Drei Schweizer Sicherheitsexperten 09.09.2016, 12:30 Uhr

Risiko Cloud - droht der Schweiz der IT-Super-Gau?

Mit jedem Cloud-Service holen Sie sich einen zusätzlichen Risikofaktor mit ins Boot. Droht der Schweiz der IT-Super-Gau? CW diskutierte mit den Sicherheitsexperten von Check Point, Palo Alto Networks und VMware.
Droht in der Schweiz der IT-Super-Gau? Hacker können auch hierzulande den Strom abschalten, wie unlängst in 110 Städten der Ukraine. Das sei auch für die Schweiz ein durchaus realistisches Szenario, glaubt Patrik Honegger von Check Point Software. Zudem läuft auf vielen Schweizer Firmenrechnern noch das alte Windows XP, das von Microsoft gar nicht mehr gepatcht wird. Die Angriffspunkte seien riesig, warnt Honegger. Die betroffenen Unternehmen gehen ein hohes Sicherheitsrisiko ein. Ein weiterer Langfristtrend gibt zu denken: Schweizer Unternehmen beginnen, Cloud-Dienste von AWS, Microsoft oder SAP zu integrieren. Wird die Firmen-IT durch Cloud-Dienste prinzipiell unsicherer? CW diskutierte mit den Systemingenieuren Marcel Panholzer (VMware) und Patrik Honegger (Check Point Software). Roman Hohl ist Country Manager Switzerland von Palo Alto Networks.
CW: Was sind zurzeit die gefährlichsten Angriffsvektoren, und die am stärksten gefährdeten Ziele?
Patrik Honegger: Die Angriffsvektoren haben sich nicht massiv verändert. Dazu zählen nach wie vor Würmer, Spyware, infizierte Downloads oder Trojaner. Aber die Malware selbst ist raffinierter geworden.
Was sollten Firmen tun, die mit der populären Erpresser-Software (Ransomware) angegriffen wurden? Kann man verschlüsselte Firmendaten mittlerweile entschlüsseln, also die Lösegeldzahlung vermeiden?
Roman Hohl: Ransomware wird nicht verschwinden, sondern uns noch länger beschäftigen. Wir beobachten, dass die Angriffe immer gezielter stattfinden, Aufsehen haben die erfolgreichen Attacken im Gesundheitswesen erregt. Deshalb empfehlen wir, stärker in die Prävention zu investieren.
Aber was sollten betroffenen Firmen tun, die bereits angegriffen worden sind?
Honegger: Es gibt Sicherheitsfirmen, die versuchen, die verschlüsselten Daten wieder herzustellen, und ab und zu gelingt das auch. Die einfachste Präventionsmassnahmen aber ist ein periodisches, aktuelles Backup, das Sie nicht auf einer gemeinsamen Netzwerk-Ressource hinterlegt haben.
(Note: Erste Hilfe bei Ransomware-Attacken - Kaspersky bietet seit Kurzem sieben kostenlose Entschlüsselungstools zum Download an. Details zum Einsatz der Tools lesen Sie hier.)
Was ist mit Schläfer-Malware, die erst ab einem bestimmten Datum oder Event aktiv wird? Schläfer-Ransomware könnte dann auch ein Backup beim Zurückspielen unbrauchbar machen.
Honegger: Das kommt vor, aber wir haben technische Möglichkeiten, das zu unterbinden. Es ist eine ganze Kaskade von Sicherheitsmechanismen, die Stand heute zum Einsatz kommt. Der stärkste Einfallsvektor ist nach wie vor die E-Mail. Sie bekommen falsche Links oder infizierte PDFs zugeschickt und klicken dann darauf. Wir schauen vorher in die Dokumente hinein und filtern alle aktiven, also verdächtigen Komponenten heraus, wie zum Beispiel Skripte oder Sourcecode.
Der Sandbox-Approach kommt hier zum Einsatz. Wir testen in einer abgesicherten Umgebung, ob eine Komponente potenziell gefährlich ist und Schaden anrichten könnte. Der Schädling kommt bei diesen Tests nicht über die Sandbox hinaus ins System.
Nächste Seite: Wie sicher sind hybride Clouds?
Hybride Cloud-Szenarien machen es nicht gerade leichter, Sicherheit zu garantieren. Steigt das Risiko mit der Anzahl der Clouds, die ich im Unternehmen einsetze? VMware unterstützt neben der Private Cloud jetzt auch AWS, Google und Microsoft Azure.
Marcel Panholzer: Durch hybride Cloud-Szenarien wird die Sicherheitsfrage nicht einfacher, aber auch nicht viel schwieriger. Vor 15 Jahren hat VMware die x86-Virtualisierung ins Leben gerufen und einen gemeinsamen Layer über alle Hardware-Plattformen etabliert. Dasselbe machen wir jetzt mit den Clouds. Wir bauen einen gemeinsamen Layer über die Azure-Cloud, über Google, die AWS-Services, die Private Cloud und über die Vmware-Cloud (vCloud Air).
Für die IT-Abteilungen ist es komplett transparent, wo und in welcher Cloud die Workloads mit den Applikation laufen. Wir sind sozusagen der HyperVisor für alle Clouds, die dann zu einer Cloud verschmelzen. Der gemeinsame Layer, den wir verwenden, wird die NSX-Platttform (Netzwerk-Virtualisierung) sein. Die Netzwerke werden segmentiert, und der Traffic pro Netzwerk-Segment wird von den Sicherheits-Engines zum Beispiel von Palo Alto und von Check Point überwacht.
Aber mit jeder Public Cloud holen Sie sich doch einen zusätzlichen Risikofaktor mit ins eigene private IT-Boot.
Panholzer: Das glaube ich eben nicht. Indem wir die Netzwerke virtuell segmentieren, wird es sicherer. Es ist ja nicht mehr so wie früher, dass man mit einem Aussen-Perimeter die ganze IT schützt. Nach dem Ei-Prinzip: harte Schale, weicher Kern. Sondern pro Cloud-Service wird ein solches Ei dynamisch generiert, es wird erstellt und nach Beendigung des Service wieder gelöscht. Jeder Cloud-Service erhält ein eigenes Netzwerk mit eigener Security und eigenen Policies. Mit dem Konzept der Netzwerk-Virtualisierung gewinnen wir an Sicherheit.
Wenn das alles so gut funktioniert, wie kommt es dann zu den spektakulären Datendiebstählen, über die man immer wieder liest? Da sind dann mal wieder 10 Millionen Kunden- oder Kreditkarteninformationen von Cyberkriminelle geklaut worden.
Honegger: Ganz gleich, ob wir von private, public oder hybrider Cloud sprechen. Wir müssen heute zur Kenntnis nehmen, dass der klassische Perimeter (Firewall) nicht mehr ausreichend schützt. Der sogenannte Nord-Süd-Verkehr in einem Data Center ist das erste Einfallstor. Die Virtualisierung beginnt nach dem ersten Knoten, und den muss ein Angreifer erst einmal überwinden.
Hinter dem ersten Knoten beginnt die Absicherung der Services, was wir zusammen mit VMware auf der NSX-Umgebung machen. Der Angriffsweg unterscheidet sich nicht, ob sie nun eine private Cloud betreiben oder in grossen hybriden Strukturen auch Public Cloud-Dienste einbinden. Grosse Anbieter wie AWS und Microsoft haben die gleichen Sicherheitsherausforderungen wie Firmen, die ihre eigene Private Cloud betreiben.
Panholzer: Ein wichtiges Kriterium ist ausserdem: Wie verwenden Kunden die hybride Cloud? Wenn Sie Rechenleistung von AWS einkaufen, kann das ein Managed Service, eine Shared- oder eine sichere dedizierte Hardware, die nur nicht bei ihnen im Rechenzentrum steht, sondern bei AWS.
Nächste Seite: Security-as-a-Service - preiswert, sicher, professionell?
Wie populär ist bei ihren Kunden Sicherheit als Cloud-Service (Security-as-a-Service)?
Hohl: Recht populär. Es gibt viele Firmen, die setzen Sicherheit als gemanagten Service bei sich ein. Viele Firmen sind punkto Sicherheit unterbudgetiert. Sie machen zwar etwas, aber nicht genug, um sich wirklich gut zu schützen. Sicherheit als Cloud-Service kann dabei die Risiken und die Kosten minimieren Ausserdem wird die IT-Sicherheit in die Hände von Profis gelegt.
Anfangs haben sie erwähnt, dass sich die Angriffsvektoren nicht verändert haben, und Sicherheitsanbieter sagen ihren Kunden natürlich gerne, dass sie zu wenig investieren. Warum sollten Firmen ihr Sicherheitsbudget erhöhen, und wenn ja, wo?
Honegger: Die Angriffsvektoren haben sich kaum geändert. Aber die Malware selbst ist viel gefährlicher geworden. Antivirenprogramme kennen nur die bekannten Szenarien und wehren damit etwa 60 Prozent aller Attacken ab. Eine klassische Firewall bringt sicher einen Grundschutz, hilft aber nicht gegen Malware, die per E-Mail ins System kommt. Sie benötigen eine Kaskadierung von Lösungen, zum Beispiel zusätzlich ein Intrusion-Detection-System und einen Anti-Bot-Mechanismus, um alle Vektoren wirksam abzusichern.
Das ist heute das grosse Thema. Eine Firewall und ein Antivirus auf ihren Servern und ihren Endpunkten hat jede Firma. Aber auf den höheren Layern gibt es häufig Lücken. Wir empfehlen deshalb jedem Kunden, einen Security-Checkup durchzuführen.
Hohl: Was Sie kennen, davor schützen Sie sich. Wir bei Palo Alto Networks setzen stark auf Prävention und analysieren nicht nur die bekannte, sondern auch die unbekannte Malware. Wir fokussieren uns dabei nicht auf eine Teildisziplin, sondern verfolgen einen Plattform-Ansatz, der Netzwerke, Clouds und Endpoints umfasst. Die Netzwerke sind in der Regel gut geschützt, allenfalls könnte man in den Netzwerken noch früher auf dem Applikationslayer ansetzen. Die zusätzlichen Cloud-Services schützen wir über Sandboxes, wo unbekannte Komponenten ausgetestet werden. Findet zum Beispiel eine Bank in Japan eine neue Malware, dann werden die Policies unserer Sandboxes für alle unsere Kunden innerhalb von 15 Minuten angepasst.
Nächste Seite: Brandgefährlich - Pegasus-Attacke auf iOS-Devices
Gab es in letzter Zeit Angriffe, die sie - sozusagen von einem neutralen technischen Standpunkt – besonders beeindruckt haben, weil sie so raffiniert durchgeführt wurden?
Honegger: Das aktuellste sind momentan die Pegasus-Attacken auf iOS-Devices. Die sind zwar aus unserer Sicht nichts Neues, bislang haben sich die Angriffe aber zum Grossteil auf Android-Geräte konzentriert. Solche Angriffe sollten jeden Sicherheitsexperten hellhörig machen. Kriminelle, die solche Attacken durchführen können, haben leichtes Spiel und können Geräte komplett übernehmen. Sie können zum Beispiel Gespräche mitschneiden, Fotos machen und die Position des Handy-Besitzers feststellen.
Nun betreibt gerade Apple einen Riesenaufwand und hat kürzlich 100‘000 Dollar als Prämie für jede Lücke in seinem iOS ausgeschrieben. iPhones sind in der Schweiz sehr beliebt und galten bislang als besonders sicher, bis Pegasus kam.
Honegger: Man muss davon ausgehen, dass letztlich kein System zu 100 Prozent sicher ist. Das sollte sich auch jeder iPhone-Benutzer bewusst machen. Zwar hat Apple in kürzester Zeit einen iOS-Patch herausgebracht, der die Lücke gestopft hat. Gefahren bestehen aber nach wie vor. Es gibt technische Lösungen für mobile Endgeräte auch von Check Point, mit denen man diese Gefahren zumindest reduzieren kann.
Wie sicher ist die überlebenswichtige Infrastruktur in der Schweiz, also Kraftwerke, Strom- und Wasserwerke? Tun die Anbieter genug für die Sicherheit der Anlagen?
Hohl: Über die Utility-Netze dürfen wir nicht zu viel erzählen. Aber eins ist klar, die Anbieter betreiben noch sehr viele alte Infrastrukturen, Server mit alten Betriebssystemen, die gar nicht mehr gepatcht werden. Die Server sind mithin nicht gut geschützt. In der Ukraine zum Beispiel ist es einem Hacker in relativ kurzer Zeit gelungen, in 110 Städten die Utility-Netze abzuschalten, es gab keinen Strom und kein Gas. Die meisten Sensornetze sind wie eine offene Tür.
Nächste Seite: Wie sicher sind Schweizer Kraftwerke, Wasser und Strom?
Könnte so etwas auch in der Schweiz passieren? Vielleicht nicht unbedingt in 110 Städten, aber Zürich, Bern, Genf und Basel wären ja schon unangenehm genug.
Honegger: 100-prozentige Sicherheit gibt es nicht. Ich bin davon überzeugt, dass kriminelle Hacker die Möglichkeit hätten, das Gleiche auch in der Schweiz zu tun. Utility-Anbietern empfehlen wir, zwei Netze zu fahren: ein Steuerungsnetz für die Software, die Apps und die Sensoren und ein zweites für die Utilities. Aber ein Zwei-Netze-Betrieb kostet natürlich viel Geld.
Hohl: Vor diesen Sicherheitsherausforderungen stehen alle Organisationen, die über Jahrzehnte gewachsen sind und deren IT-Infrastruktur Komponenten beinhaltet, die vor 20 oder 30 Jahren entwickelt wurden. Wir empfehlen einen Plattform-Ansatz.
Die Welt wird durch Sensoren, das Internet der Dinge und Industrie 4.0 immer vernetzter. Die Einfallstore werden immer zahlreicher. Wie wollen Sie zum Beispiel Sensoren schützen?
Honegger: Wir müssen die Übergänge zwischen den Komponenten so gut wie möglich absichern und nur die 'legale' Kommunikation durchlassen. Es gibt auch in der Schweiz zum Beispiel immer noch Clients, auf denen Windows XP läuft, das von Microsoft gar nicht mehr unterstützt und gepatcht wird. Dort sind die Angriffspunkte riesig.
Manche Hacker wollen auch gar kein Geld verdienen, sondern haben es auf die sportliche Ehre abgesehen. Wer hat den grösseren Hirsch geschossen, nach dem Motto: Schau mal, ich habe die Swisscom gehackt.
Nächste Seite: Strengere Sicherheitsgesetze in der Schweiz?
Haben Sie eine Checkliste, anhand derer Unternehmen testen können, ob sie noch ausreichend geschützt ist?
Hohl: Wir setzen ein Gerät in die Netzinfrastruktur, das ein sogenanntes Shadowing macht und den gesamten Traffic über mehrere Tage über alle Endpunkte protokolliert. Viele IT-Leiter wissen heute gar nicht mehr, was in ihrer Infrastruktur abgeht. Mit Shadowing können Sie schon viele offene Fenster identifizieren.
Ist die Schweiz sicherheitsbewusster als andere Länder, zum Beispiel die USA?
Hohl: Ich glaube nicht. Unser Geschäft in den USA wächst sogar noch ein wenig schneller als in der Schweiz. Amerikaner sind Early Adapters, wohingegen Schweizer vielleicht ein wenig mehr Zeit brauchen. Aber das Wachstum ist mehr oder weniger überall das gleiche. Wir haben überall, in den USA, Frankreich, Deutschland und in der Schweiz grosse Projekte. Das liegt auch an strengeren Gesetzen. Die EU hat GDPR (General Data Protection Regulation) und NIS verabschiedet. Für die Schweiz erwarte ich ähnliche Regularien.
Honegger: Die Security Awareness in der Schweiz ist seit vielen Jahren relativ hoch. Allerdings könnte die allgemeine Awareness bei ganz normalen Endbenutzer noch besser sein. Auch wir führen regelmässige Checkups durch, so wie ich mich als Person ja auch um meine persönliche Gesundheit kümmere und zum Arzt zur Vorsorgeuntersuchung gehe. Wir besprechen dann mit dem Kunden, an welchen Stellen er seine Architektur möglicherweise anpassen muss, und was die höchste Priorität hat.
Die wenigsten Kunden haben eine Achitektur, die sie in Echtzeit vor allen Angriffstypen wirksam schützt. Auf Angriffe muss in Sekundenbruchteilen reagiert werden. Das ist die grosse Herausforderung.
Hohl: Die ohnehin hohe Anzahl der Angriffe nimmt weiter zu. Das Sicherheitsteam in einem grossen Unternehmen bekommt heute nicht mehr nur sagen wir einmal 50, sondern 5000 Alarme pro Tag. Manuell sind diese Alarme nicht mehr analysierbar, das schaffen Sie nur mit einer automatisierten Sicherheitslösung, die Meldungen automatisch analysiert, miteinander korreliert und priorisiert.



Das könnte Sie auch interessieren