Round Table Security
Bild: Eva Puella Photography
Die Teilnehmer des Monitor Security Round Tables (v.li.n.re.): Robert Korherr, Tim Berghoff, Thorsten Urbanski, Alexander Graf, Markus Hirsch, Hassan Marzouk, Michael Vormwald
Bild: Eva Puella Photography

Monitor Round Table Security

Managed Security vs. Crime as a Service

IT-Sicherheit ist nicht rein digital, sondern hat auch physische sowie psychische Komponenten – von A wie der Awareness der Mitarbeiter bis Z wie Zugangskontrollen. Darüber – und über viele andere Security-Themen – haben wir mit den sieben Teilnehmern an unserem letzten runden Tisch zum Thema IT-Security gesprochen.

von: Rudolf Felser

Die IT-Sicherheit ist eines der allerwichtigsten Themen für jedes Unternehmen geworden und hat es in die Köpfe der Unternehmenslenker und auf die Besprechungstische der Vorstandsebene geschafft. Das hat gute Gründe, denn die Gegenseite geht immer professioneller vor. Cybercrime ist ein Milliardengeschäft geworden und hat mit den romantischen Vorstellungen vergangener Tage nichts mehr zu tun. Trotzdem liegt vielerorts noch einiges im Argen.

Wir haben aus diesem Grund gleich sieben Security-Experten am runden Tisch versammelt, um über die aktuelle Bedrohungslage, mögliche Strategien und vorhandene Defizite zu diskutieren:

  • Tim Berghoff ist Security Evangelist der GData Software AG, die seit über 30 Jahren Schutz vor Schadsoftware bietet.
  • Alexander Graf ist Geschäftsführer und technischer Leiter von Antares-NetlogiX. Das Unternehmen hat sich auf IT-Security und Hochverfügbarkeit spezialisiert.
  • Markus Hirsch verantwortet beim internationalen Securityhersteller Fortinet das Systems Engineering Team in Österreich.
  • Robert Korherr ist Geschäftsführer des IT-Security-Distributors ProSoft GmbH. Sein Spezialgebiet sind Lösungen, die von mittelständischen Unternehmen entwickelt wurden und für mittelständische Unternehmen gedacht sind.
  • Hassan Marzouk ist bei RadarServices für die Geschäftstätigkeit in Deutschland, Österreich und der Schweiz zuständig. Das Wiener Unternehmen sieht sich als Europas führendes Security Operations Center (SOC).
  • Thorsten Urbanski von der ESET Deutschland GmbH verantwortet dort den Bereich Kommunikation und PR für den DACH-Raum. ESET fokussiert auf den Bereich Unternehmenslösungen, hat aber auch B2C-Lösungen.
  • Michael Vormwald ist im Business Marketing von A1 Telekom Austria verantwortlich für Network und Security. Zum Thema Sicherheit gehört dort unter anderem auch der  physische Schutz der Infrastruktur.

Wir haben die spannende Diskussion hier für Sie zusammengefasst und dabei (fast) nichts ausgelassen.

Herr Graf, bei Ihnen fange ich an. Was sind aktuell die größten Bedrohungen in der IT-Security?

Graf: Die Angriffe werden viel zielgerichteter. Streuung gibt es nach wie vor, aber bei vielen Kunden steht ein Plan dahinter. Cyberkriminelle verfügen oft über viel Wissen, wie die Infrastruktur und Organisation in Unternehmen aussieht, und versuchen, das gezielt auszunutzen. Etwa wenn ihnen bekannt ist, dass der Mitarbeiter keine Rückfragen stellen kann, weil der Vorstand 14 Stunden lang im Flieger sitzt. Ein beliebtes Vorgehen ist auch, nicht die Firma direkt, sondern Partnerfirmen anzugreifen, bei denen die IT-Security nicht so ausgeprägt ist. Bei vielen Kunden fehlt der Security-Prozess. Sie haben zwar viele Tools im Einsatz, es fehlt aber der Masterplan. Security ist ein Prozess und kein Produkt.

Herr Marzouk, Sie müssten durch Ihr SOC einen schönen Überblick haben, was derzeit los ist.

Marzouk: Wir haben einen Global Risk Score entwickelt, weil wir jeden Tag sehen, was bei unseren Kunden los ist. Im Vergleich zum letzten Jahr haben wir eine Steigerung von 400 Prozent festgestellt. Die Angriffe werden immer komplexer. Wenn wir von Denial-of-Service-Attacken sprechen, dann wird teilweise mit zwölf Vektoren angegriffen, die so komplex sind, dass die IT-Leute in den Unternehmen machtlos sind.

Welchen Unterschied gibt es in der Vorbereitung auf Security-Risiken bei kleinen und großen Unternehmen?

Berghoff: So riesig sind die Unterschiede in der Bedrohungslage nicht. Das Ziel der Angreifer ist im Prinzip immer das gleiche, nämlich so schnell wie möglich so viel Profit wie möglich zu machen. Was größere Unternehmen zumindest in Teilen abhebt, ist die Komplexität mit der ein solcher Angriff vorangetrieben wird.
Was gerade bei High-Profile-Zielen auch zum Hebel werden kann, auch im Zuge der DSGVO, ist, dass Unternehmen nicht damit erpresst werden, dass Daten veröffentlicht werden, sondern es gab schon mehrere Fälle in denen damit gedroht wurde, die Aufsichtsbehörden einzuschalten. Das ist in der Regel ein Szenario, das große Unternehmen gerne vermeiden wollen.

Urbanski: Man muss auch gewahr werden, wie die Situation in den Unternehmen ist. Es gibt personelle Ressourcenengpässe bei kleinen bis mittelständischen Unternehmen. Größere Unternehmen verfügen über Computer Emergency Response Teams (CERT), bei denen man wiederum überprüfen muss, ob sie für die verschiedenen Angriffsszenarien gut genug aufgestellt sind. Ein großes Problem ist, dass wir viele unterschiedliche Lösungen haben, sehr hochperformante Lösungen, aber das Knowhow innerhalb der Organisation zu bekommen ist schwierig. MSP-Modelle sind sicher eine gute Lösung.

Ich würde gerne bei den Sicherheitslösungen einhaken und eine Frage an die Herren Korherr und Vormwald richten. Als Kunde darf man erwarten, dass ein Produkt hält, was es verspricht. Im Fall von IT-Security also, dass es schützt. Wodurch unterscheiden sich dann die Lösungen von einander?

Korherr: Die Lösungen müssen zum Unternehmen, seiner Infrastruktur und Größe passen. Sie müssen effizient sein, eine hohe Akzeptanz beim User haben. Das ist sehr wichtig, um nicht auch noch intern im Haus kämpfen zu müssen um die Sicherheitsmaßnahmen durchzubringen.

Wie findet man heraus, welche Lösung zu einem Kunden passt?

Korherr: Die Ansätze sind vielfältig und können in der kurzen Zeit nicht alle aufgeführt werden. Es kommt darauf an, wo er seine Schwachstellen sieht, ob er sich extern hat beraten lassen. In vielen Fällen ist ein Managed-Service-Ansatz eine gute Möglichkeit, in kürzerer Zeit relativ viel zu erreichen.

Herr Vormwald, darf ich diese Frage auch an Sie richten?

Vormwald: Die erste Frage ist, was im Unternehmen schützenswert ist und wo es liegt. Viele Unternehmen gehen zunehmend in die Cloud, andere Unternehmen wollen ihre Daten in einem eigenen Rechenzentrum haben. Auf diese Konzepte müssen die Security-Architektur und Security-Lösung abgestimmt sein. Wir unterscheiden grundsätzlich, ob man einen Angriff schon im Netz abfangen kann, damit er gar nicht durchschlägt – zum Beispiel mit Denial of Service Prevention –, bzw. was man in der Infrastruktur und auf User-Ebene beachten muss, um das Unternehmen zu schützen. Das ist ein Prozess, das ist ein Konzept und es wird nicht die eine Lösung geben, die für alles passt.


Hirsch: Man sieht auch die Agilität, die hinter diesen Angriffen steckt. Ein Angriff, der vorgestern erfolgreich war und auf den die gute Seite mit ihren Verteidigungsmechanismen reagiert hat, wird innerhalb von Tagen adaptiert, um auf diese Verteidigung vorbereitet zu sein. Man kann das mit Scrum und Agile Development, wie wir es in der Softwarebranche sehen, vergleichen.

Sind wir also eigentlich so weit, dass Managed Security gegen Crime as a Service kämpft?

Graf: Wir haben voriges Jahr bei einer Wiener Hightech-Firma eine Evaluierung gemacht. Unser Kollege hat die Firma darauf aufmerksam gemacht, dass sie seit einem Jahr einen gezielten Trojaner bei sich sitzen hatten – natürlich auf dem Admin-PC, mit Vollzugriff auf die komplette IT. Das war ein Managed Service, wie nachvollziehbar war weil der Trojaner den Mandanten im Traffic mitgeschickt hat. Das war sehr geschickt gemacht. Der Angriff kam aus Korea, innerhalb von 24 Stunden, nachdem wir diesen Dienst beendet haben, waren alle Spuren verwischt. Die Domains waren alle abgemeldet, es war nichts mehr nachvollziehbar. Das läuft inzwischen hochprofessionell und gezielt.

Hirsch: Man sieht auch sehr deutlich, wie die Trends in der Malware dem Geld folgen. Man kann einen direkten Zusammenhang zwischen Crypto Currencies und Mining-Attacken ziehen. Sind die Coins gerade mehr Wert ist der Zuwachs dieser Attacken signifikant höher, als wenn der Preis gerade niedrig ist. Wenn weniger Gewinn zu erwarten ist, werden die Entwicklungsressourcen in andere Projekte gesteckt – ganz so, wie es auch legale Unternehmen machen.

Herr Urbanski, wenn die Angreifer mittlerweile so professionell vorgehen, kann ich mich dann als einzelnes Unternehmen, egal welcher Größe, überhaupt noch selbst schützen?

Urbanski: Die Untergrund-Ökonomie ist hochprofessionell. Man muss nicht programmieren können, um einen Computer-Schädling zu erstellen. Dafür gibt es günstige Tools im Dark Web. Da sprechen wir aber nicht über hochprofessionelle Malware, es gibt kaum Antivirus-Lösungen, die das nicht erkennen würden. Das Security als Prozess zu verstehen ist, ist ein enorm wichtiger Aspekt. Es ist wichtig, dass ich aus Angriffen, egal ob erfolgreich oder nicht, für meine Organisation lerne. Wie bin ich in der Lage, Schwachstellen durch entsprechende Lösungen zu erkennen, zu analysieren, frühzeitig zu schließen und wie kann ich aus Incidents lernen? Wie kann ich meine Organisation für die nächsten Angriffe aufstellen? MSPs (Managed Service Provider) sind unserer Einschätzung nach für kleine und mittelständische Unternehmen sehr gut. Ich source dabei nicht aus, wie man oft denkt, sondern hole mir die Expertise ins Unternehmen.

Herr Korherr, wie hat sich die Awareness von Security-Software vom Mittelstand für den Mittelstand in den letzten Jahren verändert?

Korherr: Die Sicherheitsanforderungen und auch das Interesse an Sicherheitslösungen sind gestiegen. Wir glauben, dass unsere Lösungen, gegenüber den Lösungen aus der "ersten Reihe", einen besonderen USP haben müssen. Sonst würde jeder eine bekannte Lösung wählen. Wir müssen versuchen, mit Lösungen zu punkten, die für den Mittelständler bedeuten, dass er seine Infrastruktur nicht komplett ändern muss. Deswegen kommen die Lösungen gut an. Wichtig sind natürlich auch die Partner vor Ort, die diese Lösung transportieren können müssen.

Im Mittelstand sind also andere Aspekte wichtiger, als bei einem großen Unternehmen. Zum Beispiel die leichtere Implementierung.

Korherr: Der Ansatz in einem großen Unternehmen ist globaler, als in einem kleinen Unternehmen. Wenn man ein Problem identifiziert hat, möchte man dieses eine Problem lösen. In vielen Fällen wird dafür eine Lösung angeschafft und nicht ein ganzheitlicher Ansatz gewählt.


Berghoff: Das ist ein Problem, das es in vielen Unternehmen gibt. Gerade wenn man es mit Netzen zu tun hat, die – wie man so schön sagt – "historisch gewachsen" sind. Wenn es ganz schlecht läuft, hat man dann ein System, das zwar irgendwie funktioniert, aber keiner weiß warum. Dann etablieren sich Strukturen, bei denen Insellösungen eingesetzt werden. Standort XY benutzt die eine Lösung, weil sie aus irgendwelchen Gründen dort besser passt, an Standort Z sieht es wieder komplett anders aus. Dabei wird häufig aus den Augen verloren, was überhaupt die Bedürfnisse sind. Wenn man nicht weiß, wo die Kronjuwelen liegen, dann braucht man sich über Antivirus, Firewalls, 2-Faktor-Authentifizierung und Verschlüsselung keine Gedanken zu machen. Im Zuge dessen versuchen viele bei der Suche nach einer Lösung das Pferd von der falschen Seite aufzuzäumen und suchen nach dem billigsten Anbieter. Dann versucht man irgendwie dieses Werkzeug, das man für teures Geld eingekauft hat, in die eigenen Prozess und Strukturen zu bringen. Mit einem Ergebnis, das hinterher nicht viel besser aussieht als vorher, weil man sich Workarounds, Insellösungen und Ausnahmeregelungen geschaffen hat, die das ganze obsolet machen.

Vormwald: Als KMU muss man sich überlegen, wie viel man investieren muss, wenn man die Security für sein Unternehmen selbst umsetzt, und was es kostet, wenn man einen Managed Service zukauft. Denn Cybercrime passiert rund um die Uhr, auch am Wochenende. Sobald Bugs in Routern und Firewalls auftreten, dauert es nur wenige Minuten oder Stunden, bis die Systeme angegriffen werden. Unternehmen haben daher die Aufgabe sicherzustellen, dass es jemanden gibt der schnell genug reagiert und auch das entsprechende Knowhow hat. Die Frage ist, wie viel man investieren muss, um diese Personen im Unternehmen zu haben, im Vergleich zur Dienstleistung eines Anbieters, der rund um die Uhr tätig ist.

Hirsch: Sowohl KMU, als auch Managed Security Service Provider, als auch große Enterprises, als auch Hersteller müssen sich Zusammenarbeit zu Herzen nehmen. Zusammenarbeit und Interoperabilität – genau diese Dinge, die auch unserem Fabric-Ansatz zu Grunde liegen. Denn: Es wird nicht ein Hersteller die Welt retten, sondern es wird immer eine Summe an Tools, Herstellern, Abteilungen, Unternehmen sein, die das Problem gemeinsam lösen müssen. Gerade die Zusammenarbeit zwischen den Geräten der Hersteller ist etwas, das schön langsam in die Branche Einzug hält.

Herr Graf, wir haben gehört, dass es historisch gewachsene "Fleckerlteppich"-Netzwerke gibt, die funktionieren, solange man nicht hinter die Wände schaut. Als Beratungsunternehmen in diesem Bereich die Frage an Sie: Wie bringt man solche Netze auf einen aktuellen Stand? Bombe rein und neu aufbauen?

Graf: (lacht) Das wäre ideal. Die Kunden haben aber immer mehr die Gesamtsicht. Sie sagen nicht mehr "Ich mache ein WLAN-Projekt", "Ich brauche eine neue Firewall" oder "Ich brauche VPN", sondern wir merken gerade in den letzten Monaten, dass sie einen Partner suchen, der ihnen das Gesamte liefert. Wir müssen das von Ende zu Ende sehen. WLAN zum Beispiel muss erst recht secure sein. Ich hatte erst kürzlich einen Termin bei einem Mittelständler mit 200 Mitarbeitern, der im Besprechungsraum das WLAN-Passwort stehen hatte. Nicht für das Gäste-WLAN, sondern für das interne Netz. Das Passwort war von außen durchs Fenster sichtbar. Bei solchen Themen muss man ansetzen und zwar gesamthaft. Nicht neue Switches oder ein neues WLAN, sondern eine neue, sichere Netzwerkarchitektur. Wir sehen vermehrt, dass das zu den Kunden durchdringt.

Vormwald: Wie man sieht, geht es nicht immer um die Angriffe, die über den Internet Access oder das WLAN stattfinden. Man muss auch darauf aufpassen, wer bei der Tür hereinkommt. Es gibt sehr kleine Module, die man in irgendeinem Raum in eine LAN-Dose stecken kann und die dann eine Bluetooth- oder eine separate WLAN-Verbindung aufbauen. Der Angreifer steht mit seinem Auto vor der Tür und ist auch im Netz. Es geht nicht nur um den Schutz aus dem Internet heraus, sondern auch darum, wie man sich vor dem Angreifer schützt, der bei der Tür hereinkommt – getarnt zum Beispiel als Postbote oder Paket-Lieferant.

Graf: Das gilt auch für das Internet of Things. So wie das Smart Home ist auch das IoT nicht sicher, wenn man sich nicht damit beschäftigt. Auch hier muss man sich ein Konzept überlegen und nicht nur bei Amazon irgendwelche Tools bestellen. Genauso in der Produktion. Dort ist man es nicht gewohnt, über Security zu sprechen. Im Sommer, wenn es heiß ist, kann jeder in eine Produktionshalle oder auf das Gelände spazieren und etwas anstecken. In diesem Umfeld kann man meistens noch viel mehr zerstören.

Korherr: Das größte "Problem" ist immer noch der Mitarbeiter im Unternehmen. Er sitzt innerhalb der Firewall, weiß, wo das Tafelsilber liegt.  60 bis 70 Prozent aller Angriffe passieren intern. Man muss sich darüber Gedanken machen, deswegen auch Rechte-Verwaltung, Monitoring, DLP-Lösungen, usw. installieren, um nicht nur den Schutz nach außen sicherzustellen, sondern auch den Schutz von innen zu gewährleisten

Urbanski: Es gibt Erhebungen darüber, wie viel Prozent der Anwender von Unternehmen einen USB-Stick, den sie gefunden haben, am Firmenrechner anstecken. Mit einer geschätzten Quote von 99,90 Prozent wird ein USB-Stick, den Sie mit 'Personalakten' beschriften und auf einem Parkplatz ablegen, angesteckt. Das hat etwas mit der Awareness zu tun – oder ich muss einfach dafür sorgen, dass es nicht mehr funktioniert. Bei den großen Datenvorfällen in den letzten 12 Monaten zum Beispiel wären die Daten wertlos gewesen, wenn sie hochverschlüsselt vorgelegen wären. Datenschutz muss ganzheitlich gedacht werden. Dazu zählt auch der Einsatz von Zwei-Faktor-Authentifizierung, um Zugänge zu Systemen und Daten effektiv zu schützen.

Marzouk: Wir haben in den letzten Jahren viel über Technologie gesprochen. Das ist schön und gut, aber die Technologie muss miteinander kommunizieren. Wir sprechen von Cross Correlation. Was nutzt es, wenn eine Firewall etwas entdeckt und eine Intrusion Detection etwas entdeckt – die Systeme müssen ineinandergreifen und miteinander korreliert werden.

Berghoff: Das kann ich absolut unterschreiben. Was wir in den letzten Jahren und Jahrzehnten in der Industrie immer versucht haben, war den Benutzer so weit wie möglich aus allen Entscheidungen auszuklammern und ihm alles abzunehmen, damit der User selbst so wenig Arbeit wie möglich hat. Wir sind jetzt an einem Punkt, an dem das nicht mehr in jedem Fall funktioniert. Wir müssen jetzt anfangen, den Benutzer, der noch immer vor dem Rechner sitzt und unser Tafelsilber bewachen sollte, abzuholen und ihm zu verdeutlichen, worauf es im Bereich Sicherheit ankommt.

Weitere Artikel

Digitale Zwillinge werden Realität

PLM-Systeme liefern historische Daten, auf Basis derer ein…

Weiterlesen

KI in Forschung und Entwicklung

Egal, in welcher Branche man sich umhört – der Einsatz…

Weiterlesen
 © BRZ_Klaus Vyhnalek

„Blick aus User-Sicht ist entscheidend“

Das BRZ ist ein wichtiger Partner in der weiteren…

Weiterlesen

Die Zukunft aller Digitalisierungsprojekte

Der digitale Zwilling ist der Grundpfeiler aller…

Weiterlesen
Credit: SEPPmail-Deutschland

Land Oberösterreich setzt auf E-Mail-Verschlüsselung von SEPPmail

Die E-Mail ist im Verwaltungsalltag in Organisationen und…

Weiterlesen
Credit: Jana Krippel

Mehr als ein Jahr DSGVO: Ist der Sturm vorübergezogen?

Die Einführung der neuen DSGVO-Richtlinien vor etwas mehr…

Weiterlesen
Credit: Michael Dürr

„Es kann jedem passieren“

Markus Endres und Aleksandar Lacarak, Mitbegründer des…

Weiterlesen
Credit: Syngroup

Digitaler Schub

Die digitale Transformation benötigt in vielen Bereichen…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen
Credit: Schulamt St. Pölten

Selfservice statt Zettelwirtschaft

Mit einer neuen Softwarelösung hat das Diözesan-Schulamt St.…

Weiterlesen
Credit: Fotalia

Die sichere Datenwolke

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: CyberArk

DevOps-Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps-Modelle für die…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen