Palo Alto kommentiert BSI Lagebericht zur IT-Sicherheit 2015
Palo Alto Networks erläutert BSI Bericht zur Lage der IT-Sicherheit in Deutschland –
Experten warnen vor Fokussierung auf einzelne Bedrohungstypen
München, den 19.11.2015 – Eine umfangreiche Beschreibung der aktuellen Bedrohungslage in Sachen Cyberkriminalität liefert das BSI (Bundesamt für Sicherheit in der Informationstechnik) mit seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2015“. Die Analyse des Status Quo wurde am Vormittag in Berlin vorgestellt. Der rund 50-seitige Report liefert unter anderem Einblicke in Software-Schwachstellen, Angriffsmethoden und –mittel, die Motivation und Ziele von Cyberangriffen sowie die Bedrohungslage kritischer Infrastrukturen. Greg Day, Vice President und CSO in der Region EMEA bei Palo Alto Networks, nimmt aus Sicht eines Praktikers einige Erkenntnisse des Reports unter die Lupe:
„Der Bericht des BSI weist darauf hin, dass viele Unternehmen das Patch-Management vernachlässigen. Dies gilt sowohl für Standard-Software als auch für die Steuerungssysteme von Industrieanlagen. Es wäre aber zu einfach hier den Unternehmen den Schwarzen Peter zuzuschieben. Man muss verstehen, dass die IT-Team heutzutage mit einer täglich mit Vielzahl an neuen Informationen umgehen müssen – auch aus dem Bereich der Sicherheit, die sie einfach überfordert. Außerdem haben viele das Problem, dass ihre Infrastrukturen wilde Flickenteppiche sind, die auf konventionelle Art und Weise nur schwer zu überblicken und zu schützen sind. Aufgrund dieses Wirrwarrs fällt es vielen schwer selbst die Grundlagen der Sicherheit zu beachten. An dieser Stelle muss es das oberste Ziel sein die Komplexität zu reduzieren.
Der Leiter des BSI sowie der Bundesinnenminister sind im Zuge der Pressekonferenz mehrfach auf die wachsende Bedeutung von APTs (Advanced Persitent Threats) eingegangen. Diese werden heute nicht mehr nur von Geheimdiensten, sondern auch von Terroristen und Cyberkriminellen genutzt. Diesen Trend sehen wir auch. Deshalb können wir nicht länger Angreifer isoliert betrachten, sondern müssen den Fokus auf ganze Industrien und Regionen erweitern. Sprich, wir müssen Fragen stellen wie „Mit welchen Angriffen müssen aktuell vor allem Banken rechnen oder wie gehen Kriminelle am ehesten gegen Kraftwerke vor?“. Es muss also deutlich mehr Wissen über die Attacken zusammengetragen und ausgewertet werden. Dazu müssen auch die Anbieter von IT-Sicherheitstechnik enger zusammenarbeiten und Erkenntnisse austauschen.
Im Zusammenhang mit der schwindenden Fähigkeit sich zu schützen stellt der Report auch fest, dass klassische Antivirus-Lösungen zu langsam aktualisiert werden um effektiven Schutz zu bieten. Das liegt auf der Hand, denn neue Malware entsteht so rasch in so hoher Zahl, dass der konventionelle Ansatz nicht mehr funktionieren kann. Heutige Angriffe bestehen aus so vielen Elementen (Attack Lifecycle), die einfach verändert werden können, so dass Unmengen an individueller Malware binnen Minuten verbreitet werden kann. Deswegen muss hier ein Umdenken stattfinden – weg von der Betrachtung der einzelnen Schadsoftare als einzelne Bedrohung und hin zu einem Vorgehen, in dem das generelle Verhalten von Software analysiert wird, um brandneue Malware schon an ihrem Verhalten zu erkennen.
Als zentrale Trends nennt das BSI unter anderem neben den APTs, DoS, Hacking als Dienstleistung auch Ransomware – also Erpressersoftware. Auch wenn dies sicher zutreffen mag, so ist eine Fokussierung auf diese einzelnen Kategorien brandgefährlich. Wenn nun wieder speziell Lösungen gegen solche Attacken entwickelt werden, so wird die Fragmentierung der IT-Sicherheit nur noch komplexer und ineffizienter. Dadurch werden nur unnötig Ressourcen vergeudet. Es werden einfach zu schnell zu viele Varianten der jeweiligen Bedrohungen entwickelt, so dass die Fokussierung die genau falsche Strategie wäre. Auch aus diesem Grund ist eine verhaltensbasiert Analyse der Vorgänge in den Datennetzen die einzig sinnvolle Präventionsmaßnahme.
Wenig überraschend ist die geradezu explosionsartige Vermehrung der gefundenen Malware von 250 Millionen auf über 400 Millionen Varianten binnen eines Jahres. Die Zahl alleine sagt aber nicht viel über die tatsächliche Bedrohungslage aus. Es müssen bessere Wege gefunden werden, die Gefährdungssituation einzustufen. Da für viele Unternehmen der Cyberspace zum Geschäftsfeld geworden ist und die IT für fast alle Unternehmen der Geschäftserfolg maßgeblich beeinflusst muss eine neue Metrik entwickelt werden um Sicherheitsprobleme zu erfassen und den Erfolg im Umgang mit ihnen zu messen.
Neben der Problembeschreibung liefert das BSI aber auch Handlungsempfehlung. So fordern die Experten einen Dreiklang aus Prävention, Detektion und Reaktion wenn es um Cybersicherheit geht. Nun kann eine Behörde das natürlich leicht als „Best Practise“ kommunizieren, nur die Unternehmen stehen eben vor der Herausforderung dies auch umzusetzen. Hier besteht die große Kunst darin, die richtige Balance zwischen Investment und Risiko zu finden. Mir scheint leider bei vielen Unternehmen die Resignation eingesetzt zu haben, so dass mehr in das Beseitigen von Schäden investiert wird, als in die Prävention. Dieser Ansatz käme dem Eingestehen einer Niederlage gleich. Dabei ist die Lösung nicht so schwer, denn viele Attacken werden ja frühzeitig entdeckt – nur dann kommt leider noch zu oft der „Faktor Mensch“ ins Spiel, der oft nicht weiß, wie er mit den Infos umgehen soll, die ihm die Sicherheitslösungen liefern. Deshalb rate ich dringend dazu, die Analyse von Angriffsdaten zu automatisieren und die Auswertung von Sicherheitsinformationen auch über Big Data-Tools zu unterstützen. Nur mit automatisierter Sicherheit kann man sich gegen automatisierte Attacken schützen.
Als letzten Punkt beschreibt das BSI – völlig zu recht – die Cybersicherheit als iterativen Prozess. Soll heißen: Eine Attacke wird festgestellt und die Unternehmen beginnen schrittweise mit dem Bekämpfen des Schädlings. Allerdings dauert dies oft noch viel zu lange. In vielen Unternehmen gibt es dafür euch nicht einmal Vorgaben. Hier wird die EU mit ihren Gesetzesvorgaben erste Standards setzen. Spätestens dann erwarte ich bei den betroffenen Unternehmen ein radikales Umdenken. Bisher wurden Sicherheitslösungen danach angeschafft, wie gut sie eine sehr spezifische Aufgabe übernehmen. Es ging also mehr um theoretische Leistungsfähigkeit als um praktische Anwendbarkeit. Diese, dann in Summe sehr komplexen Systeme, nehmen viel menschliche. „analoge“ Arbeitskraft in Anspruch, die sich dabei immer wieder als Bremsblock entpuppt. Effektive Lösungen müssen vielmehr auf Austausch mit anderen Systemen und eine ganzheitliche Betrachtung der Infrastruktur ausgelegt sein. Zusammengefasst kann man wohl sagen, dass wir für die digitale Herausforderung „Cybersicherheit“ auch digitale Antworten brauchen.“