Montag, 24. August 2015 | News | Blog, Mitgliedernews, Branchennews

Security is a process, not a product – sic[!]sec GmbH

Es ist inzwischen allgemein bekannt, dass Standardsicherheitslösungen – wie Firewall und Antivirenprogramme längst nicht mehr ausreichen. Dennoch sind Unternehmen immer wieder überrascht, wenn Sie feststellen müssen, dass Sie Opfer eines Angriffs wurden. Achim Hoffmann und Ralf Reinhardt, Geschäftsführer der sic[!]sec GmbH, über ihr Unternehmen und über die Umsetzung eines tragfähigen Sicherheitskonzeptes:

Ralf Reinhardt, Geschäftsführer der sic[!]sec GmbH (Foto: privat)

Ralf Reinhardt, Geschäftsführer der sic[!]sec GmbH (Foto: privat)

Bild
1 2

Sie sind ja nun schon fast ein Jahr Mitglied in unserem Netzwerk, bitte stellen Sie dennoch Ihre Firma kurz vor.
Die sic[!]sec GmbH mit Sitz in Gröbenzell bei München wurde 2010 von Achim Hoffmann und Ralf Reinhardt gegründet und beliefert seitdem namhafte Firmen in den verschiedensten Branchen, vom Mittelständler bis zum DAX-Unternehmen, mit Dienstleistungen und Produkten im Bereich der Web Application Security und der Information Security Services, angefangen bei der Durchführung von Penetrationstests, Sourcecodeanalysen, Code-Reviews, Sicherheitsaudits, Maßnahmenberatungen bis hin zu Schulungen.
Die sic[!]sec GmbH ist unter anderem Partner der „Allianz für Cyber-Sicherheit“ sowie Mitglied des „Sicherheitsnetzwerk München“, des „Bayerischen IT-Sicherheitscluster“ darüber hinaus auch Unterstützer des „OWASP German Chapter“.sic[!]sec Information Security Services - Hacking Made in Germany!

Sie arbeiten persönlich beide seit den 90er Jahren an vorderster Front der Internettechnologie. Worin sehen Sie die Hauptursache, dass nach wie vor Unternehmensdaten nur mäßig geschützt bleiben?
Aus unserer Sicht ist es mangelnde Awareness, oft aller Beteiligten. Sicherheit ist häufig kein Gut (Asset), das zu den Unternehmenswerten gezählt wird. Damit bleibt dieses Thema bei Risikobetrachtungen des Unternehmens außen vor. Hinzu kommt, dass der „Umgang“ mit Sicherheit Kosten verursacht, die nicht direkt einen Mehrwert haben, Stichwort Return on Investment.
Traurige Realität ist, dass das Maß an Sicherheit nicht sichtbar ist. Daher wird es sprichwörtlich erst dann „begriffen“, wenn es zum Schadens(vor)fall gekommen ist.

Was sind aus Ihrer Erfahrung die häufigsten Schwachstellen in Unternehmen und deren IT-Infrastruktur.
Da gibt es einige Schwachstellen. In der Regel sind es Webauftritt, mangelndes Wissen über Gefahren der IT-Sicherheit - neudeutsch „Cyber-Sicherheit“. Allen voran aber steht mangelndes Bewusstsein.

Welche Möglichkeiten gibt es um die neuralgischen Punkte im eigenen Unternehmen zu identifizieren?
Zuerst sollten die Werte des Unternehmens bestimmt und klassifiziert werden. Gibt es z. B. Daten, deren Verlust oder Manipulation den Geschäftsbetrieb beeinträchtigen oder gar unterbrechen? Danach sollte geprüft werden, ob der Zugang zu diesen Daten hinreichend geschützt ist (Authentisierung, Zugriffsberechtigung). Dies kann zunächst mit einem Audit der Prozesse, die die Daten bearbeiten, erfolgen. Ein Audit sollte aber unbedingt durch einen Penetrationstest ergänzt werden, da nur der die tatsächlich vorhandenen Schutzmechanismen überprüfen kann. Die Klassiker der neuralgischen Punkte sind meist: mangelnde Klassifizierung, ungenügende Zugriffsberechtigungen (zu viele Personen, zu viele Berichtigungen), Backup der Daten und Schwachstellen in Web-Anwendungen.

Wie sollte man bei der Analyse der Schwachstellen vorgehen, um dann ein tragfähiges Sicherheitskonzept zu erarbeiten?
Damit Schwachstellen analysiert werden können, müssen sie bekannt sein. Wie gerade gesagt, müssen dazu die Werte und Daten bzgl. ihres Schutzbedarfs klassifiziert sein, z. B. kein Schutzbedarf oder hoher Schutzbedarf. Erst dann kann man erkennen, ob ein bestimmtes Verhalten schadhaft ist, also eine Schwachstelle vorliegt.

Um Schwachstellen zu finden, gibt es unterschiedliche Methoden: den Quellcode-Review durch einen erfahrenen Software-Experten, die automatische Source Code Analyse mit speziellen Tools und den Penetrationstest, der die fertige Anwendung auf Sicherheitslücken überprüft. Alle Methoden haben Vor- und Nachteile, idealerweise werden sie kombiniert, um ein hohes Maß an Sicherheit zu erreichen. Aus den Ergebnissen, d. h. den mit den unterschiedlichen Methoden identifizierten Schwachstellen, kann ein erfahrener Sicherheitsberater in Zusammenarbeit mit dem Kunden dann ein Konzept erstellen, wie die Risiken, die die Schwachstellen bergen, minimiert oder beseitigt werden. Bei der Empfehlung von Maßnahmen wägt der Sicherheitsberater das Schadenspotential und die Umsetzungsmöglichkeiten ab, z. B. ob zunächst das Ausnutzen einer Schwachstelle verhindert wird, eine Schwachstelle sofort behoben wird und ob Vorkehrungen getroffen werden müssen, um sie zukünftig zu vermeiden.

Penetrationstests – wie hilfreich sind diese?
Penetrationstests liefern ein gutes Bild über den aktuellen Sicherheitsstand einer Anwendung, oder allgemein des Systems. Erfahrene Tester betrachten die Anwendung so, wie es ein Angreifer tun würde, d. h. es ist weniger das funktionale Verhalten, das überprüft wird, sondern wie sich die Anwendung verhält, wenn sie mit ungewöhnlichen, i. d. R. vom Programmierer nicht erwarteten Daten, versorgt wird. Penetrationstest können als Blackbox-Test oder als Whitebox-Test durchgeführt werden.

Der Blackbox-Test ist vergleichbar mit dem, was ein anonymer Angreifer auch erreichen kann. Ohne zusätzliches Wissen, wie es z. B. ein Insider hat, ist der Testaufwand  sehr unspezifisch und damit umfangreich. Dies führt dazu, dass weniger Schwachstellen gefunden werden. Beim Whitebox-Test hingegen kann der Tester das zusätzliche Wissen nutzen, um zielgenau bestimmte Teile der Anwendung zu untersuchen. Aus den Protokolldateien ist zusätzlich ersichtlich, ob ein Angriff auf eine Schwachstelle trifft und diese ggf. ausnutzen kann. Damit kann mit Whitebox-Test die Sicherheit viel genauer überprüft werden. Es können auch Schwachstellen gefunden werden, die durch das sonstige Verhalten der Anwendung gar nicht erkennbar sind.

Wann empfehlen sich solche Tests?
Penetrationstests sollten für Anwendungen und Systeme durchgeführt werden, wenn diese sensible – Stichwort Datenschutz – bzw. unternehmenskritische Daten enthalten. Sie sollten auch dann durchgeführt werden, wenn die Anwendung und ihre Daten selbst einen niedrigen Schutzbedarf haben, die zugehörigen Systeme aber z. B. mit anderen, weit mehr schutzwürdigen System verbunden sind.

Welche Möglichkeiten sehen Sie für Unternehmer, um Mitarbeiter stärker für Angriffe zu sensibilisieren?
Die Sicherheitsverantwortlichen (CISO, CSO) sollten ihre Mitarbeiter in Grundkenntnissen der IT-Sicherheit schulen. Dazu eignen sich die vielfältig angebotenen Schulungen und Seminare. Danach ist es durchaus empfehlenswert, die Mitarbeiter, die mit besonders sensiblen Informationen umgehen, in einem Workshop mit Social Engineering und Hacking vertraut zu machen.
Zusammengefasst ist also eine möglichst breite Sensibilisierung in Bezug auf die IT-Sicherheits-Grundkenntnisse erforderlich, sowie eine intensivere Schulung bei exponierten Mitarbeitern. Wichtig ist, dass diese Kultur gelebt werden muss und sie muss natürlich vom Management vorgelebt werden.

…sollte man im Hinblick auf IT-Sicherheit so etwas wie eine - salopp gesagt - „Brandschutzübung“ ein- bzw. durchführen?
Um zu prüfen, ob das erlernte Wissen sitzt und Manager und Mitarbeiter sich in Bezug auf IT-Sicherheit bewusst verhalten, sind unangekündigte Social-Engineering-Angriffe eine gute Übung. Diese sollte aber eine Abschlusspräsentation beinhalten, sodass das beobachtete Verhalten diskutiert und ggf. angepasst werden kann. Wichtig ist, dass den Mitarbeitern und Managern die beobachteten „Fehler“ bewusst werden und Vorschläge zu Verbesserung gemeinsam erarbeiten werden.

Vielen Dank für das interessante Gespräch.