Round Table Security
Bild: Eva Puella Photography
Die Teilnehmer des Monitor Security Round Tables (v.li.n.re.): Robert Korherr, Tim Berghoff, Thorsten Urbanski, Alexander Graf, Markus Hirsch, Hassan Marzouk, Michael Vormwald
Bild: Eva Puella Photography

Monitor Round Table Security

Managed Security vs. Crime as a Service

IT-Sicherheit ist nicht rein digital, sondern hat auch physische sowie psychische Komponenten – von A wie der Awareness der Mitarbeiter bis Z wie Zugangskontrollen. Darüber – und über viele andere Security-Themen – haben wir mit den sieben Teilnehmern an unserem letzten runden Tisch zum Thema IT-Security gesprochen.

von: Rudolf Felser

Die IT-Sicherheit ist eines der allerwichtigsten Themen für jedes Unternehmen geworden und hat es in die Köpfe der Unternehmenslenker und auf die Besprechungstische der Vorstandsebene geschafft. Das hat gute Gründe, denn die Gegenseite geht immer professioneller vor. Cybercrime ist ein Milliardengeschäft geworden und hat mit den romantischen Vorstellungen vergangener Tage nichts mehr zu tun. Trotzdem liegt vielerorts noch einiges im Argen.

Wir haben aus diesem Grund gleich sieben Security-Experten am runden Tisch versammelt, um über die aktuelle Bedrohungslage, mögliche Strategien und vorhandene Defizite zu diskutieren:

  • Tim Berghoff ist Security Evangelist der GData Software AG, die seit über 30 Jahren Schutz vor Schadsoftware bietet.
  • Alexander Graf ist Geschäftsführer und technischer Leiter von Antares-NetlogiX. Das Unternehmen hat sich auf IT-Security und Hochverfügbarkeit spezialisiert.
  • Markus Hirsch verantwortet beim internationalen Securityhersteller Fortinet das Systems Engineering Team in Österreich.
  • Robert Korherr ist Geschäftsführer des IT-Security-Distributors ProSoft GmbH. Sein Spezialgebiet sind Lösungen, die von mittelständischen Unternehmen entwickelt wurden und für mittelständische Unternehmen gedacht sind.
  • Hassan Marzouk ist bei RadarServices für die Geschäftstätigkeit in Deutschland, Österreich und der Schweiz zuständig. Das Wiener Unternehmen sieht sich als Europas führendes Security Operations Center (SOC).
  • Thorsten Urbanski von der ESET Deutschland GmbH verantwortet dort den Bereich Kommunikation und PR für den DACH-Raum. ESET fokussiert auf den Bereich Unternehmenslösungen, hat aber auch B2C-Lösungen.
  • Michael Vormwald ist im Business Marketing von A1 Telekom Austria verantwortlich für Network und Security. Zum Thema Sicherheit gehört dort unter anderem auch der  physische Schutz der Infrastruktur.

Wir haben die spannende Diskussion hier für Sie zusammengefasst und dabei (fast) nichts ausgelassen.

Bild: Eva Puella Photography
Alexander Graf, Geschäftsführer und technischer Leiter von Antares-NetlogiX
Bild: Eva Puella Photography

Herr Graf, bei Ihnen fange ich an. Was sind aktuell die größten Bedrohungen in der IT-Security?

Graf: Die Angriffe werden viel zielgerichteter. Streuung gibt es nach wie vor, aber bei vielen Kunden steht ein Plan dahinter. Cyberkriminelle verfügen oft über viel Wissen, wie die Infrastruktur und Organisation in Unternehmen aussieht, und versuchen, das gezielt auszunutzen. Etwa wenn ihnen bekannt ist, dass der Mitarbeiter keine Rückfragen stellen kann, weil der Vorstand 14 Stunden lang im Flieger sitzt. Ein beliebtes Vorgehen ist auch, nicht die Firma direkt, sondern Partnerfirmen anzugreifen, bei denen die IT-Security nicht so ausgeprägt ist. Bei vielen Kunden fehlt der Security-Prozess. Sie haben zwar viele Tools im Einsatz, es fehlt aber der Masterplan. Security ist ein Prozess und kein Produkt.

Herr Marzouk, Sie müssten durch Ihr SOC einen schönen Überblick haben, was derzeit los ist.

Marzouk: Wir haben einen Global Risk Score entwickelt, weil wir jeden Tag sehen, was bei unseren Kunden los ist. Im Vergleich zum letzten Jahr haben wir eine Steigerung von 400 Prozent festgestellt. Die Angriffe werden immer komplexer. Wenn wir von Denial-of-Service-Attacken sprechen, dann wird teilweise mit zwölf Vektoren angegriffen, die so komplex sind, dass die IT-Leute in den Unternehmen machtlos sind.

Welchen Unterschied gibt es in der Vorbereitung auf Security-Risiken bei kleinen und großen Unternehmen?

Berghoff: So riesig sind die Unterschiede in der Bedrohungslage nicht. Das Ziel der Angreifer ist im Prinzip immer das gleiche, nämlich so schnell wie möglich so viel Profit wie möglich zu machen. Was größere Unternehmen zumindest in Teilen abhebt, ist die Komplexität mit der ein solcher Angriff vorangetrieben wird.
Was gerade bei High-Profile-Zielen auch zum Hebel werden kann, auch im Zuge der DSGVO, ist, dass Unternehmen nicht damit erpresst werden, dass Daten veröffentlicht werden, sondern es gab schon mehrere Fälle in denen damit gedroht wurde, die Aufsichtsbehörden einzuschalten. Das ist in der Regel ein Szenario, das große Unternehmen gerne vermeiden wollen.

Bild: Eva Puella Photography
Thorsten Urbanski (3. von links) verantwortet bei der ESET Deutschland GmbH den Bereich Kommunikation und PR für den DACH-Raum.
Bild: Eva Puella Photography

Urbanski: Man muss auch gewahr werden, wie die Situation in den Unternehmen ist. Es gibt personelle Ressourcenengpässe bei kleinen bis mittelständischen Unternehmen. Größere Unternehmen verfügen über Computer Emergency Response Teams (CERT), bei denen man wiederum überprüfen muss, ob sie für die verschiedenen Angriffsszenarien gut genug aufgestellt sind. Ein großes Problem ist, dass wir viele unterschiedliche Lösungen haben, sehr hochperformante Lösungen, aber das Knowhow innerhalb der Organisation zu bekommen ist schwierig. MSP-Modelle sind sicher eine gute Lösung.

Ich würde gerne bei den Sicherheitslösungen einhaken und eine Frage an die Herren Korherr und Vormwald richten. Als Kunde darf man erwarten, dass ein Produkt hält, was es verspricht. Im Fall von IT-Security also, dass es schützt. Wodurch unterscheiden sich dann die Lösungen von einander?

Korherr: Die Lösungen müssen zum Unternehmen, seiner Infrastruktur und Größe passen. Sie müssen effizient sein, eine hohe Akzeptanz beim User haben. Das ist sehr wichtig, um nicht auch noch intern im Haus kämpfen zu müssen um die Sicherheitsmaßnahmen durchzubringen.

Wie findet man heraus, welche Lösung zu einem Kunden passt?

Korherr: Die Ansätze sind vielfältig und können in der kurzen Zeit nicht alle aufgeführt werden. Es kommt darauf an, wo er seine Schwachstellen sieht, ob er sich extern hat beraten lassen. In vielen Fällen ist ein Managed-Service-Ansatz eine gute Möglichkeit, in kürzerer Zeit relativ viel zu erreichen.

Bild: Eva Puella Photography
Michael Vormwald ist im Business Marketing von A1 Telekom Austria verantwortlich für Network und Security.
Bild: Eva Puella Photography

Herr Vormwald, darf ich diese Frage auch an Sie richten?

Vormwald: Die erste Frage ist, was im Unternehmen schützenswert ist und wo es liegt. Viele Unternehmen gehen zunehmend in die Cloud, andere Unternehmen wollen ihre Daten in einem eigenen Rechenzentrum haben. Auf diese Konzepte müssen die Security-Architektur und Security-Lösung abgestimmt sein. Wir unterscheiden grundsätzlich, ob man einen Angriff schon im Netz abfangen kann, damit er gar nicht durchschlägt – zum Beispiel mit Denial of Service Prevention –, bzw. was man in der Infrastruktur und auf User-Ebene beachten muss, um das Unternehmen zu schützen. Das ist ein Prozess, das ist ein Konzept und es wird nicht die eine Lösung geben, die für alles passt.


Hirsch: Man sieht auch die Agilität, die hinter diesen Angriffen steckt. Ein Angriff, der vorgestern erfolgreich war und auf den die gute Seite mit ihren Verteidigungsmechanismen reagiert hat, wird innerhalb von Tagen adaptiert, um auf diese Verteidigung vorbereitet zu sein. Man kann das mit Scrum und Agile Development, wie wir es in der Softwarebranche sehen, vergleichen.

Sind wir also eigentlich so weit, dass Managed Security gegen Crime as a Service kämpft?

Graf: Wir haben voriges Jahr bei einer Wiener Hightech-Firma eine Evaluierung gemacht. Unser Kollege hat die Firma darauf aufmerksam gemacht, dass sie seit einem Jahr einen gezielten Trojaner bei sich sitzen hatten – natürlich auf dem Admin-PC, mit Vollzugriff auf die komplette IT. Das war ein Managed Service, wie nachvollziehbar war weil der Trojaner den Mandanten im Traffic mitgeschickt hat. Das war sehr geschickt gemacht. Der Angriff kam aus Korea, innerhalb von 24 Stunden, nachdem wir diesen Dienst beendet haben, waren alle Spuren verwischt. Die Domains waren alle abgemeldet, es war nichts mehr nachvollziehbar. Das läuft inzwischen hochprofessionell und gezielt.

Bild: Eva Puella Photography
Markus Hirsch verantwortet bei Fortinet in Österreich das Systems Engineering Team.
Bild: Eva Puella Photography

Hirsch: Man sieht auch sehr deutlich, wie die Trends in der Malware dem Geld folgen. Man kann einen direkten Zusammenhang zwischen Crypto Currencies und Mining-Attacken ziehen. Sind die Coins gerade mehr Wert ist der Zuwachs dieser Attacken signifikant höher, als wenn der Preis gerade niedrig ist. Wenn weniger Gewinn zu erwarten ist, werden die Entwicklungsressourcen in andere Projekte gesteckt – ganz so, wie es auch legale Unternehmen machen.

Herr Urbanski, wenn die Angreifer mittlerweile so professionell vorgehen, kann ich mich dann als einzelnes Unternehmen, egal welcher Größe, überhaupt noch selbst schützen?

Urbanski: Die Untergrund-Ökonomie ist hochprofessionell. Man muss nicht programmieren können, um einen Computer-Schädling zu erstellen. Dafür gibt es günstige Tools im Dark Web. Da sprechen wir aber nicht über hochprofessionelle Malware, es gibt kaum Antivirus-Lösungen, die das nicht erkennen würden. Das Security als Prozess zu verstehen ist, ist ein enorm wichtiger Aspekt. Es ist wichtig, dass ich aus Angriffen, egal ob erfolgreich oder nicht, für meine Organisation lerne. Wie bin ich in der Lage, Schwachstellen durch entsprechende Lösungen zu erkennen, zu analysieren, frühzeitig zu schließen und wie kann ich aus Incidents lernen? Wie kann ich meine Organisation für die nächsten Angriffe aufstellen? MSPs (Managed Service Provider) sind unserer Einschätzung nach für kleine und mittelständische Unternehmen sehr gut. Ich source dabei nicht aus, wie man oft denkt, sondern hole mir die Expertise ins Unternehmen.

Bild: Eva Puella Photography
Robert Korherr ist Geschäftsführer des IT-Security-Distributors ProSoft GmbH.
Bild: Eva Puella Photography

Herr Korherr, wie hat sich die Awareness von Security-Software vom Mittelstand für den Mittelstand in den letzten Jahren verändert?

Korherr: Die Sicherheitsanforderungen und auch das Interesse an Sicherheitslösungen sind gestiegen. Wir glauben, dass unsere Lösungen, gegenüber den Lösungen aus der "ersten Reihe", einen besonderen USP haben müssen. Sonst würde jeder eine bekannte Lösung wählen. Wir müssen versuchen, mit Lösungen zu punkten, die für den Mittelständler bedeuten, dass er seine Infrastruktur nicht komplett ändern muss. Deswegen kommen die Lösungen gut an. Wichtig sind natürlich auch die Partner vor Ort, die diese Lösung transportieren können müssen.

Im Mittelstand sind also andere Aspekte wichtiger, als bei einem großen Unternehmen. Zum Beispiel die leichtere Implementierung.

Korherr: Der Ansatz in einem großen Unternehmen ist globaler, als in einem kleinen Unternehmen. Wenn man ein Problem identifiziert hat, möchte man dieses eine Problem lösen. In vielen Fällen wird dafür eine Lösung angeschafft und nicht ein ganzheitlicher Ansatz gewählt.


Berghoff: Das ist ein Problem, das es in vielen Unternehmen gibt. Gerade wenn man es mit Netzen zu tun hat, die – wie man so schön sagt – "historisch gewachsen" sind. Wenn es ganz schlecht läuft, hat man dann ein System, das zwar irgendwie funktioniert, aber keiner weiß warum. Dann etablieren sich Strukturen, bei denen Insellösungen eingesetzt werden. Standort XY benutzt die eine Lösung, weil sie aus irgendwelchen Gründen dort besser passt, an Standort Z sieht es wieder komplett anders aus. Dabei wird häufig aus den Augen verloren, was überhaupt die Bedürfnisse sind. Wenn man nicht weiß, wo die Kronjuwelen liegen, dann braucht man sich über Antivirus, Firewalls, 2-Faktor-Authentifizierung und Verschlüsselung keine Gedanken zu machen. Im Zuge dessen versuchen viele bei der Suche nach einer Lösung das Pferd von der falschen Seite aufzuzäumen und suchen nach dem billigsten Anbieter. Dann versucht man irgendwie dieses Werkzeug, das man für teures Geld eingekauft hat, in die eigenen Prozess und Strukturen zu bringen. Mit einem Ergebnis, das hinterher nicht viel besser aussieht als vorher, weil man sich Workarounds, Insellösungen und Ausnahmeregelungen geschaffen hat, die das ganze obsolet machen.

Bild: Eva Puella Photography
Tim Berghoff, Security Evangelist der GData Software AG
Bild: Eva Puella Photography

Vormwald: Als KMU muss man sich überlegen, wie viel man investieren muss, wenn man die Security für sein Unternehmen selbst umsetzt, und was es kostet, wenn man einen Managed Service zukauft. Denn Cybercrime passiert rund um die Uhr, auch am Wochenende. Sobald Bugs in Routern und Firewalls auftreten, dauert es nur wenige Minuten oder Stunden, bis die Systeme angegriffen werden. Unternehmen haben daher die Aufgabe sicherzustellen, dass es jemanden gibt der schnell genug reagiert und auch das entsprechende Knowhow hat. Die Frage ist, wie viel man investieren muss, um diese Personen im Unternehmen zu haben, im Vergleich zur Dienstleistung eines Anbieters, der rund um die Uhr tätig ist.

Hirsch: Sowohl KMU, als auch Managed Security Service Provider, als auch große Enterprises, als auch Hersteller müssen sich Zusammenarbeit zu Herzen nehmen. Zusammenarbeit und Interoperabilität – genau diese Dinge, die auch unserem Fabric-Ansatz zu Grunde liegen. Denn: Es wird nicht ein Hersteller die Welt retten, sondern es wird immer eine Summe an Tools, Herstellern, Abteilungen, Unternehmen sein, die das Problem gemeinsam lösen müssen. Gerade die Zusammenarbeit zwischen den Geräten der Hersteller ist etwas, das schön langsam in die Branche Einzug hält.

Herr Graf, wir haben gehört, dass es historisch gewachsene "Fleckerlteppich"-Netzwerke gibt, die funktionieren, solange man nicht hinter die Wände schaut. Als Beratungsunternehmen in diesem Bereich die Frage an Sie: Wie bringt man solche Netze auf einen aktuellen Stand? Bombe rein und neu aufbauen?

Graf: (lacht) Das wäre ideal. Die Kunden haben aber immer mehr die Gesamtsicht. Sie sagen nicht mehr "Ich mache ein WLAN-Projekt", "Ich brauche eine neue Firewall" oder "Ich brauche VPN", sondern wir merken gerade in den letzten Monaten, dass sie einen Partner suchen, der ihnen das Gesamte liefert. Wir müssen das von Ende zu Ende sehen. WLAN zum Beispiel muss erst recht secure sein. Ich hatte erst kürzlich einen Termin bei einem Mittelständler mit 200 Mitarbeitern, der im Besprechungsraum das WLAN-Passwort stehen hatte. Nicht für das Gäste-WLAN, sondern für das interne Netz. Das Passwort war von außen durchs Fenster sichtbar. Bei solchen Themen muss man ansetzen und zwar gesamthaft. Nicht neue Switches oder ein neues WLAN, sondern eine neue, sichere Netzwerkarchitektur. Wir sehen vermehrt, dass das zu den Kunden durchdringt.

Vormwald: Wie man sieht, geht es nicht immer um die Angriffe, die über den Internet Access oder das WLAN stattfinden. Man muss auch darauf aufpassen, wer bei der Tür hereinkommt. Es gibt sehr kleine Module, die man in irgendeinem Raum in eine LAN-Dose stecken kann und die dann eine Bluetooth- oder eine separate WLAN-Verbindung aufbauen. Der Angreifer steht mit seinem Auto vor der Tür und ist auch im Netz. Es geht nicht nur um den Schutz aus dem Internet heraus, sondern auch darum, wie man sich vor dem Angreifer schützt, der bei der Tür hereinkommt – getarnt zum Beispiel als Postbote oder Paket-Lieferant.

Graf: Das gilt auch für das Internet of Things. So wie das Smart Home ist auch das IoT nicht sicher, wenn man sich nicht damit beschäftigt. Auch hier muss man sich ein Konzept überlegen und nicht nur bei Amazon irgendwelche Tools bestellen. Genauso in der Produktion. Dort ist man es nicht gewohnt, über Security zu sprechen. Im Sommer, wenn es heiß ist, kann jeder in eine Produktionshalle oder auf das Gelände spazieren und etwas anstecken. In diesem Umfeld kann man meistens noch viel mehr zerstören.

Korherr: Das größte "Problem" ist immer noch der Mitarbeiter im Unternehmen. Er sitzt innerhalb der Firewall, weiß, wo das Tafelsilber liegt.  60 bis 70 Prozent aller Angriffe passieren intern. Man muss sich darüber Gedanken machen, deswegen auch Rechte-Verwaltung, Monitoring, DLP-Lösungen, usw. installieren, um nicht nur den Schutz nach außen sicherzustellen, sondern auch den Schutz von innen zu gewährleisten

Urbanski: Es gibt Erhebungen darüber, wie viel Prozent der Anwender von Unternehmen einen USB-Stick, den sie gefunden haben, am Firmenrechner anstecken. Mit einer geschätzten Quote von 99,90 Prozent wird ein USB-Stick, den Sie mit 'Personalakten' beschriften und auf einem Parkplatz ablegen, angesteckt. Das hat etwas mit der Awareness zu tun – oder ich muss einfach dafür sorgen, dass es nicht mehr funktioniert. Bei den großen Datenvorfällen in den letzten 12 Monaten zum Beispiel wären die Daten wertlos gewesen, wenn sie hochverschlüsselt vorgelegen wären. Datenschutz muss ganzheitlich gedacht werden. Dazu zählt auch der Einsatz von Zwei-Faktor-Authentifizierung, um Zugänge zu Systemen und Daten effektiv zu schützen.

Bild: Eva Puella Photography
Hassan Marzouk ist bei RadarServices für die Geschäftstätigkeit in Deutschland, Österreich und der Schweiz zuständig.
Bild: Eva Puella Photography

Marzouk: Wir haben in den letzten Jahren viel über Technologie gesprochen. Das ist schön und gut, aber die Technologie muss miteinander kommunizieren. Wir sprechen von Cross Correlation. Was nutzt es, wenn eine Firewall etwas entdeckt und eine Intrusion Detection etwas entdeckt – die Systeme müssen ineinandergreifen und miteinander korreliert werden.

Berghoff: Das kann ich absolut unterschreiben. Was wir in den letzten Jahren und Jahrzehnten in der Industrie immer versucht haben, war den Benutzer so weit wie möglich aus allen Entscheidungen auszuklammern und ihm alles abzunehmen, damit der User selbst so wenig Arbeit wie möglich hat. Wir sind jetzt an einem Punkt, an dem das nicht mehr in jedem Fall funktioniert. Wir müssen jetzt anfangen, den Benutzer, der noch immer vor dem Rechner sitzt und unser Tafelsilber bewachen sollte, abzuholen und ihm zu verdeutlichen, worauf es im Bereich Sicherheit ankommt.

Bild: Eva Puella Photography
Bild: Eva Puella Photography
Bild: Eva Puella Photography
Bild: Eva Puella Photography
Bild: Eva Puella Photography
Bild: Eva Puella Photography
Bild: Eva Puella Photography
Bild: Eva Puella Photography
Bild: Eva Puella Photography
Mehr Artikel zum Thema: Round Table Security

Zugriff verweigert. Bitte geben Sie ihr Passwort ein.

Citrix Austria Country Manager Wolfgang Mayer über den...

Weiterlesen

Automation Voraussetzung für Cloud-Erfolg

Automation ist der entscheidende Faktor, der den...

Weiterlesen

Stress führt zum Datentod

Laut einer Umfrage der Datenretter von Kroll Ontrack sind...

Weiterlesen

Konica Minolta lädt zum OPEN House

Konica Minolta lädt zum Tag der offenen Tür. Den Start macht...

Weiterlesen

it-sa mit neuen Rekorden

Die it-sa verzeichnet zur diesjährigen zehnten Ausgabe neue...

Weiterlesen

Eines für alle oder alles von einem?

Wie hat sich der ERP-Markt entwickelt, wie sieht es mit dem...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Was können Unternehmen von der Tour de France lernen?

Während der 21 Etappen des Radrennens wurden laufend...

Weiterlesen

SEC Consult goes Silicon Valley

Das auf IT-Security spezialisierte IT-Beratungsunternehmen...

Weiterlesen

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

Auswirkungen der KI auf die Arbeitswelt

Die Digitalisierung und die neuen technologischen...

Weiterlesen

Snor neuer Director Security von A1 Digital

Ab sofort übernimmt Thomas Snor den neuen Security-Bereich...

Weiterlesen

Sicherheits-Container für Datenschutz unterwegs

Führungskräfte und Mitarbeiter, die viel unterwegs sind,...

Weiterlesen

"Die große Chance" für Security-Startups

Vom 9. bis 11. Oktober 2018 dreht sich in Nürnberg auf der...

Weiterlesen

Cyberforensiker wird EY-Partner

Benjamin Weißmann wurde in die Partnerschaft von EY...

Weiterlesen

"Das Thema ist nicht Cloud"

Keine Sorge, Sie haben sich nicht verlesen. Das Thema ist...

Weiterlesen

Vive la Cloud!

Wir reden, lesen und schreiben schon so lange über Cloud...

Weiterlesen

WP: Schnell und sicher durch Automatisierung

Routineaufgaben kosten viel Zeit und machen keinen Spaß:...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen