Samstag, April 20, 2024
»Die Zahl der Vorfälle nimmt zu«
Niklas Keller, Bechtle: »Von Angreifern werden Standardtools verwendet, mit denen Administratoren tagtäglich arbeiten.«

»Die Zahl der Vorfälle nimmt zu«

Niklas Keller, Head of Cyber Defense Center (CDC) und Teamleiter des neuen CDC-Teams im Bechtle IT-Systemhaus Österreich, über ­Geschäftsmodelle im Darknet, Engagement in der Sicherheit und die Notwendigkeit zur ­Automatisierung.

Report: Welche aktuellen Herausforderungen sehen Sie im Bereich Cybersicherheit in Unternehmen?

Niklas Keller: Ransomware ist nach den jüngsten Attacken auf österreichische Unternehmen sicherlich das große Thema derzeit. Hier steckt ein klares Business-Modell dahinter. Ein Teil der Kriminellen hat sich auf das Programmieren und Bauen von Ransomware-Tools spezialisiert, während sich andere um den Vertrieb im Darknet kümmern. Wir sehen mittlerweile sogar Benchmark-Tests zur Vergleichbarkeit der verschiedenen Anbieter, die offenlegen, wie schnell eine Verschlüsselungssoftware arbeitet. Die Interessenten bekommen im Darknet eine bis ins kleinste Detail beschriebene, fixfertige Anleitung, die auch ohne technische Grundkenntnisse ausführbar ist. Sie liefert Hinweise, wie die Infrastruktur vorbereitet werden muss oder auch Tipps, wie Angreifer sich vor einer Verfolgung durch Behörden schützen können.

Report: Welche Angriffsmethoden sind da zu sehen?

Keller: Es werden sogenannte »Living off the Land«-Techniken eingesetzt, die vorhandene Schutzmaßnahmen umgehen und nicht als Gefahr erkannt werden. Angreifer nutzen Administratorbefehle, die über eine Powershell oder die Eingabeaufforderung CMD abgesetzt werden. Präventive Sicherheitslösungen, die mit Signaturen und Next-Generation-Technologien arbeiten, können das Ausführen solcher Kommandos nicht verhindern und greifen demnach nicht. Die einzigen Technologien, die aktuell für diese Art der Angriffe gerüstet sind, sind »Endpoint Detection and Response«-Lösungen.

Das Ziel der Angreifer ist in der Regel der Diebstahl von Identitäten. Wir kennen aber auch Vorfälle, denen kein initialer Hacker-Angriff vorausging, sondern ein verantwortlicher Administrator Zugangsdaten verkauft hat.

Report: Nun werden oftmals die einfacheren Nutzer*innen als schwächstes Glied in der Sicherheitskette betrachtet. Sind diese nicht eher kompromittierbar als die Kolleg*innen aus der IT?

Keller: Es gibt unterschiedliche Methoden, um in ein Unternehmen einzudringen. Die gängigste Praxis sind Phishing-Mails mit Links oder Attachements, die über eingebettete Scripts eine Schadsoftware aktivieren und einen Client infiltrieren. Der nächste Schritt ist das dauerhafte Einnisten im System und ein Ausforschen des jeweiligen Netzwerks. Die Angreifer sammeln Informationen und stellen dem Administrator mit einem eigens produzierten Fehler eine Falle. Mit einem Anruf beim Administrator gibt dieser dann seine Identitäten preis. Der Täter fängt sie ab, um sich damit selbst im Netzwerk zu bewegen.

Eine weitere, seit März bekannte Methode ist der Angriff auf Exchange Server durch den Hafnium-Exploit. Dabei werden Schwachstellen in lokal betriebenen und über das Internet erreichbaren Services aktiv ausgenutzt. Hafnium betraf Anfang des Jahres alle Unternehmen mit Exchange Servern. Microsoft reagierte mit einem Patch und unser Bechtle-Team empfahl ergänzend Verbesserungen der Architektur und realisierte diese auf Wunsch.
Wir gehen davon aus, dass es rund um Hafnium noch weitere Angriffe geben wird.

Report: Ist der Exchange Service damit weiterhin unsicher?

Keller: Nein, das ist er nicht. Vorsicht ist aber prinzipiell geboten. Software wird von Menschen entwickelt, Fehler und Schwachstellen sind also nicht grundsätzlich auszuschließen. Auch deshalb gibt es rund um Penetration Testing und Bug Bounty Hunting eine wachsende Community, die potenzielle Schwachstellen sucht und beheben will.

Wir empfehlen IT-Verantwortlichen in Unternehmen, sich nicht nur auf Patches und Bugfixes zu verlassen, sondern die gesamte Architektur im Blick zu haben. So können sie das Angriffspotenzial minimieren und mögliche Auswirkungen abschwächen.

Report: Welche Schwerpunkte setzen Sie im Cyber Defense Center bei Bechtle?

Keller: Mit unserem Cyber Defense Center verfolgen wir einen ganzheitlichen Ansatz: Prävention, Detektion und Reaktion. Dabei gibt es zwei Möglichkeiten zum Aufbau eines »Security Operation Centers«, kurz »SOC«. Der konventionelle Security-Incidence-and-Event-Management-Ansatz oder der Next-Generation-SOC-Ansatz, der mit einem sehr hohen Automatisierungsgrad bei der Analyse und der Fehlerbehebung arbeitet. Zusätzlich bieten wir passgenaue Managed Services an. Dazu zählen etwa »Endpoint Detection and Response«, »Network Detection and Response«,« Security Orchestration Automation and Response« und »Security Incidence and Event Management (SIEM)«.

Report: Was kann man sich unter dieser Automatisierung vorstellen?

Keller: Wir platzieren unsere Sensorik an signifikanten Punkten im Unternehmen, meist auf Endgeräten, aber auch im Netzwerk. Die gesammelten Informationen werden automatisiert mit Logikregeln ausgewertet. Je nach Bedrohung werden dann Gegenmaßnahmen eingeleitet. Auf Basis dieser Logiken können auch Verhalten beschrieben werden, um Living-off-the-Land-Techniken zu erkennen, die ansonsten durch das Sicherheitsnetzwerk rutschen würden.
Das ist ein Ansatz, der parallel zu herkömmlichen Maßnahmen und Technologien der Administratoren läuft, die weiter ihren eigentlichen Aufgaben nachgehen. Es bleibt festzuhalten, dass Security-Verantwortliche ohne Automatisierung schnell ans Limit des Machbaren kommen.

Report: Wie sieht es derzeit am Arbeitsmarkt in der IT-Sicherheit aus?

Keller: IT-Fachkräfte sind generell stark nachgefragt – auch im Bereich Security. Daher setzen wir verstärkt auf die Ausbildung eigener Fachleute. Das fängt bei unseren Lehrangeboten an und reicht bis hin zu dualen Studienmöglichkeiten. Aber auch mit Quereinsteiger*innen haben wir gute Erfahrungen gemacht. Bechtle bietet mit flexiblen Arbeitszeitmodellen sowie der Möglichkeit, auch aus dem Homeoffice zu arbeiten, ein attraktives Umfeld in einer zukunftsstarken Branche.

Report: Wie lange dauert die Ausbildung, bis Sie jemanden einsetzen können?

Keller: Wir rechnen hier Minimum mit sechs Monaten Einarbeitungszeit. Interessierten Kolleginnen und Kollegen bieten wir die Möglichkeit, dass sie sich über ergänzende Zertifizierungen schnell weiterentwickeln können.

Report: Steigen die Sicherheitsvorfälle in den Unternehmen – und auch die Awareness für Sicherheitsmaßnahmen?

Keller: Die Zahl der Vorfälle hat auf jeden Fall zugenommen. Unsere Kunden wissen, dass ihr Geschäftserfolg an einer funktionierenden IT hängt. Diese Erkenntnis wirkt sich auch positiv auf die Budgets für IT-Sicherheit aus.
Es ist im Prinzip wie bei einem Auto: Ich entscheide mich für ein bestimmtes Modell mit dem gewünschten Motor. Letztlich entscheiden danach aber regelmäßige Services und Inspektionen, ob, wie und wie lange das Auto läuft.n

Details

Meistgelesene BLOGS

Nicole Mayer
26. Jänner 2024
Jetzt einreichen: Staatspreis sucht exzellente Betriebe
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Read More
Firmen | News
01. März 2024
Deutsch-Österreichisches Technologieforum: Transformation der Wirtschafts- und Energiesysteme
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Read More
Alfons A. Flatscher
02. Jänner 2024
Das Neue kommt …
... das Alte geht. Die Welt ist im Wandel. Wir wandeln uns mit. Der REPORT ist im Wandel und erscheint in neuem Kleid: Mit neuem Layout, auf besserem Papier und mit einer Weiterentwicklung des inhaltl...
Read More
Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Katharina Bisset
07. Februar 2024
Digital Services Act: neue Pflichten für Plattformen, Marktplätze und Co.
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Read More
Alfons A. Flatscher
26. Jänner 2024
Neues statt sparen
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Read More
Mario Buchinger
22. Jänner 2024
Braucht die Organisationsentwicklung noch Coaching und Consulting?
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Read More
Nicole Mayer
30. Jänner 2024
Symbiose für sichere und regel­konforme Unternehmens­führung
Durch den rasanten Fortschritt der digitalen Transformation und den zunehmenden Einsatz von Informationstechnologien wird die (Informations-) Sicherheit sensibler Unternehmensdaten immer wichtiger. Or...
Read More

MEDIADATEN

REPORT (+) 2024 
Bau & Immobilien REPORT 2024 
 REPORT Online
  Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com