Thought Leadership
Ralf Kempf, Geschäftsführer von Pathlock Deutschland, Security Researcher und SAP Security Evangelist arbeitet bereits seit 30 Jahren in der SAP-Security-Welt. Er ist Autor vieler Publikationen und Redner auf Security-Konferenzen weltweit.
Anlässlich der Thought Leadership Konferenz erklärt er im Gespräch mit Ulrich Parthier, Publisher it security, warum seiner Erfahrung nach Cybersecurity auf Applikationsebene der blinde Fleck in fast jeder Sicherheitsstrategie ist.
Herr Kempf können Sie uns erklären, wo genau Sie einen blinden Fleck der Cybersecurity auf Applikationsebene verorten?
Ralf Kempf: Gerne. In vielen Unternehmen gelten heutzutage Buzzwords wie Zero Trust, Microsegmentierung oder Software Defined Networks als Allheilmittel für die Absicherung von IT-Systemen. Dabei gerät jedoch oft aus dem Blick, dass elementare Grundlagen wie Asset & Application Management, ein IT-Security-Management-System und der Aufbau echter IT-Security-Kompetenz noch gar nicht abgeschlossen – oder schlimmer, noch nicht einmal begonnen wurden. Hier liegt der besagte blinde Fleck.
Wenn wir jetzt über die Applikationsebene reden, dann über SAP-Systeme, über Oracle, über viele Standard-ERPs und andere Geschäftsanwendungen, die eingesetzt werden. Oft hören wir von Unternehmen die erstaunte Frage, wo denn das Problem in der Anwendungssicherheit sei. Es liege doch alles ordentlich beim Outsourcer in der Cloud, inklusive Firewall.
Fragt man andererseits Entscheider oder Anwender, dann fürchten viele nach wie vor Ransomware-Attacken, die typischen Krypto-Trojaner, gestohlene Identitäten oder Schlüssel, sowie nicht gepatchte Systeme. Es geht hier um all die Klassiker, die man auch täglich in der Presse liest, was leider beweist, dass die Unternehmen hier offensichtlich seit Jahren ihre Hausaufgaben nicht machen.
Was sind Ihrer Ansicht nach die Ursachen?
Ralf Kempf: Dafür gibt es zwei Gründe. Zum einen gibt es in der Security-Welt immer wieder neue Begriffe, neue Technologien, die stets mit der trügerischen Hoffnung verbunden sind, damit würde ad hoc alles besser. Aber letztlich, wenn man dies so lange verfolgt wie ich, muss man feststellen, dass jede Umsetzung viel zu lange dauert. Das ist nachvollziehbar, aber gleichzeitig auch der zweite Grund: Es mangelt an Ressourcen, an Wissen und an Budgets.
So sind es noch immer die alten Bekannten unter den Risiken, und nach wie vor liegen die Unternehmen Monate oder Jahre hinter den aktuellen Bedrohungs-Szenarien zurück. Wir reden nach wie vor über Datendiebstahl und Erpressung. Das ist keineswegs neu und nicht nur einigen Kreis- und Gemeindeverwaltungen in Deutschland passiert. Es waren sehr namhafte Unternehmen dabei. Und jetzt hat sich ein neues großes Problem manifestiert, der Super-GAU, als Microsoft kürzlich zugeben musste, dass ein Generalschlüssel für die Azure-Cloud gestohlen wurde.
Mit konsequenter Methodik, dem richtigen Pragmatismus und guten Tools kann man theoretisch selbst große Unternehmen mit ein, zwei Ressourcen überwachen.
Ralf Kempf, Pathlock Deutschland
Warum war gerade dies so eklatant?
Ralf Kempf: Man kann sich das so vorstellen: Die ganze Welt ist ein Gebäude mit Eigentumswohnungen. Nun hat irgendjemand den Generalschlüssel für alle Wohnungen der Welt, kann jede jederzeit betreten und dort anrichten, was er will. Und Sie als Eigentümer werden es nicht einmal merken. Rausgekommen ist dieser Fall übrigens, weil einige öffentliche Stellen merkwürdige Zugriffe in den Logs bemerkt und gemeldet haben. Und dann wurde seitens Microsoft kleinlaut zugegeben, man habe ein Problem. So wird die vermeintlich paranoide Denkweise von uns Sicherheitsexperten durch völlig neue Dimensionen der Worst-Case-Szenarien bestätigt. Bislang gingt es meist um Schäden einzelner Unternehmen, und der GAU war, wenn das Unternehmen aus dem Markt scheidet.
Gerade der Microsoft-Hack zeigt nun aber, dass blindes Vertrauen in die Infrastruktur und das Identity & Account Management der großen Hyperscaler sehr schnell zu viel schwerwiegenderen Sicherheitslücken führen können. Wenn solche Schlüssel in falsche Hände geraten, haben wir alle ein Problem. Nicht auszudenken, wenn jemand damit nicht nur Daten stiehlt, sondern Denial of Service betreibt und alles außer Betrieb nimmt.
Wie kann man diesen neuen Gefahren begegnen?
Ralf Kempf: Hier lohnt sich ein Blick darauf, wie Unternehmen aufgestellt sind. Zunächst die Gretchenfrage: Gehe ich in die Cloud oder mache ich es On-Premises? Das Mantra lautet oft, die Cloud löse alle Probleme. Und es gibt fraglos sehr gute Szenarien für Cloud-Anwendungen. Aber auch hier kommt es darauf an, dass man es richtig umsetzt, vor allen Dingen mit einer ganzheitlichen Sichtweise auf das IT-System einer Unternehmung.
Hinsichtlich der Applikationsebenen in einer klassischen Unternehmens-IT haben wir einmal die Infrastruktur, darunter das Netzwerk, auch Enterprise Clouds, Datenbanken, Betriebssysteme und Komponenten, auf denen meine Software läuft. Für diese technischen Komponenten gibt es bei vielen Unternehmen schon seit Jahren gute Security Tools, mit denen man Patches, Konfiguration und Logs überwachen kann.
Eine Anwendungsebene höher blicken wir auf die Applikationen, die klassischen Businessanwendungen wie Zahlungsverkehr, ERP-Software, Personalverwaltung. Zuletzt gibt es die Operations-Technology-Anwendungen wie Fließbandsteuerung, Produktionsstraßen, Kraftwerkssteuerungsanlagen. Dieser Bereich funktioniert noch einmal ganz anders, hat aber dennoch Schnittstellen mit der internen IT und mit den Infrastrukturen im Unternehmen.
Man muss also eine Unternehmung schon aufgrund der Schnittstellen ganzheitlich betrachten?
Ralf Kempf: Absolut! Der Aussage, die Bereiche liefen vollständig getrennt, sollte man wenig Glauben schenken. Neulich haben wir ein System von außen gescannt und dem Kunden mitgeteilt, ein Mess- und Regelsystem zu Druck, Temperatur und Füllstand seiner Gasanlagen sei im Internet frei zugänglich und könne von jedermann beliebig eingestellt oder geschlossen werden.
Der Kunde wusste nicht einmal von dessen Existenz und letztlich haben wir festgestellt, dass ein Dienstleister ein kleines Gerät in einen Verteilerschrank eingebaut und auf dem falschen Port konfiguriert hatte. Eine Handvoll deplatzierter Technik steuert die ganze Fabrik – da sieht man, wie prekär diese Abhängigkeiten sind.
Betrachtet man nun ein Applikationssystem, sei es Operations Technology oder IT Technology, hat man einen Basis-Bereich, ob Metall oder Virtualisierung, Netzwerkbetriebssystem oder Datenbank. Und darauf läuft dann eine Software wie Windows Office oder Exchange für im Ansatz getrennte Anwendungsbereiche. Genau diese Trennung macht es schwierig, solche Systeme zu verstehen. Besonders wenn wichtige Komponenten nicht mehr im eigenen Haus sind, wo sich ein eigenes Team darum kümmert, sondern in eine Cloud ausgelagert werden. Man verliert den Überblick. Und das macht Unternehmen derzeit leichter angreifbar.
Bei unseren Umfragen, worauf Unternehmen in puncto Sicherheit gerade fokussieren, war eine häufige Rückmeldung: „Wir arbeiten mit Authentifizierung, haben alles standardisiert, eine einheitliche Identity-Verwaltung und Smartcards eingeführt und uns um segmentierte Berechtigungen gekümmert.“
Das klingt für sich genommen zielführend. Bis dann der jährliche Wirtschaftsprüfer feststellt, dass es nicht richtig aufgesetzt wurde. Es gab also über 365 Tage ein latentes Risiko und die Erkenntnis ist hart: „Wir wissen gar nicht so richtig, wie unsere Systeme funktionieren. Das wird immer komplizierter, Abhängigkeiten prüfen wir nicht mehr, bei den Patches sind wir schon lange nicht mehr auf dem aktuellen Stand.“
Um beim Bild des Hauses zu bleiben, kommt man also ohne ganzheitliche Sicht dahin, ein Konstrukt aufzubauen, bei dem man Schlösser an den Türen verbessert, die Haustür dreifach absichert, aber die Fenster offen lässt. Und dies merken wir bei Tests immer wieder an der kurzen Zeit, die es braucht, um in ein System einzudringen. Ein Unternehmen lahmzulegen ist nicht nur technisch immer noch schnell möglich, sondern sogar einfacher, wenn man Social Media wie LinkedIn und Xing nutzt. Früher war es ungleich schwieriger, Informationen über Entscheider und Administratoren zu finden.
Blindes Vertrauen in die Infrastruktur und das Identity & Account Management der großen Hyperscaler kann sehr schnell zu schwerwiegenderen Sicherheitslücken führen.
Ralf Kempf, Pathlock Deutschland
Wo sehen Sie aktuell die größten Schwachstellen in der Absicherung?
Ralf Kempf: Zunächst ist die Zuständigkeit oft nicht geregelt oder fragmentiert, und es gibt keine einheitliche Sicht im Unternehmen darauf. Ganz häufig sind etwa die IT klassischer Art und die Produktionssteuerungs-IT so getrennt, dass man sich maximal in der Kantine trifft. Dies sind sehr gefährliche Konstrukte, wenn der eine nicht vom anderen lernt, man voneinander abhängt, dies aber nicht mal weiß.
Dann lohnt ein Blick auf die Zugangssteuerung durch die Einführung modernerer Systeme. Auf der einen Seite wird vieles einfacher, weil man etwa eine Microsoft-ID übergreifend nutzen kann. Andererseits kann man sie dann auch in vielen Systemen missbrauchen. Da ist das Schwachstellen-Management immer noch relativ dünn und auch die Erkennung von Bedrohungen nach wie vor schwach.
Bezeichnend ist, wenn Penetration Tests bei einem Kunden mit SIEM-System aus geführt werden. Dieser müsste eigentlich nach einer Stunde Alarm schlagen. Es ist mir in den letzten zehn Jahren aber nur genau einmal passiert, dass ein Administrator überhaupt etwas gemerkt hat.
Wie sollten Unternehmen sich Ihrer Meinung nach aufstellen?
Ralf Kempf: Es gibt zunächst mal grundsätzliche Prozesse, die relativ einfach umzusetzen sind. Das NIST Framework des National Institute for Security Standards and Technology gibt beispielsweise einen einfachen Zyklus vor, nach dem man arbeiten kann. Es ist tatsächlich weniger relevant, welchen Ansatz man nutzt, man muss es nur tun.
Sie alle bedienen sich folgender Methodik: Identifiziere zunächst deine Assets und Technologien. Wo stehen und wie funktionieren sie? Erstelle damit eine realistische Risikoeinschätzung. Dann schütze die Systeme, spiele Patches ein, gehe durch die Handbücher, wirf die Standard-User raus. Etabliere schließlich ein System, das diese Dinge überwacht, und zwar laufend und rund um die Uhr.
Das ist kein Hexenwerk: Mit konsequenter Methodik, dem richtigen Pragmatismus und guten Tools kann man theoretisch selbst große Unternehmen mit ein, zwei Ressourcen überwachen. Allerdings müssen diese exzellent ausgebildet sein und dürfen nicht nebenbei mit Projektarbeiten belastet werden. Und sie müssen ständig hinzulernen wollen und skeptisch hinterfragen.
Was sollten Unternehmen also gegen den blinden Fleck tun, was ist Ihre Empfehlung?
Ralf Kempf: Als Allererstes diesen Pragmatismus mitnehmen: Auf die Unternehmung blicken, ansehen, was wie und wo produziert wird. Anschließend Abhängigkeiten identifizieren, um dann zu hinterfragen, ob es für alle Handlungen definierte Best Practices gibt: für die Konfiguration, den Betrieb, die Überwachung und für ein Notfallfeedback.
Beim Monitoring geht es vor allem darum, die Dinge tatsächlich zu überwachen. Man muss seine Cloud Provider überzeugen, dass sie Logs kostenlos bereitstellen. Die Logs bei Microsoft gab es zum Zeitpunkt des GAUs nur gegen Aufpreis, was natürlich kein Kunde buchte. Sehe ich aber keine Logs, sehe ich auch keinen Angriff. Da kann ich den Schlüssel auch gleich am Marktplatz an die Kirche hängen. Also ist es nur eine Frage gesunden Menschenverstands, warum das schiefgehen muss.
Zyklische Analysen der Schwachstellen sind unverzichtbar. Man muss alle Komponenten in die unternehmensweite Sicherheitsstrategie integrieren. Statt blindem Vertrauen in die Cloud ist man nach wie vor selbst für die Bedrohungs- und Angriffserkennung zuständig und muss die Ressourcen dafür behalten oder beauftragen. Apropos Ressourcen: Denken Sie daran, ausgewiesene Fachleute im Unternehmen zu haben, die das aufbauen, oder vertrauensvolle Partner, mit denen Sie das gemeinsam angehen.
Herr Kempf, wir danken für das Gespräch.
