Alle 14 Tage aktuelle News aus der IT-Szene >
Einerseits heißt es „Zero Trust“, andererseits müssen Unternehmen angesichts von Komplexität und Fachkräftemangel vertrauenswürdige Security-Partner mit Know-how finden. Die Teilnehmer:innen aus Wirtschaft und Wissenschaft brachten dazu Studien, Prioritäten und Empfehlungen. Nachbericht von Michaela Ortis
Mit dem einleitenden Brainstorming, welches Stichwort bei Cybersecurity an erster Stelle stehe, wurde es gleich komplex. „Wir stecken in einem transformatorischen Wandel mit großen Herausforderungen, wie die veränderte Arbeitswelt, generative AI oder Fachkräftemangel. Mit diesen Themen müssen wir uns auch im Hinblick auf Security auseinandersetzen“, spannte Klaus Gheri, Vorstand von Barracuda Networks, den Bogen. Zur aktuellen Bedrohungslage brachte er eine Ransomware-Analyse von Barracuda: Kommunen, Bildungs- oder Gesundheitseinrichtungen, wo es weniger Budget gibt, seien vulnerabler. Der Finanzsektor verzeichne dagegen eine Reduktion der Angriffe. „Wenn es Regulatorien gibt und man dann Budgets hat, kommen die Unternehmen aus der Schusslinie“, analysierte Gheri.
Eine spezielle Gefahr gehe von mobilen Endgeräten aus, weil Firmenhandys oft privat genutzt werden. Dazu erzählte er ein aktuelles Ereignis: Im SMS eines Paketdienstleisters mit dem irreführenden Namen DHLS, wurde eine Neuzustellungsgebühr gefordert, die durch Klicken auf einen Link zu entrichten sei. Die meisten Menschen erwarten Pakete und klicken darauf, daraus folgerte Gheri: „Es besteht kaum Sensibilität für solche Gefahren. Firmen müssen daher eine Nulltoleranzstrategie fahren, dass man mit dem privaten Endgerät nicht ins Firmennetz kommt. Zero Trust heißt, niemand grundlos zu vertrauen, jeder muss sich ausweisen. Da laufen aber gerade die mittelständischen Unternehmen hinterher.“
Das bestätigte Markus Hirsch, Leitung System Engineering Fortinet Österreich und nannte als große Herausforderung für Security-Verantwortliche: „Den Überblick behalten und priorisieren. Ich muss wissen, was ich schützen muss, sonst kann ich keine Strategien entwickeln.“ Er warnte vor der hierzulande herrschenden Einstellung, dass Cybergefahren nur die anderen betreffen: „Wir sind nur 30 Millisekunden von New York entfernt, es gibt keine Grenzen oder Berge, die uns schützen.“
Zur „Nulltoleranz“ brachte er überraschende Zahlen aus dem State of Zero Trust Report von Fortinet: 2021 hatten 40 Prozent der befragten Unternehmen gesagt, sie hätten Zero Trust fertig implementiert; 2023 waren das nur mehr 18 Prozent, weil viele erkannt hatten, dass laufend neue Technologien dazukommen. Dazu Hirsch: „Man ist nie fertig, sondern wir laufen hier im Hamsterrad, denn die helle und die dunkle Seite rüsten ständig weiter auf.“ Er hoffe, dass die Menschen mehr Bewusstsein für die Gefahren entwickeln, wenn sie Privates auf Social Media posten. Denn solche Informationen bieten Angreifern Aufschlüsse für Social Engineering und so könne jede oder jeder zum Einfallstor werden.
„Die steigende Vernetzung bringt mit sich, dass immer mehr Laien bis in ihren privaten Alltag mit Security konfrontiert werden“, setzte Silvia Schmidt vom Kompetenzzentrum für IT-Security, an der FH Campus Wien fort und lenkte die Aufmerksamkeit auf das Internet of Things: „Die IoT-Geräte sind kleiner, haben nicht die Ressourcen eines Servers und so ist es schwieriger, Security zu implementieren. Auf der anderen Seite nutzen immer mehr Menschen, die nicht sicherheitsaffin sind, solche Geräte.“
Abhilfe könne das FFG-geförderte Projekt Gamified IT Security Awareness schaffen, das mit bereits im Bankenumfeld Erfahrungen an der FH Campus Wien entwickelt wird. Die modulare Plattform wird spielerische Trainings für unterschiedliches Zielpublikum erlauben, denn jemand an der Kassa benötigt andere Aufgaben und Rätsel, als jemand aus der IT. Social Engineering nimmt einen wichtigen Teil ein, weil in 90 Prozent der Angriffe der Mensch das schwächste Glied in der Kette sei. Auch werde gezeigt, wie leicht ein schlechtes Passwort gehackt werden kann. Dazu betonte Schmidt: „Awarness Building muss alle Ebenen einbeziehen, denn auch die oberste Hierarchie ist nicht davor gefeit, Opfer von Social Engineering zu werden.“
Beschleunigung, Komplexität und die damit einhergehende Abstraktion, weil man Systeme nicht mehr bis in ihre Tiefe verstehen könne, nannte Edgar Weippl als größte Herausforderungen, er leitet die Forschungsgruppe Security and Privacy und ist Vizedekan der Fakultät für Informatik der Universität Wien. Sein Fokus liegt auf der Industrie, deren Anlagen immer mehr aus IT-Systemen bestehen, aber eine viel längere Lebensdauer als Consumer-IT haben. „Ein wesentlicher Aspekt unserer Forschung ist, dass man Fehler, die in anderen Branchen gemacht wurden, nicht wiederholt. Ein gutes Beispiel ist Automotive, die aus dem Maschinenbau kommen und sich lange Zeit nicht als Softwareunternehmen verstanden haben“, berichtete Weippl. So habe man vor rund zehn Jahren Securityfehler gemacht, die in der Softwarebranche bereits undenkbar waren, etwa unsignierte Updates einzuspielen. Nun steige in der Industrie das Bewusstsein, dass sie zu einem IT-Unternehmen mutieren, weil sehr viel automatisierter Informationsaustausch stattfindet.
Das Beispiel mit den betrügerischen SMS führte Weippl weiter. Denn es komme vor, dass für Gewinnspiele oder Spezialinfos Webseiten außerhalb der Stammdomäne genutzt werden und den Menschen damit vermittelt werde, das sei normal. So habe der Lufthansa-Konzern in der Pandemie für Reiseinformationen die Seiten austrian.travel-regulations.com, swiss.travel-regulations.com und lufthansa.travel-regulations.com eingerichtet. „Das waren korrekte Seiten. Aber solche Domains untergraben alle Bemühungen, das Bewusstsein der Menschen für die Gefahren von dubiosen Webseiten zu schärfen“, sagte Weippl.
In seiner Analyse der Herausforderungen zeigte Mario Zimmermann, Regional Director Austria bei Veeam, den Weg in Richtung Verfügbarkeit und Wiederherstellen von Daten: „Aufgrund der steigenden Komplexität und der Zunahme von KI-unterstützen Attacken gehen wir davon aus, dass es zu erfolgreichen Angriffen kommt. Die Frage lautet also nicht, ob oder wann ein Cyberangriff erfolgt, sondern wie oft im Jahr. Backup sehen wir als den letzten Rettungsanker und wiederum als den Weg zurück.“ 85 Prozent der im Ransomware Trends Report, einer globalen Veeam Studie, befragten Unternehmen haben mindestens eine Attacke innerhalb eines Jahres erlebt. Dabei richteten sich 93 Prozent der Ransomware-Attacken zuerst gegen Backup-Umgebungen. Können diese nicht verschlüsselt werden, seien sie für Hacker weniger attraktiv. Außerdem warnte Zimmermann: „56 Prozent der Restores stellen wieder das eigentliche Problem her, indem der Patient Null im Zuge der Restore Tätigkeit zurückgespielt wird. Damit stehen Unternehmen wieder am Anfang des Problems.“
Wie man bevorstehende Attacken erkennen kann, erklärte Zimmermann so: „Man sieht in Backup-Prozessen, dass die CPU-Auslastungen ansteigen oder Durchlaufzeiten auf einmal höher werden, da bei Verschlüsselungen Backup-Jobs neu geschrieben werden.“ Ein Anzeichen seien auch ungewollte Löschvorgänge im großen Stil. Aufgrund dieser Ereignisse könne man Rückschlüsse ziehen, was möglicherweise gerade passiert.
Security müsse als Ganzes gesehen werden, empfahl Markus Hirsch: „Jedes Unternehmen betreibt verschiedene Systeme mit verschiedenen Funktionen von verschiedenen Herstellern. Die müssen alle zusammenspielen. Es ist also Aufgabe der Hersteller, aktiv zusammenzuarbeiten.“ So könne beispielsweise die Netzwerk-Security helfen, das Backup-System, das aus Sicht des Internets weiter hinten steht, abzuschotten. Anwenderunternehmen und -organisationen benötigen dafür interne Verantwortliche, die verstehen, was wo steht und geschützt werden muss.
Doch solche Fachkräfte fehlen, zitierte Hirsch aus der KPMG Cybersecurity Studie Österreich: „43 Prozent der befragten Unternehmen suchen vier bis sechs Monate, um IT-Expertinnen oder Experten einzustellen. Ich glaube, das ist eine optimistische Zahl, denn ich kenne viele, die seit einem Jahr suchen.“ Daher habe Fortinet ein Academic Partner Program mit Lerninhalten, Workshops und Zertifizierungen gegründet, es richtet sich an HTLs, FHs und Unis. Hirsch plädierte für einen Zusammenschluss, denn das Problem Fachkräftemangel sei zu groß, eine Seite allein könne das nicht lösen: „Das ist mein Steckenpferd, ich habe bis jetzt rund zwanzig Organisationen in Österreich gefunden, die Lehrinhalte aus dem Partner Program in den Lehrplan einarbeiten.“
An der FH Campus Wien wird an der Weiterentwicklung des IT Security Masters gearbeitet mit Vertiefungen für Pentesting bzw. Embedded Security, berichtete Silvia Schmidt: „Wir sind in regem Austausch mit der Wirtschaft und bekommen viele Anfragen. Aus meiner Sicht wird Embedded Security in den nächsten Jahren immer wichtiger, das betrifft nicht nur die Hardware, sondern es gibt auch viele neue Funkprotokolle, die gesichert oder gesichert entwickelt gehören.“ Der Fachkräftemangel sei merkbar, aber natürlich brauche Ausbildung ihre Zeit.
Eine wichtige Veranstaltung, um Know-how und Vernetzung zu schaffen, sei die Security Konferenz IST-NOW, die bereits zweimal veranstaltet wurde, mit wachsendem Besucherinteresse. „Die Idee ist, Platz und Infrastruktur zu bieten, dazu nutzen wir unser ELVIS Lab wo wir viel Hardware haben. So können Studierende, ethische Hackerinnen und Hacker sowie Unternehmen experimentieren und vor Ort zum Beispiel einen Angriff ausprobieren“, sagte Schmidt.
„Wir haben eine andere Definition von Prävention: Unternehmen müssen immer davon ausgehen, dass eine erfolgreiche Attacke passiert und daher heißt Prävention sicherzustellen, dass der Weg zurück funktioniert“, sagte Mario Zimmermann. EU-Richtlinien für Banken oder Versicherungen, die manchen überreguliert erscheinen, bestünden zurecht, ebenso die NIS2-Richtlinie der EU. Backup müsse Bestandteil eines Security-Konzepts sein, man brauche drei Kopien auf zwei unterschiedlichen Medien und eines davon ausgelagert. „Spannend ist, dass selbst Microsoft mittlerweile bei den MS365 Services sagt, man solle die Daten zumindest onPrem im eigenen Rechenzentrum oder beim Service Provider ablegen“, so Zimmermann weiter. Im Hinblick auf den Fachkräftemangel, auch bei neuen Technologien wie Kubernetes oder DevOps, sei das Auslagern von Aufgaben an Security-Expert:innen wie Cloudpartner oder Hosting Provider die beste Strategie. Denn Unternehmen müssten sich auf ihr Kerngeschäft konzentrieren können.
Auf erfahrene Partner zu setzen, empfahl auch Klaus Gheri und kam nochmals auf Passwörter im Zusammenhang mit dem Zero-Trust-Konzept zu sprechen, denn diese seien oft Angriffsziele: „Single-Sign-On-Technologien sind ein moderner Ansatz, sie schaffen einen starken Konnex zwischen Anwender und Gerät.“ Passwörter würden nicht mehr gebraucht, weil die Identifikation über einen Key passiert, der nicht auflösbar ist. Denn jeder kenne das Problem mit Passwörtern, Menschen verwenden entweder überall dasselbe oder eine Logik mit Kombinationen. Die Automatisierung schreite auch in der Cyberkriminalität voran und eine KI könne Kombinationen leicht knacken. Zum Stichwort KI gab Gheri einen Denkanstoß: „Früher haben wir über Deep Fakes gespöttelt, etwa, dass wir von der KI einen Anruf kriegen und ‚social engineered‘ werden. Das sehen wir heute noch nicht im großen Stil, aber ich glaube, dass das die nächste große Welle wird.“
Den Gedanken griff Edgar Weippl auf: „Videokonferenzsysteme verringern die face-to-face Kommunikation. Das kann kritisch werden, wenn wir es nicht schaffen, digitale Identitäten sicher zu gestalten.“ Für die vielfältigen Security Anforderungen sei eine fundierte Informatikausbildung an FHs oder Universitäten wichtig, mit Grundlagen und Vertiefungen. Denn es handle sich nicht um Einsteigerjobs, sondern es brauche Erfahrung, etwa als Systemadministrator:in.
Abschließend empfahl Weippl: „Was in Österreich gut funktioniert, ist der informelle Austausch innerhalb der Security Community, etwa beim CERT-Stammtisch. Das erleichtert die Zusammenarbeit über Unternehmensgrenzen hinweg und wenn etwas passiert, dann kennt man schon jemand, der helfen kann.“
Den Future Talk: Cybersecurity zum Nachsehen finden Sie auf unserem YouTube-Kanal.
Aufmacherbild: stock.adobe.com/sorapop