Donnerstag, 28. März 2024

Archiv

IT-Sicherheitsmesse it-sa
Cloud-Anwender vernachlässigen die Sicherheit der Endgeräte

Sicherheit in Computernetzen ist keine reine Frage der Technik, das wird beim Gang über Messe it-sa in Nürnberg klar. Dass die Sicherheitslücken mehr werden, hat auch mit einer neuen Programmiermethode zu tun. Und mit der Bequemlichkeit, Daten einfach in die Cloud auszulagern und sie dort sicher zu wähnen.

Von Peter Welchering | 12.10.2019
Ein Symbolbild. Zu sehen ist ein Auge und daneben ein Programmcode.
Die Cloud alleine sorgt nicht für Sicherheit, warnen Experten auf der IT-Sicherheitsmesse it-sa in Nürnberg (picture alliance / Klaus Ohlenschläger)
"Es ist wirklich selten ein rein technisches Problem, was zu einer Cyberattacke führen kann", sagt Angelika Steinacker, Chef-Sicherheitstechnikerin bei IBM Deutschland und seit mehr als 30 Jahren im Security-Bereich tätig. "Es sind fast immer, ich würde sagen in 95 bis 99 Prozent der Fälle sind es organisatorische Faktoren, die dazu einen großen Beitrag geleistet haben."
Steinacker hat sich auf der IT-Sicherheitsmesse it-sa geäußert, die in dieser Woche in Nürnberg stattgefunden hat. IT-Sicherheitstechnik steht dort weiter im Mittelpunkt, doch die Sicherheitsexperten diskutieren auch verstärkt über Organisation. Probleme entstehen dort, weil Sicherheitsüberlegungen bei einem Softwareprojekt häufig erst am Ende sozusagen dem Projekt übergestülpt werden. Die Sicherheitserwägungen werden nicht früh genug einbezogen und in Programmcode umgesetzt.
IT-Sicherheitsexperten warnen schon seit einiger Zeit: Die Zahl der Sicherheitslücken wächst dramatisch. Dass die Zahl der Programmierfehler und Schlupflöcher zunimmt, liegt auch an einer neuen Methode, Anwendungssoftware oder Apps sehr schnell zu coden, statt sie von Grund auf zu programmieren. Richard Werner vom Sicherheitsunternehmen Trend Micro beschreibt diesen Trend so: "Der Prozess des Codens bezeichnet eigentlich nur die Entwicklung von Software, das heißt, heute wird nicht mehr Software monolithisch von einem Hersteller oder von einem, der Software betreibt, entwickelt, sondern man sucht sich Code aus verschiedenen Bereichen zusammen und baut sie sozusagen zusammen."
Günstig, aber unsicher
Dieses schnelle Zusammenbauen von Anwendungssoftware aus vorhandenen Bestandteilen, macht die Apps preiswert. Aber das stumpfe Zusammenbauen kann auch ausgesprochen gefährlich sein, wie Werner erklärt: "Es ist tatsächlich heute auch sehr oft so, dass man zwar Software schon industriell produziert, aber Security nach wie vor monolithisch erst am Schluss oder irgendwann mal zwischendrin betreibt und sich dann entweder Zwischen- oder Endergebnisse anschaut, und dann stellt man fest: Es gibt Probleme. Und dann ist halt die Frage groß: Was mache ich mit den Problemen. Betrachte ich sie im Risikomanagement, oder ignoriere ich sie mal lieber und hoffe, dass nichts passiert."
Doch leider passiert zu viel. Und dann stürzen Computersysteme ab. Das kann für erhebliche Schäden sorgen. Deshalb haben Forscher am Fraunhofer-Institut für sichere Informationstechnologie in Darmstadt eine Software entwickelt, die solche fix zusammengebauten Apps systematisch auf Programmierfehler und Sicherheitslücken abscannt.
Dr. Steven Arzt vom Fraunhofer-Institut für Sichere Informationstechnologie erläutert das so: "Es handelt sich hierbei um einen statischen Schwachstellen-Scanner, der den Binärcode der Anwendung gewissermaßen zerlegt und anhand der Code-Muster, die darin enthalten sind, nach typischen Programmierfehlern sucht, die Entwickler in Anwendungen vornehmen können und die dann zu entsprechenden Sicherheitslücken führen."
Datenschutz nicht nur der Cloud überlassen
Mustererkennung spielt nicht nur beim Sicherheitslücken-Scanner eine Rolle. Das Prinzip kann auch genutzt werden, um Daten in einer Cloud zu schützen, wie Marc Wilczek vom Cloud-Experten Link11 aus Frankfurt erklärt:
"Ein Kunde von uns hat typischerweise 95 Prozent des Datenverkehrs aus Deutschland, fünf Prozent aus anderen Ländern. Wenn wir jetzt plötzlich feststellen, dass der Datenverkehr sich signifikant ändert, weil plötzlich 30 Prozent des Datenverkehrs aus Fernost oder irgendwoher kommt, dann wäre das eine Auffälligkeit. Eine weitere Auffälligkeit kann auch darin bestehen, dass sich der Inhalt der Pakete ändert. Also welche Art von Daten werden denn dort durch die Gegend geschickt? Und je auffälliger das ist in Verbindung auch mit Latenz-Messungen, die wir im Hintergrund vornehmen, können wir dann feststellen: Ist das bedrohlich? Ist das auffällig? Hat das Auswirkungen auf die Systemstabilität? Und wenn das der Fall ist, dann wird über unsere Algorithmen vollständig automatisiert dagegen gearbeitet, um Schaden abzuwenden."
Immer mehr Anwender vertrauen darauf, dass ihre Daten in der Cloud dann geschützt sind, und kümmern sich nicht mehr ausreichend um eine entsprechende Absicherung der Endgeräte. Sicherheitsexperte Florian Goldenstein von Konica-Minolta warnt davor jedoch eindringlich:
"Viele geben jetzt das Thema ab in die Cloud und denken, sie sind damit gesichert oder sie sind damit geschützt. Die Daten aber, ich sage mal, da muss auch ein Fundament her, Security by Design, sage ich immer. Deshalb machen wir in unseren Beratungen immer einen kompletten Analyse-Bereich, wo wir wirklich schauen: Wo liegen die Daten? Welchen Schutzbedarf haben überhaupt die Informationen, die von dem Unternehmen heraus irgendwo gespeichert werden? Und gehen dann eben her und bauen ein entsprechendes Sicherheitskonzept drum rum. Und da ist der Endpoint definitiv ein Bestandteil, wo wir sagen: Der ist nicht zu vernachlässigen und sollte auf gar keinen Fall außer Betracht gelassen werden."
Die Sicherheit der Endgeräte rückt insbesondere für das im Internet der Dinge und den daraus erwachsenden neuen Produktionsumgebungen verstärkt in den Fokus. In vielen Betrieben besteht dann Unklarheit, welche Abteilung für die Sicherheit zuständig ist. Ein klassisches Organisationsproblem. Denn für die Produktionsumgebung ist häufig die Operational Technology und nicht das Team der Informationstechnik zuständig. In der Operational Technology sind oft Spezialisten für eingebettete Systeme, die eben keine Daten generieren, die für die Unternehmensplanung relevant sind. Die Folge: Endgerätesicherheit hat häufig eine geringe Priorität. Denn erstens geht es ja um eingebettete Systeme, auf die sich ein Angriff zur Industriespionage kaum lohnt. Und zweitens sind die für das Unternehmen relevanten, teilweise überlebenswichtigen Daten allesamt in der Cloud. Und die galt als sicher.
Doch dieses Weltbild ist nun ins Wanken gekommen. Mit der Cloud haben sich weder die Sicherheitsprobleme noch die Probleme der Unternehmensplanung gelöst. Und das war für viele schon ziemlich ernüchternd. Weil die Manipulation von Endgeräten als Ausgangspunkt für weitere Attacken genutzt werden kann, müssen große Unternehmen mit vielen Zulieferern einen gehörigen Paradigmenwechsel einleiten. Die Separierung, die in den internen Netzwerken betrieben wird, muss auch bei den Zulieferern passieren.
Der Hype um maschinelles Lernen
Ein Megathema der IT-Sicherheitsmesse it-sa ist KI, maschinelles Lernen. Schon zu Marketingzwecken taucht der Begriff nahezu auf allem auf. Seien es Wahrscheinlichkeitsberechnungen, die etwas über das Verhalten der einzelnen Module in einem Netzwerk aussagen und dann Alarm schlagen, wenn es Abweichungen vom Normverhalten gibt, vermarktet als KI-basiert. Eine Datenbank in der Endgeräte mit ihren Profilen gespeichert sind, die dafür genutzt wird, die Endgeräte in einem Unternehmensnetz zu überwachen, KI-basiert.
Auf dem Kongress neben der Messe finden sich hingegen auch skeptischere Töne. Da wurde argumentiert, dass die digitale Infrastruktur zunehmend komplexer wird. Diese Komplexität lege zwei Folgerungen nahe. Zum einen, dass Überwachungssysteme diese Komplexität monitoren, weil der Mensch das nicht mehr kann. Und dass zweitens lernende Systeme ständig prüfen, ob das, was mit der digitalen Infrastruktur gemacht wird, eigentlich noch mit den vorgegebenen Zielen übereinstimmt, also mit Unternehmenszielen, den wirtschaftlichen Zielen, den gesellschaftlichen Zielen. Und diese lernenden Systeme, das könnten nur Menschen sein. Der Mensch brauche Werkzeuge, um mit der zunehmenden Komplexität umgehen zu können, aber die Ziele müsse er vorgeben. Und dabei entscheiden, ob wir mit unserer komplexen, digitalen Infrastruktur noch auf diese Ziele hin unterwegs sind.
Die Messe wächst
Vier Hallen hatte die it-sa dieses Jahr auf dem Nürnberger Messegelände belegt, zahlreiche Säle und Besprechungsräume kamen für die begleitende Konferenz noch dazu. Die Veranstaltung wächst. Sie profitiert davon, dass es die Cebit nicht mehr gibt, und einige Sicherheitsunternehmen nach Nürnberg ausweichen. Zudem entdecken weitere Branchen die Bedeutung des Themas für sich. So zeichnete sich schon auf dieser it-sa ab, dass im nächsten Jahr Krankenhaus-IT und die gesamte Absicherung des Gesundheitssektors ein wichtiges Thema sein wird.