Cybersecurity: Konzentration auf Basics statt auf „blingbling“
Schwerpunkt: Threat Intelligence. . Auch in der Security gibt es A- und B Promis und zur ersten Kategorie gehört sicher Florian Hansemann, CEO von HanseSecure, einer der Top 21 Security Experten weltweit. Im Interview gibt er Tipps, wie sich Hackergruppen einschätzen lassen, warum die Notfallkonzepte vieler Unternehmen zu theoretisch sind und warum sich so viele vom Marketing blenden lassen. von Dunja Koelwel.. Herr Hansemann, meist hört man beim Thema Lösegeldforderung bei Cyberattacken den Rat: Besser nicht zahlen. Sie vertreten das Gegenteil und sagen: Zahlen. Warum?*. Hackergruppen leben von ihrer Reputation. Das heißt, wenn sich im Internet rumspricht, dass, wenn man an die Hackergruppe xyz bezahlt und dann trotzdem seine Daten nicht mehr bekommt, dann ist deren Bisnäss ruiniert. Warum sollte ich jemand Geld zahlen, wo ich weiß, ich bekomme meine Daten vielleicht trotzdem nicht wieder?Die großen Hackergruppen sind sehr erpicht, dass ihre Reputation erhalten bleibt.”Aber natürlich gibt es Einschränkungen: Man muss validieren, ob es eine der großen Hackergruppen ist. Denn die Wahrscheinlichkeit, dass meine Daten entschlüsselt werden, trifft nur auf die großen Gruppen zu. Bei Untersplittergruppen, die nicht auf ihre Reputation angewiesen sind, kommt dann nämlich teilweise noch eine Forderung und noch eine und noch eine, und die Daten werden dennoch nicht entschlüsselt. Und wie lässt sich eine Hackergruppe einschätzen?. Der einfachste Weg, den man auch als Laie versuchen kann, ist, dass man im Darknet nachsieht: Hier haben die großen Gruppen entsprechende Webseiten, dort pflegen sie ihre Hitlisten. Wenn man dann sein Logo sieht, weiß man, dass es sich um eine größere Gruppe handelt. Kein Script Kiddie kann die Webseite einer bekannten Hackergruppe so verändern, dass dort ein Logo auftaucht. Die anderen Möglichkeiten sind eher technische Natur: etwa eine Schadcode Analyse wie beispielsweise welche Signaturen dort vorkommen, welche Methode beim Angriff verwendet wurde etc. All das ist wie ein Puzzle, das man zusammensetzen kann und dann sollte eine Einordnung in der Regel in 3 4 Werktagen möglich sein. Das Problem ist aber nicht, Hackergruppen zu validieren, sondern dass die meisten Unternehmen keinen Notfallplan haben. Etwas überspitzt formuliert:Unternehmen gehen zu ihrer Sparkasse und meinen sie können Kryptowährungen von A nach B überweisen.”Die meisten Notfallkonzepte sind nicht praxisbezogen, viel zu theoretisch. Warum beantworten die meisten Unternehmen beispielsweise nicht bereits heute die Frage, ob man in einem derartigen Vorfall eine Zahlung tätigen würde? Wenn ja, wer verhandelt mit den Hackern und wie kann das Geld bereitgestellt werden?. Was war das „Schlimmste“, was sie im Bereich Sicherheit bei Banken je erlebt haben?. . Banken und Versicherungen haben ein spezielles Problem: Sie müssen viele Compliance Vorgaben umsetzen. Und dann kommt oft der Trugschluss, dass „compliant“ auch sicher bedeutet. Die Frage ist daher: Compliance oder Sicherheit? Es ist völlig ok, wenn ein Finanzdienstleister sagt, ihm ist Compliance wichtiger, weil das seine Kunden fordern. Aber Sicherheit geht damit nicht automatisch mit einher. Und jetzt zu meinem „Banken Highlight“: Ein großer Zulieferer einer Bank hat für Unternehmenskunden große Mengen an Aktien gekauft – ab siebenstellig aufwärts. Dafür wurde eine sehr komplexe Software gebaut, aber die Middleware vergessen. Das muss man sich zu Gemüte führen: Die hatten nur Bäck End und Frontend und die Authentifizierung lief nur über das Frontend. Wir haben das Frontend kompromittiert, uns als höchstes Nutzerprofil angemeldet und hatten dann Vollzugriff auf alle Daten. Das Problem ist nun: Wenn man die Middleware architektonisch vergisst, das lässt sich nicht nachbessern, man muss alles neu bauen. Und das war ein Paradebeispiel, wo der Kunde Compliance wollte. Hat er geschafft. Aber die Sicherheit nicht. Gibt es Ihrer Einschätzung nach Security Probleme, die Deutschland- spezifisch sind?. In Deutschland haben wir gleich mehrere Probleme:. Viele Unternehmen haben immer noch nicht den Stellenwert von Ai Tieh allgemein verstanden. Da rede ich nicht von Sicherheit, sondern von Ai Tieh. Dem deutschen Mittelstand ist nicht bewusst, dass ohne Ai Tieh nichts mehr geht. Und wenn es ihm bewusst ist, dann will er sich nicht bewusst machen, wie wichtig Ai Tieh und Sicherheit eigentlich sind. Denn das hätte die Konsequenz, dass ITler ganz anders gesehen werden müssten. Aber da die Ai Tieh in den meisten Unternehmen einen schlechten Stand hat, wird sie stiefmütterlich behandelt, etwa was das Budget oder Personal angeht. Ich kenne kaum ein Unternehmen, das hier gesund ausgestattet ist und das bedeutet: Sie sind immer unterbesetzt, haben immer zu viel zu tun, die Aufgaben werden immer komplexer. Daher ist die Ai Tieh meist überlastet. Und wenn dann noch Security dazukommt, fällt diese meist hinten runter. Problem Nummer zwei ist, dass sich viele zu sehr vom Marketing blenden lassen. Marketing suggeriert, das Cybersecurity total kompliziert ist und dass man superfancy Lösungen kaufen muss, es muss blingbling machen und teuer sein. Aber Fakt ist: Man kann mit den Basics schon viel erreichen, man muss sie nur kennen, daran scheitern viele Unternehmen. Ein Paradebeispiel sind verschiedene Ai Tieh Security Messen und Konferenzen. Da sind Aussteller, die reißen Produkttechnisch wenig, aber haben einen tollen Stand und die Unternehmen glauben, dass sie dann eine gute Lösung bekommen. Problem Nummer drei ist das blinde Vertrauen: Vertrauen ist gut, Kontrolle ist besser. Viele Unternehmen sind der Meinung, ihre Ai Tieh macht das schon. Und ich sage: Das klappt nicht. Niemand kann alles beherrschen. Daher ist es fatal, wenn man sagt, die Ai Tieh macht auch die Security mit. Was sehen Sie als die größten Herausforderungen der kommenden Jahre?. Was in den nächsten Jahren viele Fragezeichen auf werfen wird, ist das Thema Ka I, weil diese so unkontrolliert in alle Richtungen wächst. Und was auch mehr in den Fokus rücken wird ist das Thema OT. Und was mein drittes Thema ist Ai Tieh Security bei Behörden und Ämtern. Herr Hansemann, vielen Dank für das Gespräch.,. * Hinweis: Diese Aussage ist ohne Bezug auf rechtliche Rahmenbedingungen, die selbstverständlich geprüft werden sollten. Denn es gibt Länder (zum Beispiel USA), welche die Zahlung an Hackergruppen unter Sanktionen/Strafverfolgung verbuchen. Ob hier ein Standort oder eine Handelsbeziehung notwendig ist, muss im Einzelfall geprüft werden.
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/217693
Auch in der Security gibt es A- und B-Promis und zur ersten Kategorie gehört sicher Florian Hansemann, CEO von HanseSecure, einer der Top-21 Security-Experten weltweit. Im Interview gibt er Tipps, wie sich Hackergruppen einschätzen lassen, warum die Notfallkonzepte vieler Unternehmen zu theoretisch sind und warum sich so viele vom Marketing blenden lassen.
von Dunja Koelwel
Herr Hansemann, meist hört man beim Thema Lösegeldforderung bei Cyberattacken den Rat: Besser nicht zahlen. Sie vertreten das Gegenteil und sagen: Zahlen. Warum?*
Hackergruppen leben von ihrer Reputation. Das heißt, wenn sich im Internet rumspricht, dass – wenn man an die Hackergruppe xyz bezahlt und dann trotzdem seine Daten nicht mehr bekommt – dann ist deren Business ruiniert. Warum sollte ich jemand Geld zahlen, wo ich weiß, ich bekomme meine Daten vielleicht trotzdem nicht wieder?
Die großen Hackergruppen sind sehr erpicht, dass ihre Reputation erhalten bleibt.”
Aber natürlich gibt es Einschränkungen: Man muss validieren, ob es eine der großen Hackergruppen ist. Denn die Wahrscheinlichkeit, dass meine Daten entschlüsselt werden, trifft nur auf die großen Gruppen zu. Bei Untersplittergruppen, die nicht auf ihre Reputation angewiesen sind, kommt dann nämlich teilweise noch eine Forderung und noch eine und noch eine – und die Daten werden dennoch nicht entschlüsselt.
Und wie lässt sich eine Hackergruppe einschätzen?
Der einfachste Weg, den man auch als Laie versuchen kann, ist, dass man im Darknet nachsieht: Hier haben die großen Gruppen entsprechende Webseiten, dort pflegen sie ihre Hitlisten. Wenn man dann sein Logo sieht, weiß man, dass es sich um eine größere Gruppe handelt. Kein Script-Kiddie kann die Webseite einer bekannten Hackergruppe so verändern, dass dort ein Logo auftaucht.
Die anderen Möglichkeiten sind eher technische Natur: etwa eine Schadcode-Analyse wie beispielsweise welche Signaturen dort vorkommen, welche Methode beim Angriff verwendet wurde etc. All das ist wie ein Puzzle, das man zusammensetzen kann und dann sollte eine Einordnung in der Regel in 3-4 Werktagen möglich sein.
Das Problem ist aber nicht, Hackergruppen zu validieren, sondern dass die meisten Unternehmen keinen Notfallplan haben. Etwas überspitzt formuliert:
Unternehmen gehen zu ihrer Sparkasse und meinen sie können Kryptowährungen von A nach B überweisen.”
Die meisten Notfallkonzepte sind nicht praxisbezogen, viel zu theoretisch. Warum beantworten die meisten Unternehmen beispielsweise nicht bereits heute die Frage, ob man in einem derartigen Vorfall eine Zahlung tätigen würde? Wenn ja, wer verhandelt mit den Hackern und wie kann das Geld bereitgestellt werden?
Was war das „Schlimmste“, was sie im Bereich Sicherheit bei Banken je erlebt haben?
Florian Hansemann, CEO HanseSecure
Florian Hansemann ist CEO von HanseSecure (Webseite) und einer der Top-21 Security-Experten weltweit. Bei der Bundeswehr studierte er Raumfahrttechnik und wechselte 2013 auf eine Security_Stelle bei der Bundeswehr. Die Firma HanseSecure wurde im Oktober 2022 gegründet.
Banken und Versicherungen haben ein spezielles Problem: Sie müssen viele Compliance-Vorgaben umsetzen. Und dann kommt oft der Trugschluss, dass „compliant“ auch sicher bedeutet. Die Frage ist daher: Compliance oder Sicherheit? Es ist völlig ok, wenn ein Finanzdienstleister sagt, ihm ist Compliance wichtiger, weil das seine Kunden fordern. Aber Sicherheit geht damit nicht automatisch mit einher.
Und jetzt zu meinem „Banken-Highlight“: Ein großer Zulieferer einer Bank hat für Unternehmenskunden große Mengen an Aktien gekauft – ab siebenstellig aufwärts. Dafür wurde eine sehr komplexe Software gebaut, aber die Middleware vergessen. Das muss man sich zu Gemüte führen: Die hatten nur Backend und Frontend und die Authentifizierung lief nur über das Frontend. Wir haben das Frontend kompromittiert, uns als höchstes Nutzerprofil angemeldet und hatten dann Vollzugriff auf alle Daten. Das Problem ist nun: Wenn man die Middleware architektonisch vergisst, das lässt sich nicht nachbessern, man muss alles neu bauen. Und das war ein Paradebeispiel, wo der Kunde Compliance wollte. Hat er geschafft. Aber die Sicherheit nicht.
Gibt es Ihrer Einschätzung nach Security-Probleme, die Deutschland- spezifisch sind?
In Deutschland haben wir gleich mehrere Probleme:
Viele Unternehmen haben immer noch nicht den Stellenwert von IT allgemein verstanden. Da rede ich nicht von Sicherheit, sondern von IT. Dem deutschen Mittelstand ist nicht bewusst, dass ohne IT nichts mehr geht. Und wenn es ihm bewusst ist, dann will er sich nicht bewusst machen, wie wichtig IT und Sicherheit eigentlich sind. Denn das hätte die Konsequenz, dass ITler ganz anders gesehen werden müssten. Aber da die IT in den meisten Unternehmen einen schlechten Stand hat, wird sie stiefmütterlich behandelt, etwa was das Budget oder Personal angeht. Ich kenne kaum ein Unternehmen, das hier gesund ausgestattet ist und das bedeutet: Sie sind immer unterbesetzt, haben immer zu viel zu tun, die Aufgaben werden immer komplexer. Daher ist die IT meist überlastet. Und wenn dann noch Security dazukommt, fällt diese meist hinten runter.
Problem Nummer zwei ist, dass sich viele zu sehr vom Marketing blenden lassen. Marketing suggeriert, das Cybersecurity total kompliziert ist und dass man superfancy Lösungen kaufen muss – es muss blingbling machen und teuer sein. Aber Fakt ist: Man kann mit den Basics schon viel erreichen, man muss sie nur kennen, daran scheitern viele Unternehmen. Ein Paradebeispiel sind verschiedene IT Security Messen und Konferenzen. Da sind Aussteller, die reißen Produkttechnisch wenig, aber haben einen tollen Stand und die Unternehmen glauben, dass sie dann eine gute Lösung bekommen.
Problem Nummer drei ist das blinde Vertrauen: Vertrauen ist gut, Kontrolle ist besser. Viele Unternehmen sind der Meinung, ihre IT macht das schon. Und ich sage: Das klappt nicht. Niemand kann alles beherrschen. Daher ist es fatal, wenn man sagt, die IT macht auch die Security mit.
Was sehen Sie als die größten Herausforderungen der kommenden Jahre?
Was in den nächsten Jahren viele Fragezeichen auf werfen wird, ist das Thema KI, weil diese so unkontrolliert in alle Richtungen wächst. Und was auch mehr in den Fokus rücken wird ist das Thema OT. Und was mein drittes Thema ist IT-Security bei Behörden und Ämtern.
Herr Hansemann, vielen Dank für das Gespräch.dk,
* Hinweis: Diese Aussage ist ohne Bezug auf rechtliche Rahmenbedingungen, die selbstverständlich geprüft werden sollten. Denn es gibt Länder (z.B. USA), welche die Zahlung an Hackergruppen unter Sanktionen/Strafverfolgung verbuchen. Ob hier ein Standort oder eine Handelsbeziehung notwendig ist, muss im Einzelfall geprüft werden.
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/217693
Schreiben Sie einen Kommentar