oder abgeschaltet werden kann. Schlie\u00dflich stellten wir fest, dass ein Dienstleister ein kleines Ger\u00e4t in einen Verteilerschrank eingebaut und auf den falschen Port konfiguriert hatte. Mit einer Handvoll falsch platzierter Technik wird die ganze Fabrik gesteuert – das zeigt, wie heikel diese Abh\u00e4ngigkeiten sind.<\/p>\n\n\n\n

Wenn wir jetzt ein Anwendungssystem betrachten, ob es nun Operations Technology oder IT Technology ist, dann haben wir einen Basisbereich, sei es Metall oder Virtualisierung, Netzwerkbetriebssystem oder Datenbank. Darauf l\u00e4uft Software wie Windows Office oder Exchange f\u00fcr eigentlich getrennte Anwendungsbereiche. Es ist genau diese Trennung, die es schwierig macht, solche Systeme zu verstehen. Vor allem, wenn wichtige Komponenten in eine Cloud ausgelagert sind. Der \u00dcberblick geht verloren und das macht Unternehmen heute angreifbarer.<\/p>\n\n\n\n

Eine h\u00e4ufige Antwort auf Befragungen, worauf sich Unternehmen in Sachen Sicherheit derzeit konzentrieren, war: \u201eWir arbeiten mit Authentifizierung, haben alles vereinheitlicht, ein zentrales Identity Management und Smartcards eingef\u00fchrt und uns um segmentierte Berechtigungen gek\u00fcmmert.\u201c Das klingt an sich gut. Bis der Wirtschaftspr\u00fcfer herausfindet, dass das System nicht richtig aufgesetzt ist und 365 Tage lang ein permanentes Risiko bestand. Dann ist die Erkenntnis bitter: \u201eWir wissen nicht wirklich, wie unsere Systeme funktionieren. Es wird immer komplizierter, Abh\u00e4ngigkeiten pr\u00fcfen wir nicht mehr, bei Patches sind wir schon lange nicht mehr auf dem neuesten Stand.\u201c<\/p>\n\n\n\n

Um auf unser Hausbeispiel zur\u00fcckzukommen: Ohne eine ganzheitliche Sichtweise kommt es zu einer Konstruktion, bei der die T\u00fcrschl\u00f6sser verbessert werden, die Haust\u00fcr dreifach gesichert wird, aber die Fenster offenbleiben. Das merken wir bei Tests immer wieder, wie wenig Zeit es braucht, in ein System einzudringen.<\/p>\n\n\n\n

Was sind Ihrer Meinung nach derzeit die gr\u00f6\u00dften Schwachstellen in Bezug auf die<\/em><\/strong> Absicherung?<\/em><\/strong><\/h2>\n\n\n\n

Zum einen ist die Zust\u00e4ndigkeit oft nicht geregelt und es gibt keine einheitliche Sichtweise im Unternehmen. Sehr oft sind z.B. die klassische IT und die Produktionssteuerungs-IT so getrennt, dass man sich h\u00f6chstens in der Kantine trifft. Wenn der eine nicht vom anderen lernt, man voneinander abh\u00e4ngig ist, es aber nicht einmal wei\u00df, dann sind das sehr gef\u00e4hrliche Konstruktionen.<\/p>\n\n\n\n

Hier lohnt es sich, einen Blick auf die Zugriffskontrolle durch die Einf\u00fchrung modernerer Systeme zu werfen. Auf der einen Seite wird vieles einfacher, weil z.B. die Verwendung einer Microsoft-ID \u00fcbergreifend m\u00f6glich ist. Auf der anderen Seite k\u00f6nnen sie aber auch in vielen Systemen missbraucht werden. Hier ist das Vulnerability Management<\/a> noch relativ d\u00fcrftig und auch die Erkennung von Bedrohungen ist noch schwach.<\/p>\n\n\n\n

Ein Beispiel hierf\u00fcr sind Penetrationstests bei einem Kunden mit einem SIEM-System, das eigentlich nach einer Stunde Alarm schlagen sollte. Aber dass ein Administrator etwas bemerkt, ist mir in den letzten zehn Jahren nur einmal passiert.<\/p>\n\n\n\n

Wie sollten sich die Unternehmen denn ausrichten?<\/em><\/strong><\/h2>\n\n\n\n

Zun\u00e4chst einmal gibt es grundlegende Prozesse, die relativ einfach in der Umsetzung sind, wie das NIST Framework. Alle folgen dieser Methodik: Identifiziere deine Verm\u00f6genswerte und Technologien, wo stehen sie und wie funktionieren sie? Damit wird eine realistische Risikoeinsch\u00e4tzung vorgenommen. Dann die Systeme sch\u00fctzen, Patches einspielen, Handb\u00fccher durchgehen, Standardbenutzer rausschmei\u00dfen. Schlie\u00dflich gilt es ein System zu etablieren, das all diese Dinge kontinuierlich und rund um die Uhr \u00fcberwacht.<\/p>\n\n\n\n

Mit einer konsequenten Methodik, dem richtigen Ansatz und guten Tools ist es theoretisch m\u00f6glich, auch gro\u00dfe Unternehmen mit ein oder zwei Ressourcen zu \u00fcberwachen. Diese m\u00fcssen allerdings bestens ausgebildet sein und d\u00fcrfen nicht parallel mit Projektarbeit \u00fcberlastet sein. Und sie m\u00fcssen lernbereit und skeptisch hinterfragend sein.<\/p>\n\n\n\n

Was empfehlen Sie zu tun, um dem \u201eblinden Fleck\u201c entgegenzuwirken?<\/em><\/strong><\/h2>\n\n\n\n

Sich das Unternehmen genau anschauen was, wie und wo produziert wird. Dann die Abh\u00e4ngigkeiten ermitteln und hinterfragen, ob es f\u00fcr alle T\u00e4tigkeiten definierte Best Practices gibt: F\u00fcr die Konfiguration, f\u00fcr den Betrieb, f\u00fcr die \u00dcberwachung und f\u00fcr die R\u00fcckmeldung im Notfall.<\/p>\n\n\n\n

Beim Monitoring geht es vor allem darum, dass tats\u00e4chlich \u00fcberwacht wird, was passiert ist. Cloud-Anbieter m\u00fcssen \u00fcberzeugt werden, Logs kostenlos zur Verf\u00fcgung zu stellen. Bei Microsoft waren die Logs zum Zeitpunkt des GAUs nur gegen Aufpreis erh\u00e4ltlich, was nat\u00fcrlich kein Kunde gebucht hat. Aber wenn ich keine Logs sehe, dann sehe ich auch nicht, dass ich angegriffen werde. Es ist also nur eine Frage der Vernunft, warum das scheitern muss.<\/p>\n\n\n\n

Zyklische Schwachstellenanalysen<\/a> sind unerl\u00e4sslich. Alle Komponenten m\u00fcssen in die unternehmensweite Sicherheitsstrategie integriert werden.<\/p>\n\n\n\n

Anstatt sich blind auf die Cloud zu verlassen, bleiben die Unternehmen selbst f\u00fcr die Erkennung von Bedrohungen und Angriffen verantwortlich und m\u00fcssen die daf\u00fcr notwendigen Ressourcen vorhalten \u2013 entweder ausgewiesene Experten aus dem eigenen Unternehmen, die das aufbauen k\u00f6nnen, oder vertrauensw\u00fcrdige Partner, um es gemeinsam anzugehen.<\/p>\n\n\n\n

Herzlichen Dank f\u00fcr das Gespr\u00e4ch, Herr Kempf!<\/em><\/strong><\/p>\n\n\n\n

Sehr gerne! <\/p>\n\n\n\n

\"Ralf Ralf Kempf (Gesch\u00e4ftsf\u00fchrung Pathlock Deutschland)<\/strong><\/p>\n\n\n\n

Sehen Sie sich zu diesem Thema auch folgendes Video an:<\/strong><\/p>\n\n\n\n

\n
Cybersecurity auf Applikationsebene. Der blinde Fleck in der Sicherheitsstrategie<\/a><\/blockquote>