Cyber Defense ist mehr Kriminalistik als IT-Administration

Veröffentlicht am

Caroline Kiel, die Geschäftsführerin der PingUs Solutions, berichtet in diesem Beitrag von Ihren Erfahrungen als Spezialistin im Bereich IT-Security. Warum wird sie aktiv von Kunden angesprochen und was passiert im Ernstfall? Und warum ist das Security Leistungsspektrum so besonders?

 

Was erwarten und verstehen Kunden unter „Managed Security“?

Caroline: Bei vielen Kunden ist die Problematik, dass man zwar eine eigene IT-Abteilung hat oder zumindest ein paar Mitarbeiter hat, die sich um das Thema IT kümmern. Nur dass diese Mitarbeiter sich in den seltensten Fällen näher oder sogar ausschließlich mit dem Thema Security beschäftigen, was erfahrungsgemäß ein komplett eigenes Modul ist, was wenig oder gar nichts mit dem restlichen IT Umfeld zu tun hat. Mit der Ausnahme natürlich, dass es immer auf derselben Technologie basiert. Aber Security ist ein komplett eigener Ansatz mit komplett eigenen Sichtweisen und Regeln.

Und man muss sich halt sehr intensiv mit diesem Thema beschäftigen und viele Kunden haben schlicht kein Personal dafür, das sich in diesem Bereich auskennt und dazu in der Lage wäre, das selbsttätig autark zu betreuen und deswegen kommen Kunden auf Partner zu und sagen: Könnt ihr uns beraten? Und eben nicht nur im Sinne von könnt ihr uns ein Produkt empfehlen, sondern auch könnt ihr das für uns mit betreuen?

 

Wie unterscheiden sich die Erwartungen von KMU bis zu größeren Unternehmen?

Caroline: Ab drei- bis fünftausend Mitarbeiter aufwärts kommt das Thema Security Operations Center, also SOC, immer weiter hoch, wo es darum geht, die gesamte Infrastruktur sicherheitstechnisch rund um die Uhr zu überwachen, um Angriffe respektive Bedrohungslagen möglichst frühzeitig zu erkennen. Und dann dazu in der Lage zu sein zu sagen, wir isolieren diese gesamte Situation und sorgen dafür, dass sie eben keinen großen Impact auf die gesamte Firma hat.

Dass es eben nicht zu einer Vollverschlüsselung kommt oder zu anderen Situationen. Das ist aber etwas, was personell und administrativ so aufwändig ist, so ein so ein Operations Center zu betreiben, das viele Kunden auf uns zukommen. Und sagen, wir wissen, wir brauchen das, wir können es aber nicht stemmen. Denn zum einen ist es einfach derzeit fast nicht möglich, überhaupt das Personal dafür zu bekommen. Zum anderen ist es auch unglaublich kostenintensiv und aufwändig, so etwas wirklich zu betreiben.

Und da kommen Fragen auf uns zu. Könnt ihr so was? Könnt ihr uns jemanden empfehlen? Wie baut man sowas? Was gibt es für Möglichkeiten, so was auch outgesourced und von extern als Dienstleistung zu nutzen?

Wie sehen die Angriffe aktuell aus?

Caroline: Das Problem ist, dass diese Angriffe, die dort gar nicht direkt detektiert oder erkannt werden, weil sie halt einfach am Anfang erst mal gar nichts wirklich Böses tun. Natürlich ist jede Form von „ich tue etwas mit einem fremden Rechner, wofür dieser Rechner nicht gedacht war“ prinzipiell böse. So ein Angriff läuft aber in mehreren Phasen ab und bevor es dazu kommt, dass wirklich Datenlecks filtriert werden, also aus dem Unternehmen heraus geleitet werden oder alternativ verschlüsselt oder sogar vernichtet werden, da passieren ganz viele Dinge.

Angreifer versuchen, nachdem sie den ersten ersten Zugriff bekommen haben, erstmal sich selber zu festigen, versuchen sich im Netzwerk auszubreiten, mehrere Angriffspunkte zu bauen, stabile Kommunikation nach außen einzurichten usw.. Das braucht Zeit und man kann diese Phase erkennen, wenn man weiß, wonach man sucht. Das ist auch der der wichtigste Punkt, das zu wissen, wonach man sucht, um dann eben dazu in der Lage zu sein zu sagen: das was wir jetzt hier an Traffic sehen, das ist sogenanntes Movement oder auch die sogenannte Seitwärtsbewegung des Angriffs.

Um das zu erkennen, brauche ich nicht nur gute Tools, sondern ich brauche vor allem Leute, die diese Daten interpretieren können. Und das ist eine komplett eigene Ausbildung. Das hat nichts mit dem zu tun, was man als als normaler IT-Administrator, als normaler Techniker irgendwo lernt, sondern das sind Dinge, die eher einer kriminalistischen Ausbildung gleichen. Es gibt Schulungsinstitute, die sich ausschließlich damit beschäftigen, solche Cyber Defense Mitarbeiter auszubilden. Ich muss mich in einen bösen Geist, der, der aus der Flasche ist und in meinem System, hineindenken. Ich muss verstehen, wie der Hacker oder wie der Angreifer denkt und muss auch die Tools kennen.

 

Was sind die größten Herausforderungen für Euch, um Kunden bestmöglich zu unterstützen?

Caroline: Also gibt es da vielleicht mal so zwei, drei ja nachvollziehbare Beispiele und Herausforderungen beim Kunden.

Wir hatten vor ein paar Monaten eine Situation, wo ein Kunde auf uns zukommt und sagt: Wir sind ein international aufgestellter Konzern. In einem anderen Land haben wir ein Sicherheitsvorkommnis und wir sind jetzt von unserer Zentralverwaltung angewiesen worden zu schauen, ob wir in Deutschland auch ein Problem haben. Man hat uns dann über die Details informiert, was da genau gefunden wurden.

In dem Fall war es so, dass der Kunde einen großen Incident Responder eingeschaltet hatte, der bereits die globalen Netzwerkstrukturen durchleuchtet hatte, um zu sehen was ist da dahinter, was können wir tun, wie können wir das Ganze isolieren? Wie können wir erst einmal herausfinden, worum es hier gerade geht? Das ist in so einem Fall immer die die große Herausforderung, erst mal die Wurzel allen Übels zu finden, herauszufinden, worum geht es hier eigentlich gerade und wo hat dieser Angriff genau stattgefunden, um dann von dort aus ebenfalls den anderen stoppen zu können?

Und dann haben wir uns daran gesetzt und haben mit dem sog. Betreiber dafür gesorgt, dass wir noch mal eine detaillierte Netzwerkanalyse in Echtzeit bekommen. Das heißt, wir haben dort ein spezielles Gerät ins Netzwerk gehängt, was sämtlichen Netzwerk Traffic in Kopie mitgeschnitten hat, um dann festzustellen, okay, wir haben hier wirklich Traffic, der da vermutlich nicht hingehört. Wir haben das dann noch mal weiter eingegrenzt und festgestellt, dass es wirklich nicht gut, was da passiert.

 

Gibt es noch weitere Facetten, die die Abwehr von Angreifern heute so schwierig machen?

Caroline: Heute wird zum Beispiel Ransomware as a Service angeboten, also so wie E-Mail as a Service. Das heißt, die Programmierer sind gar nicht mehr die Leute, die angreifen, sondern die stellen ein Produkt zur Verfügung, was ich mieten kann gegen einen gewissen Obolus und dann greifen die für mich an.

Und die bieten ihren Zielen auch einen Service Desk an. Also es ist so, dass wenn ich so eine Verschlüsselung erfahren habe, dann kriege ich eine entsprechende Meldung angezeigt und dann kann ich dort wirklich eine international kostenfreie Telefonnummer anrufen und habe dann dort Muttersprachler, die mich sehr freundlich und sehr professionell durch den Prozess führen, um das Geld zu bezahlen. Zum anderen unterstützen diese mich auch, die Daten wieder zu entschlüsseln. Das geht so weit, dass diese Unternehmen inzwischen sogar Referenz Kunden bereitstellen, bei denen ich nachfragen kann, ob das dann wirklich funktioniert hat, nachdem sie bezahlt haben.

Also das ist ein Business. Ja, definitiv. Und das hat nichts damit zu tun, dass die Leute Interesse an meinen Daten haben. Die haben nur Interesse an meinem Geld und damit ist jedes Unternehmen interessant. Wenn ich mit kleinem Aufwand ein paar 10.000 Euro erbeuten kann, dann ist das halt auch spannend.

 

Und hier das komplette Gespräch:

YouTube

Empfohlene redaktionelle Inhalte:

Hier findest Du externe Inhalte von YouTube, die mein redaktionelles Angebot auf olaf-kaiser.coach ergänzen.

Mit dem Klick auf “Inhalte anzeigen” erklärst Du Dich einverstanden, dass ich Dir Inhalte von YouTube auf meinen Seiten anzeigen darf.
Dabei können personenbezogene Daten an Plattformen von Drittanbietern übermittelt werden.

Mehr erfahren

YouTube-Video laden

Mehr von MSP-Insights und Olaf Kaiser mit einem Klick

Facebook
Twitter
LinkedIn
XING

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert