Von Cybersicherheit wird viel gesprochen, doch was steckt wirklich dahinter? Im Interview mit cpm gibt Moritz Samrock, Cybersicherheit-Experte von Laokoon Security, spannende Einblicke in die Welt der IT-Sicherheit. Wie können sich Unternehmen effektiv gegen Cyberangriffe wappnen und welche Rolle spielen dabei Ansätze wie Red Teaming? Es geht auch um den Nutzen von Hacker-Events für die Branche selbst. Das Interview über die Welt der digitalen Verteidigung führte Navid Linnemann.
Von und über Cyber Security bzw. Cybersicherheit wird einerseits viel gesprochen, andererseits ist der Kreis derer, die etwas davon verstehen, relativ überschaubar. Was verbirgt sich in Ihren Worten hinter diesem Schlagwort?
Der Begriff Cybersicherheit war lange verpönt, hat sich aber inzwischen etabliert für die ganzheitliche Betrachtung von IT-Sicherheit – also der Sicherheit von IT-Infrastrukturen und Anwendungen – und Informationssicherheit – also der Sicherung der Schutzziele der Informationssicherheit (Integrität, Vertraulichkeit und Verfügbarkeit von Daten) plus Komponenten der Compliance.
Darunter fällt also wirklich sehr viel: Vom ordnungsgemäßen Betrieb von IT-Infrastrukturen, über Back-ups bis hin zur Angriffserkennung und Behebung aber auch eine Menge Training und kontinuierlichem Bewusst machen der Risiken der Mitarbeitenden.
Um eine Liegenschaft kann eine Mauer gezogen, die Wachmannschaft verstärkt oder eine zusätzliche Rolle S-Draht verlegt werden. Was aber kann man machen, um die eigenen Netzwerke und IT-Systeme besser zu schützen?
Man muss vor allem wissen, was man alles schützen will und muss. Jeder sollte sich vor Augen führen, was die wichtigen eigenen Assets sind, die es zu schützen gilt. Da gibt es oft eine Diskrepanz zwischen dem, was man erst mal mutmaßt und dem was tatsächlich wichtig ist. Theorie und Praxis sind da häufig komplett unterschiedlich. Single-Points-of-Failure müssen identifiziert werden, das fängt schon damit an, dass man beispielsweise das Notfallhandbuch nicht digital speichert, denn sonst hat man im Notfall keinen Zugriff drauf.
Wenn man weiß, was man schützen will, sollte man die entsprechenden Schutzmechanismen etablieren. Einerseits sind das Mechanismen zur Prävention bei der Cybersicherheit, wie z. B. Firewalls oder auch Redundanzen in der Stromversorgung. Dann sollte man natürlich in der Lage sein, Angriffe als solche zu erkennen zum Beispiel mit Intrusion Detection und Prevention-Systemen. Das sind Systeme, mit denen man Logs auswerten und Alarme analysieren kann. Weiterhin gilt es natürlich, sich auch auf den Ernstfall vorzubereiten – das nennt man Business Continuity Management.
Im Kern geht es darum, die Infrastruktur nach einer Beeinträchtigung schnell wieder zum Laufen zu bringen. Da gehört wiederum einiges dazu, aber in ganz großem Maße ein gutes Know-how über die eigene Infrastruktur und Handlungssicherheit in Krisensituationen. Das kann man beispielsweise dadurch prüfen, dass man im Rahmen eines Red Teamings, bei dem wir als Hacker-Unternehmen immer wieder so angreifen, wie es auch Cyber-Kriminelle tun würden. Dadurch bringen wir die Verteidiger so richtig ins Schwitzen. Man kennt das von der Bundeswehr: Üben, üben, üben. Unterschiedliche Szenarien, unterschiedliche Settings. Das hilft enorm, um den Ernstfall zu meistern.
Wie läuft denn so ein Red Teaming ab und wie unterscheidet es sich von Pentesting bei der Cybersicherheit?
Penetrationstests haben das Ziel, möglichst viele IT-Schwachstellen aufzudecken. Schwachstellen in Applikationen und Netzwerken, aber auch in der Hardware. Das ist häufig eine strukturierte Analyse einzelner Komponenten oder ganzer Netzwerke. Man hat als Pentester meist einen recht konkreten Scope, was man alles testen soll, recht konkrete Zeitvorgaben, häufig ein spezifisches Testsystem und eben das Ziel, viele Schwachsstellen zu finden, die im nächsten Schritt behoben werden können.
Dahingegen zielt das Red Teaming darauf ab, herauszufinden, wo nicht nur die technischen Schwachstellen der Cybersicherheit sind, sondern wie diese ausgenutzt werden können, um bestimmte Ziele zu erreichen: z. B. maximalen Schaden anzurichten oder sensible Informationen zu exfiltrieren.
Das Ganze findet in der Produktivumgebung statt, also nicht in einer Testumgebung und mit allen aktivierten Sicherheitsmechanismen. Ob diese dann funktionieren, Alarme auslösen und ein Angriff erkannt wird und ob die Reaktion der Verteidiger auf diesen Angriff adäquat ist, ist mindestens genauso relevant im Ergebnis des Red Teamings wie die identifizierten Schwachstellen selbst.
Beim Red Teaming findet man also raus, wie gut der Kunde wirklich vorbereitet ist, oder wo Blind Spots und Fehler in den Konzepten liegen.
Was passiert, wenn Laokoon Security mit einem solchen Test beauftragt wird?
Ein Red Teaming läuft im Grunde so ab, dass wir nach der Beauftragung zunächst eine OSINT-Analyse machen und dann schauen, was für eine Bedrohungsoberfläche der Kunde hat. Dazu gehört auch, dass wir ein sogenanntes Threat Modelling machen. Das heißt, dass wir schauen, was für Bedrohungen der Kunde tatsächlich ausgesetzt ist. Die Bedrohungslage und die Bedrohungen sind bei einem Rüstungskonzern beispielsweise anders als bei einem Energieversorger und der hat wiederum andere „Threat Actors“ als ein Onlineshop-Betreiber.
Mit diesem Threat Modelling im Rücken planen wir dann unsere Angriffe. Wir versuchen zunächst einen Zugang von außen in die internen Netzwerke des Kunden zu erlangen und uns dort dann auszubreiten.
Manchmal bemerken dann die Verteidiger den laufenden Angriff und versuchen uns aus dem Netzwerk zu entfernen. Das versuchen wir natürlich dann wiederum zu verhindern, dem auszuweichen oder falsche Spuren zu legen – so wie eben auch echte Angreifer agieren würden.
Nachdem wir entweder erfolgreich aus dem Netzwerk entfernt wurden oder wir unseren Angriff durchführen konnten, beginnt die letzte Phase. In dieser schreiben wir unseren Report, der alle unsere Erkenntnisse wiedergibt und dem Kunden eine Hilfestellung dazu ist, seine Cybersicherheit weiter zu verbessern und identifizierte Schwachpunkte zu beseitigen.
Es ist auch regelmäßig so, dass wir in den direkten Austausch mit den Verteidigern des Kunden gehen und ihnen zeigen, wie wir vorgegangen sind und wo sie gegebenenfalls effektiver hätten reagieren können. So haben die Verteidiger durch den direkten Austausch einen höheren und langfristigeren Lernerfolg.
Sie sind für Laokoon Security Mitveranstalter der Cyber Security Challenge in Bonn – Worum geht es dabei und welchen Mehrwert bieten solche Veranstaltungen?
Einmal im Jahr veranstalten wir mit unseren Partnern von IBM, CGI und Bechtle Bonn ein sogenanntes Capture-The-Flag in Bonn. Ein Bekannter sagte einmal, dass man das mit digitalem Höchstleistungssport vergleichen kann. Wir stellen dabei eine Reihe von Aufgaben – also Anwendungen oder Computer die gehackt werden müssen – und laden 120 Hacker aus ganze Deutschland ein, die diese dann lösen können.
Diese Challenges für Cybersicherheit sind eine tolle Möglichkeit für die Hacker, ihr Können unter Beweis zu stellen oder einfach mit ihnen bisher unbekannten Schwachstellen konfrontiert zu werden und für uns ist es eine perfekte Umgebung, um mit top-motiviertem Personal in Kontakt zu treten – also genau denen, die wirklich etwas von Cybersecurity verstehen, wie Sie es in Ihrer ersten Frage formulierten.
Jemand, der sich freiwillig ein Wochenende um die Ohren schlägt, um zu hacken, ist genau die Type, die wir suchen und die extrem gut in dem Bereich werden kann. Um das zu fördern, gibt es bei uns auch keine Geldpreise, sondern hochwertige IT-Security Weiterbildungen zu gewinnen. Für alle Beteiligten also eine echte Win-win-Angelegenheit.
Mit WhatsApp immer auf dem neuesten Stand bleiben!
Abonnieren Sie unseren WhatsApp-Kanal, um die Neuigkeiten direkt auf Ihr Handy zu erhalten. Einfach den QR-Code auf Ihrem Smartphone einscannen oder – sollten Sie hier bereits mit Ihrem Mobile lesen – diesem Link folgen:
