Review: TOsecurity Day 2018

Am 11. Juli 2018 veranstalteten wir am Flughafen Stuttgart unseren jährlichen TOsecurity Day. Fokus der Veranstaltung waren die aktuellen Bedrohungen für die IT-Sicherheit und wie diesen optimal begegnet werden kann. In diesem Review-Beitrag möchte ich die einzelnen Vorträge noch einmal kurz zusammenfassend vorstellen.

Den Veranstaltungsort, den Flughafen in Stuttgart haben wir dieses Jahr bewusst gewählt, da der Betrieb eines Flughafens viel mit Sicherheit zutun hat und Sicherheit bzw IT-Sicherheit auch das Thema unserer jährlichen Veranstaltung ist.

Agenda

  • Keynote, Markus Klingspor
  • User Awareness – Das beste Intrusion Detection System der Welt, Götz Weinmann
  • Managed Vulnerability Scan Service (MVSS), Robert Jünger
  • Check Point CloudGuard – der Schutz von Public und Private Clouds
  • Network Access Control in der Netzwerksegmentierung, Adrian Woizik
  • Die TO als Managed Security Service Provider, Uwe Benner
  • Kundenbericht: Humangenetische Diagnostik – die Umsetzung einer Firewall-Infrastruktur im Umfeld der Medizintechnik und Biotechnologie, Kerstin Schmid
  • Besuch und Führung durch das Rechenzentrum des Flughafen Stuttgarts, Wolfgang Ebbinghaus, Flughafen Stuttgart GmbH

Keynote – Markus Klingspor

Zu Beginn seiner Keynote berichtete uns Markus Klingspor von seinem diesjährigen Besuch auf der RSA in San Francisco: dort wurde das Ende der Silver Bullet Fantasy verkündet. Für alle, die sich jetzt fragen, was die „Silver Bullet Fantasy“ ist: diese „Fantasie“ beschreibt die Theorie, dass man eine Security-Lösung kaufen und darauf hoffen kann, dass diese eine Lösung alle Probleme löst. Das Ende der Silver Bullet Theorie hatte Bruce Schneier bereits im Mai 2000 vorhergesagt, begleitet von der Aussage, dass „IT-Security“ vielmehr ein Prozess sei.

Dies ist jedoch eine große Herausforderung für die IT, denn es gibt immer mehr spezielle Lösungen, der Markt wird immer unübersichtlicher. Und die Cyber-Kriminellen immer cleverer. Um diesen Herausforderungen sicher zu begegnen stellt eine zuverlässige und nachhaltige Risikoanalyse einen der wichtigsten Bestandteile der IT-Security dar. Warum ist das so? Ganz einfach: Wird eine Schwachstelle entdeckt, stellt sich erstmal die Frage: „Was muss ICH denn jetzt tun“? Denn die Entdeckung einer Schwachstelle löst meist erst einmal einen Hype aus, obwohl diese gar nicht für jeden ein Risiko darstellt. So werden in den meisten Fällen besonders komplizierte Angriffe sehr bekannt, da diese Aufsehen erregen. Jedoch sind diese Angriffe weniger riskant, solange noch viel einfachere Angriffe möglich sind, wie das Kompromittieren von Passwörtern, Social Engineering, das Streuen von Ransomware und Drive-by-Downloads.

Ein großes Problem in der IT ist die Asymmetrie: ein Angreifer muss lediglich EINE Schwachstelle finden, wir müssen jedoch JEDE Schwachstelle schließen. Es ist also theoretisch nur eine Frage der Zeit bis ein Unternehmen einem Angriff zum Opfer wird. Dies muss jedoch nicht in einer Katastrophe enden. Um schlimmeres abzuwenden reichen schon kleine Maßnahmen, wie die regelmäßige Schulung der Nutzer und das Erstellen von Notfallplänen. So können Unternehmen sicherstellen, dass ihre Mitarbeiter im Falle des Falles wissen was zu tun ist, somit angemessen reagieren und sogar schlimmeres verhindern. An dieser Tatsache griff Götz Weinmann im nächsten Vortrag zum Thema „User Awareness“ an.

User Awareness – Das beste Intrusion Detection System der Welt. – Götz Weinmann

Sind sie schon öfter mit dem Flugzeug in den Urlaub oder beruflich geflogen? Wissen Sie noch was man mit der Rückenlehne bei Start und Landung macht? Und mit der gelben Maske, sollte sie rausfallen?

Wahrscheinlich sind Ihnen die Antworten auf diese Fragen nicht sonderlich schwer gefallen. Wer öfter fliegt, der weiß was in diesen sicherheitsrelevanten Situationen getan werden muss. Und warum? Weil wir es ständig, bei jedem Flug vorgebetet bekommen. Und, weil die Botschaften einfach sind. Wir müssen nicht wissen, wie die gelbe Maske produziert wird, wir müssen sie nur aufsetzen.

Laut dem neuesten Verizon Data Breach Report werden persönliche Daten am häufigsten kompromittiert. Laut dem gleichen Bericht dauert ein Angriff ca. 5 Minuten. Entdeckt wird er im Schnitt erst Monate später. Und zwar am häufigsten von Mitarbeitern, denen Anomalien aufgefallen sind.

Wenn die Mitarbeiter, die einen Angriff entdecken, nun auch noch wissen, wie sie sich in diesem Moment am besten verhalten, dann ist das schon ein sehr großer Schritt in Richtung „Sichere IT“.

Um Ihren Anwendern die Möglichkeit zu geben, richtig zu reagieren, können Sie Schulungen veranstalten. Solche Schulungen, die sich jeder merken kann und die so erfolgreich sind, wie die Sicherheitsunterweisungen im Flugzeug, sind in der IT die Awareness-Schulungen. Diese müssen nicht trocken sein, sondern können auch witzig oder interessant gestaltet werden. Je nach Gusto. Wichtig ist, dass folgende 4 Kriterien erfüllt werden:

  1. Einfache Botschaft
  2. Einfach umzusetzende Maßnahmen
  3. Regelmäßige Schulung
  4. Für Motivation sorgen

Erreichbar ist eine erfolgreiche Awareness-Schulung über 3 Stufen:

  1. Inhalte festlegen (wenige Themen)
  2. Trainings durchführen (regelmäßig)
  3. Erfolgskontrolle (Messung)

Die wichtigste Botschaft des Vortrags: Ihre Mitarbeiter sind besser als jede Firewall!

Managed Vulnerability Scan Service – Risikofaktor Software-Schwachstelle – Robert Jünger

Schwachstellen sind bereits seit über 10 Jahren ein wichtiges Thema. Also warum müssen viele Unternehmen beim Thema Schwachstellen die Zähne zusammenbeißen?

Wie bereits im Vortrag von Markus Klingspor gehört, hat die Zahl der erkannten Schwachstellen im letzten Jahr einen Rekord erreicht, der auch dieses Jahr wieder gebrochen wird. Systeme, die immer komplexer werden und daher mehr Lines of Code haben, tragen dazu bei. Denn jede einzelne Zeile hat Potenzial für eine Schwachstelle. Und eine Schwachstelle stellt für ein Unternehmen immer ein Risiko dar. Warum reicht es nun nicht zur Behebung des Risikos regelmäßig Pentests zu machen? Der Pentest wird in der Regel alle 6-12 Monate gemacht, was bereits sehr gut ist, doch dies kann dazu führen, dass eine Schwachstelle im schlimmsten Fall 6-12 Monate offen liegt.

Idealerweise wird der Pentest ergänzt durch einen Schwachstellenscan. Der Schwachstellenscan findet häufiger statt, prüft jedoch nur bestimmte Systeme auf bestimmte Schwachstellen. Daher sollte der Pentest nicht ersetzt, sondern durch den Schwachstellen-Scan erweitert werden. Wichtigste Nutzen eines Schwachstellen-Scans: Transparenz zu Risiken, höhere Verfügbarkeit, optimale Priorisierung. Das Rund-um-sorglos-Paket bietet der Managed Vulnerability Scan Service. Besonders geschätzt wird bei diesem von Kunden laut Robert Jünger die Schritt-für-Schritt-Anleitung sowie die kundenindividuelle Gefährdungseinschätzung und die regelmäßige Abstimmung der Ergebnisse mit einem Security-Experten.

Hier ein Beispielauszug aus einem Executive Summary. Hier zu sehen: mit 14 Maßnahmen auf 4 Systemen, können 98% der Schwachstellen geschlossen und das Risiko um 100% reduziert werden.

Check Point CloudGuard – der Schutz von Public und Private Clouds – Thomas Hesse

Herr Hesse ist Presales Engineer bei Westcon und stellte den Teilnehmern des TOsecurity Days Cloud Guard von Check Point vor.

Wer eine Cloud einsetzen will, der überlegt man erstmal, was nutze ich? Die meisten Endanwender nutzen die Cloud, um ihr Rechenzentrum zu entlasten. Wie kann die Cloud aber abgesichert werden? Dafür gibt es von Check Point Produkte, die auf die einzelnen Cloud-Provider zugeschnitten sind. Diese können komplett unterschiedliche Produkte sein. Denn Firmen benutzen häufig verschiedene Cloud-Provider. Im Schnitt zwei bis drei verschiedene. Diese können idealerweise einheitlich in der Security dargestellt / gemanagt werden. Hier setzt Cloud Guard an und managt alles zentral. Das gilt auch für andere Produkte, wie mobile Geräte mit ihren Installationen. Es gibt einheitliche Regeln für alle. Die Regeln werden auf Gateways ausgerollt. Es macht also für das Regelwerk keinen Unterschied, ob es lokal oder auf irgendeiner Cloud ausgerollt wird, egal welcher. Oft wollen Abteilungen auch ihre Regelsätze selbst verwalten. Hier ist es möglich Verantwortlichkeiten festzulegen, damit bestimmte Nutzer einzelne Teile in Cloud Guard verwalten dürfen.

Network Access Control in der Netzwerksegmentierung – wieso Netzwerksegmentierung alleine nicht hilft – Adrian Woizik

Der Vortrag von Adrian Woizik beginnt mit einer Prophezeiung: Sobald ein Angreifer im Unternehmensnetzwerk drin ist, hat man ein Problem, denn der Außentäter ist zum Innentäter geworden.

Hier greift die Netzwerksegmentierung an. Ein Beispiel: Ihr Data Center wird geschützt durch eine Firewall NG. Leider reicht das nicht. Wer hat eine Endpoint Security installiert für den Drucker? Wer updated seine Firmen-Kaffeemaschine? Klingt komisch? Den Fall, dass eine Kaffemaschine als Angriffspunkt genutzt wurde gab es bereits. In den letzten Jahren häufen sich die bekannten Fälle von gehackten Firmen, doch die Dunkelziffer ist vermutlich noch viel höher. Doch was tun, wenn weder Firewall NG noch Endpoint Security ausreichen? Die Antwort darauf liefert Rob Joyce, Leiter TAO / NSA: „Wenn Sie Ihr Netzwerk schützen wollen, müssen Sie es kennen, inklusive aller Geräte, die sich darin befinden…“

Für viele Unternehmen ist Bring your Own Device ein großes Thema. Dies stellt jedoch auch eine Herausforderung dar, da bei privaten Geräten keine Software-Verteilung vorgenommen werden kann. Dieses Problem löst Network Access Control (kurz: NAC). Ebenso vereinfacht NAC die Netzwerksegmentierung, da es Geräte in Segmente einteilt und einen kompletten Überblick über die Geräte gibt, die sich im Netzwerk befinden.

Vorteile von Network Access Control:

  • Leichte Integration in heterogenen Infrastrukturen
  • Übersicht der im Netzwerk befindlichen Geräte
  • Autorisierung neuer Endgeräte
  • Zusammenspiel mit vorhandenen Systemen

Die TO als Managed Security Services Provider – Uwe Benner

Der Vortrag von Uwe Benner beginnt mit einer musikalischen Einlage und der Einladung zum Träumen: wir stellen uns vor zu fliegen. Als Besitzer einer eigenen Airline, transportieren wir Menschen und Fracht und fliegen um die ganze Welt. Aber ganz einfach ist das nicht. Wir benötigen die passenden Kompetenzen, eine hochmoderne Flotte, top ausgebildete Piloten und eine Crew, die den Passagieren jeden Wunsch von den Augen abliest. Das oberste Ziel: sicheres Reisen und zufriedene Passagiere. Eine (gar nicht so kleine) Herausforderung gibt es auch noch: regelmäßige Checks der Maschinen und deren Bestandteile/ Einzelteile, durchgeführt von Experten.

In Realität wünschen sich die IT-Verantwortlichen in Unternehmen eigentlich das gleiche: sichere IT und zufriedene Anwender. Doch die Cyber-Kriminalität wächst und bringt immer neue Herausforderungen mit. Das heißt kurz: IT-Security wird immer komplexer. Daher braucht es auch immer mehr Mitarbeiter mit immer mehr hochspezialisiertem Know-how. Knackpunkt dabei: der aktuelle Fachkräftemangel. 55.000 freie, also unbesetzte, Arbeitsplätze in der IT gibt es derzeit in Deutschland.

Managed Security Services helfen dabei diese Herausforderung zu meistern. Themen und Aufgaben können einfach ausgelagert werden. Im Rahmen der Managed Security Services der TO bekommen Unternehmen die größtmögliche Flexibilität, ohne dass stur an Prozessen festgehalten wird. Stattdessen erwartet Unternehmen planbare Kosten, Qualitätsverbesserung, Risikoverlagerung, Freiräume für Projekte, Freiräume für Endanwender-Support und eine gestiegene Mitarbeiterzufriedenheit. Denn diese sind vermutlich nicht begeistert davon, wenn sie die Nachricht bekommen, dass sie ab sofort auf Rufbereitschaft 24×7 arbeiten.

Kundenbericht: Humangenetische Diagnostik – die Umsetzung einer Firewall-Infrastruktur im Umfeld der Medizintechnik und Biotechnologie – Kerstin Schmid, CeGaT GmbH

Die CeGaT GmbH ist der Experte für Humangenetische Diagnostik. Das Experten-Know-how des Unternehmens bildet sich vor allem aus der Analyse und Interpretation von Untersuchungsergebnissen. Mit der Expertise der CeGat GmbH können Ursachen für Erkrankungen genau erkannt und mit den richtigen Maßnahmen erfolgreich behandelt werden. Besonders schützenswerte Daten der CeGaT GmbH sind dementsprechend die Patienten- und Analysedaten. Daraus und aus einem sehr hohen Datendurchsatz von ca. 800GB pro Tag ergeben sich hohe Anforderungen an Verfügbarkeit, Performance und Security der IT.

Gemeinsam mit der TO stellte die CeGaT GmbH auf eine Firewall NG um. Die Anforderungen an die neue Firewall waren unter anderem eine geringe Ausfallquote, Transparenz und Durchsatzstärke. Letzteres stellte aufgrund der geringen Messbarkeit eine der größten Herausforderungen dar.

Die TO wurde als Partner gewählt, da eine langfristige Betreuung gewünscht war und das Thema Vertrauen der CeGaT GmbH sehr wichtig ist. Kerstin Schmid von der CeGaT GmbH berichtete in ihrem Vortragsslot von ihren Erfahrungen mit der TO aus Kundensicht.

Accellion: Sicherer Datenaustausch mit Externen 2.0 – eingebettet in Ihre IT-Sicherheitspolicy – integriert in Check Point Sandblast. Vielfältige Use-Cases zur Diskussion – Uli Neider

Wenn Mitarbeiter in Unternehmen Dateien miteinander austauschen müssen, so finden sie meistens einen Weg. Um diesen Austausch abzusichern, ist daher die User Acceptance sehr wichtig, denn wenn sich der Nutzer nicht abgeholt fühlt, findet er immer einen anderen Weg. Andererseits sollte die ausgesuchte Lösung auch nicht umgehbar sein. Hierfür bietet Accellion mit Kiteworks eine Lösung. Accellion gibt es seit 18 Jahren, die Positionierung mit Kiteworks ist erst 1.5 Jahre alt.

Die Lösung Kitworks basiert auf 4 Säulen:

  1. Governance: Kiteworks kann auf drei verschiedene Arten betrieben werden. Entweder betreibt Accellion bei Ihnen im Unternehmen die Lösung, Sie betreiben die Lösung zu 100% selbst oder Sie wählen eine Gemischtform.
  2. Security: Die Lösung wird in die existierende Sicherheitsinfrastruktur integriert, gegebenenfalls mit eigener Verschlüsselung
  3. Simplicity: Die Lösung ist für Ihre Mitarbeiter einfach zu nutzen. Es gibt Plugins beispielsweise für Office. Ebenso ist das Usererlebnis auf dem Mobilgerät vergleichbar mit dem auf der Weboberfläche.
  4. Integration: Die Plattform der Lösung bietet vielfältige Konnektoren an.

 

Neben den interessanten und vielfältigen Vorträgen, gab es wie immer genug Zeit für ein Get-together sowie eine Führung durch das Rechenzentrum des Flughafens.
Wir bedanken uns bei allen Teilnehmern und Referenten für einen tollen Tag und freuen uns auf den TOsecurity Day 2019!

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *