Thought Leadership
Meldungen über Sicherheitslücken in der IT gehören zum täglichen Brot von Mitarbeitern in den IT-Security-Abteilungen in Unternehmen wie Behörden. Was tun? Steffen Ullrich ist Sicherheitsforscher beim deutschen IT-Security-Hersteller genua. Im Interview mit it security-Herausgeber Ulrich Parthier äußert er sich zum Dilemma und zeigt Lösungsansätze auf.
Ulrich Parthier: Solarwinds, Proxylogon, Log4Shell, 2021 war erneut äußerst herausfordernd für IT-Verantwortliche. Wie bewerten Sie das vergangene Jahr?
Steffen Ullrich: Es war ein unruhiges Jahr, in welchem wir erleben mussten, wie fragil und anfällig geschäftskritische Infrastrukturen gegen Cyber-Angriffe über vertrauensvoll eingesetzte Fremdsoftware sind. Bei Solarwinds handelte es sich um eine Backdoor in kritischen Netzkomponenten, die durch einen staatlichen Angreifer platziert wurde. Proxylogon war eine Lücke in der kommerziellen Software MS Exchange, Log4Shell eine Schwachstelle in einer von vielen, auch kommerziellen, Projekten eingesetzten Open-Source-Bibliothek. Alle diese Lücken ermöglichten einem Angreifer die Kompromittierung der internen Firmeninfrastruktur.
Ulrich Parthier: Wie schätzen Sie als IT-Sicherheitsforscher perspektivisch die weitere Risikoentwicklung ein?
Steffen Ullrich: Die Probleme werden noch deutlich wachsen, sowohl von der Menge als auch der Kritikalität. Mit der zunehmenden Digitalisierung von Geschäftsprozessen geht eine starke Erhöhung von Komplexität einher: vielfältigere Software, Dienste und Hardware mit mehr Features, stärker vernetzt über Standorte, Clouds und Home Office hinweg. Dies bewirkt eine abnehmende Kontrolle und Beherrschbarkeit der Infrastrukturen und entsprechend steigende Fragilität. Gleichzeitig wachsen die Abhängigkeiten von einer korrekten Funktion digitalisierter Geschäftsprozesse und die Anforderungen an Verfügbarkeit, Zuverlässigkeit und Datensicherheit.
Ulrich Parthier: Ein zunehmendes Problem sind Supply-Chain-Angriffe. Woran liegt das?
Steffen Ullrich: Der größte Teil der heutigen Infrastrukturen beinhaltet Komponenten aus einer Vielfalt von Quellen. Bei Software sind es teilweise Open-Source- und teilweise Closed- Source-Komponenten, die selber wiederum aus weiteren Komponenten aufgebaut sind. Das Netz an Abhängigkeiten ist oft unüberschaubar, komplex und fragil. Die Qualität der einzelnen Komponenten ist sehr unterschiedlich und man muss von bestehenden Sicherheitslücken ausgehen, die evtl. auch schon von Angreifern ausgenutzt werden. Ein einfaches Patchen bei erkannten Lücken ist nicht möglich, weil gepatchte Versionen von Komponenten sich nicht unbedingt genauso verhalten wie die vorherigen Versionen. Wenn es denn überhaupt Patches gibt, weil oftmals tief im Inneren Komponenten stecken, die schon lange nicht mehr gepflegt werden. Und das ist nur die Problematik der Bugs. Daneben gibt es durchaus auch gezielt eingebaute und gut versteckte Backdoors. Auch hier werden die Probleme nur größer.
Ulrich Parthier: Wie können IT-Verantwortliche mit dieser Unsicherheit umgehen?
Steffen Ullrich: Man sollte davon ausgehen, dass eine eingesetzte Software unsicher ist und die damit zusammenhängenden Risiken minimieren, zum Beispiel durch eine Beschränkung der Kommunikation. Auch eine solide Segmentierung und Mikrosegmentierung schränkt die Bewegungsfreiheit eines Angreifers im Netzwerk deutlich ein und reduziert dessen Ausbreitung sowie die verursachten Schäden. Grundsätzlich muss die Supply Chain insgesamt stärker in die Risikobetrachtung einbezogen werden. Das bedeutet, es sollten potenzielle Schäden betrachtet und Mitigationsmaßnahmen zur Schadensbegrenzung entwickelt werden.
Ulrich Parthier: Und mit Blick auf die Komponentenauswahl?
Steffen Ullrich: Es ist grundsätzlich wichtig, bei der Auswahl der eingesetzten Komponenten hohe Sorgfalt walten zu lassen. Das betrifft die Fremdsoftware oder gemanagte Infrastruktur der IT genauso wie die Softwarekomponenten bei der Entwicklung. Hier hilft es nicht, nur auf den jeweiligen Hersteller zu vertrauen, sondern auf unabhängige Sicherheitsuntersuchungen zu achten, zum Beispiel im Rahmen von Zertifizierungen, Zulassungen oder Penetrationstests. Fundierte, unabhängige Beurteilungen und Analysen können das Vertrauen in IT-Security-Lösungen signifikant stärken. Sie erhöhen auch den Druck auf Zulieferer bezüglich Qualität, Zuverlässigkeit und Sicherheit, sowohl mit Blick auf Produkte und Dienstleistungen als auch auf interne Arbeitsprozesse und Infrastrukturen.
Ulrich Parthier: Mitarbeiter in IT-Abteilungen scheinen Getriebene der Cyber-Kriminellen zu sein. Was hindert uns daran, mehr proaktiven Schutz zu erreichen? Haben wir zu viele „IT-Verwalter“ anstelle von Strategen und Visionären?
Steffen Ullrich: IT-Sicherheit und Datenschutz kosten erst einmal nur Zeit und Geld, für die es keinen spürbaren Gegenwert gibt. Im Gegenteil: Ein mehr an Sicherheit wird oft hinderlich bei der Arbeit oder als Verlangsamung von Prozessen empfunden. Entsprechend werden oft nur die Minimalanforderungen erfüllt, die die Compliance erfordert. In diesem Umfeld können sich Strategen und Visionäre kaum entfalten. Der Wert von Sicherheit als Bewahrer der Produktivität wird oft erst dann klar, wenn man direkt von einem Cyber-Angriff betroffen ist. Dies steigert dann allerdings die Akzeptanz für Visionen und Strategien, die einen solideren, proaktiven Umgang mit dem Problem bieten.
Ulrich Parthier: Was ist aus Ihrer Sicht der richtige Weg, um aus einer primär reaktiven, getriebenen Rolle zurück in eine gestaltende, kontrollierende Rolle zu gelangen?
Steffen Ullrich: Eine proaktive Absicherung des Netzes bedeutet, die Kommunikation auf das Erwartete zu beschränken, statt, wie oft der Fall, beliebige Kommunikation innerhalb eines Netzes zu erlauben. Je präziser und granularer die Restriktionen sind, desto schwieriger ist es für einen Angreifer, in die Infrastruktur einzudringen beziehungsweise sich dort auszubreiten. Die Restriktionen können durch eine Positionierung von Zugriffskontrollen an neuralgischen Stellen im Netz erfolgen, sei es direkt vor einem abzusichernden Dienst, vor einem sensitiven Netzbereich oder vor einer besonders anfälligen Maschine. Die Umsetzung ist schrittweise möglich, zum Beispiel für besonders sensitive Dienste zuerst oder erst grobgranular und dann schrittweise verfeinernd.
Ulrich Parthier: Wir müssen ja unterscheiden zwischen strategischem und operativem Handeln. Das Thema proaktives Handeln zählt zum strategischen Teil. Dort wird im Rahmen einer IT-Sicherheitsstrategie gerade das Thema „Zero Trust“ hoch gehandelt. Wie kann Zero Trust für mehr Schutz sorgen?
Steffen Ullrich: Der Begriff ist tatsächlich schon mehr als zehn Jahre alt, gewinnt aber zunehmend an Relevanz. Der Grundidee liegt ein Perspektivwechsel zugrunde: Statt zu versuchen, ein komplettes Netz abzusichern, konzentriert man sich auf die Absicherung der Endpunkte einer Kommunikation sowie des Datentransfers dazwischen. Konkret bedeutet das eine auf Applikationen fokussierte Zugriffskontrolle, bei der die Zugriffsentscheidung basierend auf den Sicherheitseigenschaften des zugreifenden Clients und den Sicherheitsanforderungen des Dienstes basiert. Jeder Dienstzugriff kann so eigenständig behandelt werden, unabhängig von der Sicherheit des darunterliegenden Netzes. Das bedeutet nicht, dass Netzsicherheit irrelevant wird. Im Sinne einer Defense in Depth ist es sinnvoll, sich nicht alleinig auf die Funktionsfähigkeit einer einzelnen Komponente zu verlassen.
Ulrich Parthier: Werfen wir noch einen Blick auf die operativen Probleme. Sie manifestieren sich in Angriffsvektoren wie log4j2, Proxylogon, Solarwinds, IaaS (Cloud), AI als Blackbox. Helfen hier Ansätze wie Konsolidierungen, Zertifizierungen oder eine Reduktion von Features, um die Angriffsfläche zu verringern?
Steffen Ullrich: Viele Features und eine hohe Flexibilität erhöhen die Komplexität und vergrößern die potentielle Angriffsfläche. Eine Reduktion auf das tatsächlich Benötigte erhöht die Beherrschbarkeit aber auch die inhärente Sicherheit von Software. Je weniger Features oder Feature-Kombination existieren, desto verständlicher ist das Design und desto einfacher kann umfassend getestet werden. Zertifizierungen tragen neben der unabhängigen Überprüfung durch Dritte auch zu einem verständlichen, sicheren und robusten Design bei, weil dies auch eine Zertifizierung vereinfacht. Konsolidierungen hingegen sind zwiespältig: Zum einen können sie helfen, die vorhandene Sicherheits-Expertise und -Technologie besser zu konzentrieren. Zum anderen entsteht ein höchst lukratives Ziel für Angreifer, das entsprechend mit signifikant mehr Aufwand geschützt werden muss.
Ulrich Parthier: Sie arbeiten seit 2001 bei der genua GmbH als Softwareentwickler und Sicherheitsforscher. Wo sehen Sie aktuell die interessantesten Forschungsansätze um die IT sicherer zu machen?
Steffen Ullrich: Cyber-Sicherheit ist ein riesiges Feld mit vielen wichtigen Problemen. Ich sehe enorm viel Potenzial in der Nutzung von Künstlicher Intelligenz als Unterstützung für die Verteidiger, aber leider auch als Hilfe für den Angreifer. Wir haben in der IT seit Langem einen Wettlauf zwischen den Fähigkeiten von Abwehr und Angriff. Dieser wird sich durch KI eher noch beschleunigen. Wichtig finde ich es daher, KI zu nutzen, um komplexe Infrastrukturen besser zu beherrschen und proaktiv abzusichern, statt einfach nur auf Angriffe zu reagieren. Im BMBF-geförderten Forschungsprojekt Wintermute gehen wir genau diesen Möglichkeiten nach, und zwar der Frage, wie KI den IT-Administrator bei der Lagebeurteilung, Definition und Durchsetzung von Sicherheits-Policies in komplexen Netzen unterstützen kann. Ebenfalls mit besserer Beherrschbarkeit beschäftigen sich Forschungen im Bereich der User Experience und Usability sowie zum Management komplexer Informationssysteme. Je einfacher es wird, eine möglichst granulare, proaktive Sicherheit zu bekommen und beizubehalten, desto wirksamer können wir Angreifer abwehren.
Weitere Forschungsthemen betreffen zum Beispiel die Gefahr durch unsichere Prozessoren, die vergleichsweise schwache Trennung von Mandanten in Cloud-Umgebungen und die neuen Herausforderungen durch Quantencomputer. Hierfür untersuchen wir neuartige quantenresistente Algorithmen sowie ihre Umsetzung in VPN-Standards und Implementierungen. Das ist Gegenstand des Forschungsprojekts QuaSiModO, in dem wir als Verbundkoordinator agieren. Die Erkenntnisse aus unseren Forschungsprojekten fließen im Übrigen bereits in unsere Produktentwicklung ein, unter anderem in Form von quantenresistenten Signaturen für unsere VPN-Lösungen oder intelligente Machine-Learning-Algorithmen für unseren cognitix Threat Defender.
Ulrich Parthier: Herr Ullrich, wir danken für das Gespräch!
