#Security: Emerging Technologies und IT-Sicherheit

18. August 2020, 09:53
  • switch
  • innovation
  • kmu
  • iot
  • kolumne
  • #security
image

Emerging Technologies werden als Innovations­beschleuniger gehypt. Aber ohne integrierte Sicherheit kann die digitale Transformation systemkritisch für Firmen sein.

Im Zuge der Digitalisierung spielt die IT in den meisten Wertschöpfungsketten eine zentrale Rolle. Zu beobachten ist eine zunehmende Vernetzung der virtuellen und physischen Welt (IT & OT), selbst in kleinsten Unternehmen. Diese wachsende Komplexität und Hypervernetzung, auch von Geschäftlichem und Privatem, führt zu einer massiv grösseren Angriffsfläche: Eine Lücke oder Unaufmerksamkeit reicht bereits für eine Infektion. 
Hinzu kommt, dass sich die Angreifer in atemberaubendem Tempo professionalisieren und sich neue Technologien wie Artificial Intelligence ebenso zunutze machen. Verstärkt durch die fast unmögliche Strafverfolgung über Grenzen hinweg, stehen wir einem global agierenden kriminellen Markt der Cyberware gegenüber, der stetig wächst.
image
Entwicklung der Bedrohungslage: Eintretenswahrscheinlichkeit und Schadenausmass. Quelle: Switch-CERT

IoT: smart, wenn alles miteinander kommuniziert?

Ein Gartner-Report zum Thema Internet of Things vom Jahr 2019 verzeichnet zwischen 2018 und 2019 ein Wachstum von 21,5%, also total rund 4,8 Milliarden eingebauter Devices. 2020 wird bereits ein exponentielles Wachstum erwartet, vielleicht aufgrund der Coronakrise leicht abgeschwächt.
Von Smart Cities, über Connected Health, Smart Homes, Connected Cars bis hin zu Smart Utilities, alles hat eine IP-Adresse und wird immer mehr vernetzt. Dadurch entsteht ein gewaltiger Datenfluss über Branchengrenzen sowie geschäftliche und private Daten hinweg. Generell haben wir es also mit einer riesigen Angriffsfläche zu tun und gleichzeitig mit einem steigenden Schadenspotential.
Leider haben aber weder Lieferanten noch Hersteller ein Interesse an Sicherheit, weil Sicherheit kostet. Da es weder Minimalstandards noch Normen wie bei Elektrogeräten gibt, führt dieses Marktversagen zu einem "Internet of Insecure Things". Und diese heute verbaute "Legacy" wird uns leider wohl noch lange beschäftigen.

IoT Top Threats 2020

Gemäss dem aktuellen Threat Report 2020 von Palo Alto sind die drei grössten Bedrohungen Exploits, schwache Passwörter und IoT-Würmer.
image
IoT Top Threats. Quelle: IoT Threat Report 2020 von Palo Alto
IoT-Geräte werden bei Exploits in den meisten Fällen nur als Sprungbrett für sogenannte "Lateral Movements" verwendet, um andere Systeme in einem Netzwerk anzugreifen. Wir sehen in diesem Kontext eine grosse Anzahl von Netzwerk-, IP-, Port- und Schwachstellenscans auf diesen Devices.
Schwache Passwörter stehen an zweiter Stelle. Die Verwendung eines vernünftigen Passwort-Managers ist innerhalb der IoT-Umgebung bisher nicht wirklich gelöst.
IoT-Würmer suchen die Netze nach Schwachstellen ab wie etwa den Exploit "EternalBlue", der einen Programmierfehler in der SMB-Implementierung (Server Message Block) von Windows ausnutzt. Wird ein verwundbares System gefunden, verbreitet sich der Wurm weiter oder lädt anderen Schadcode auf das Zielsystem.
Der Schutzbedarf im Bereich IoT ist also als hoch bis sehr hoch einzuschätzen, da Schäden durch IoT-Schwachstellen aus der virtuellen Welt "ausbrechen" und Ausprägungen in der physischen Welt haben. Welcher "Patch" repariert mein durch einen Hackerangriff verunfalltes Firmen-Fahrzeug? Wie beweise ich den Angriff? Welche Art der Versicherung deckt solche Schäden bei akzeptablen Prämien?

Artificial Intelligence – die Hausaufgaben bleiben bestehen

Selbstlernende Algorithmen, sogenannte Machine- oder Deep Learning-Methoden, kommen immer mehr zum Einsatz. Dazu zählen insbesondere wissensbasierte Systeme, Musteranalyse und Erkennung, Mustervorhersage und Robotik. AI betrifft inzwischen sehr viele Bereiche unserer Gesellschaft, von der Erzeugung und Verwendung von Browser-Profilen, Einkaufsverhalten bis hin zur medizinischen Diagnostik oder der Autopilot im Tesla. AI oder präziser formuliert "intelligente Korrelation von Daten" bleibt interessant und wichtig, deren Nutzen wurde oder wird aber auch überbewertet.
Machine-Learning-Methoden können beispielsweise im Medizinalbereich bei der Diagnostik viel erleichtern – die definitive Diagnose stellt aber immer noch der Radiologe. Im Fraud-Detection-Bereich bei E-Banking-Transaktionen erzeugen Machine-Learning-Methoden ebenfalls gute Resultate. Allerdings können diese nicht zur alleinigen Technologie gegen Fraud Detection verwendet werden. Der Grund ist so banal wie einfach: die Kriminellen rüsten ebenfalls nach und implementieren die Angriffe möglichst "intelligent" mit AI-Methoden. Die ernüchternde Schlussfolgerung: Auch AI kann uns die Hausaufgaben nicht abnehmen, wir benötigen weiterhin neben aktuellen Security Frameworks oder einem vollständig integrierten Information Security Management System (ISMS) viel "manuelle Expertise".

Bewährte Security Frameworks und Multi-Sektor-CERT

Für KMU existieren gute Security Frameworks, wie der KMU-Schnelltest, eine gemeinsame Initiative von ICTswitzerland, Bund, SATW, ISSS und weiteren. Hingegen sollten Unternehmen, die kritischen Daten halten, zwingend ein vollständiges ISMS betreiben.
Ein weiterer wichtiger Lösungsansatz ist die Integration eines externen, produktneutralen CERT-Dienstleisters, so Prof. Dr. Hannes Lubich. "Ein CERT erbringt in der Gesamt-Leistungskette der Informationssicherheit eine wesentliche und mit hohen Ansprüchen an die Verbindlichkeit, Verfügbarkeit, Vertraulichkeit und Integrität ausgestattete Funktion, nämlich die Bereitstellung von Expertise zur zeitnahen Behandlung akuter Sicherheitsvorfälle in ihrer jeweiligen Anspruchsgruppe. Das wesentliche Ziel dieser Aktivität ist also die Eingrenzung des Schadensausmasses."
Switch baut die angebotenen CERT-Dienstleistungen (Operational Threat Intelligence & Threat Detection/Prevention, Incident Response, Community Building für Fachspezialisten, etc.) in weiteren Sektoren der kritischen Infrastrukturen und in oben diskutierten Kompetenzfeldern des IT-Security-Betriebs gezielt aus. Beispielsweise in Themenfeldern wie Threat Intelligence Automatisierung zur schnellen Detektion und Verhinderung von Angriffen, Mobile Device Security oder IoT- und ICS-Security.
Zusammenfassend gesagt, wird eine Kombination aus Endpoint Protection & Response, AI-Methoden innerhalb SIEM-Lösungen sowie gut geschulten Experten in Zukunft immer wichtiger. Das Fundament aller Anstrengungen im Kampf gegen Cyberattacken ist und bleibt ein sauberes Hard- und Softwareinventar mit damit verbundenem Business Risk Assessment.

Über den Autor:

Michael Fuchs studierte Informatik an der ZHAW und erwarb den MAS in Informationssicherheit an der HSLU. Seit 6 Jahren arbeitet er als Senior Security Consultant im Team von Switch-CERT und ist auf die Geschäftsfeldentwicklung spezialisiert.

Über die Kolumne #Security:

Die Kolumne von Switch über Sicherheit erscheint 6 Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.

Loading

Mehr zum Thema

image

Podcast: IT-Security – kleine Betriebe, grosse Probleme

Homeoffice und Cybersecurity: Zwei spannende Themen, die zusammen aber vor allem kleine Betriebe vor grosse Probleme stellen.

publiziert am 1.7.2022
image

In der Schweiz werden im Kryptowinter weniger Startups gegründet

Die Zahl der Firmengründungen ist im ersten Halbjahr 2022 gesunken. Die Gründerplattform Startups.ch macht auch den Krieg in der Ukraine und den Homeoffice-Boom dafür verantwortlich.

publiziert am 30.6.2022
image

VBS lanciert Cyber Startup Challenge 2022

Dieses Mal sollen Teilnehmer Lösungen zur automatisierten Netzwerkerkennung und Sicherung von Internet-of-Things-Geräten präsentieren.

publiziert am 30.6.2022
image

10?! Samuel Huegli, VRP Doodle und Zattoo

Warum Corona der beste CTO aller Zeiten war und die Impacts von neuer Technologie kurzfristig oft über- und langfristig unterschätzt werden, sagt Samuel Huegli unter anderem in unseren 10 Fragen.

publiziert am 29.6.2022