Review: TOsecurity Day 2019

Am 10. Juli 2019 fand unser jährlicher TOsecurity Day 2019 statt. Dieses Mal luden wir die Teilnehmer ins Straßenbahnmuseum Stuttgart ein, um dort unter dem Motto „Ihr Fahrplan für eine sichere IT“ rund um die Themen digitale Transformation, NAC, ISMS und Software Defined zu informieren.

Der TOsecurity Day 2019 startete mit einer „Short History of Security“ unseres Geschäftsführers und Gründers Markus Klingspor. Danach stellte Boris Bärmichl vor, welche Herausforderungen im Rahmen der digitalen Transformation auf die IT-Sicherheitsarchitekturen zukommen. Anschließend erklärte Oliver Loke, Systems Engineer bei Aruba, in seinem Vortrag die Funktionsweisen von SDN und SDWAN.

In den beiden Workshops „Informationssicherheit/ISMS“ und „Netzwerksicherheit – NAC live mit Macmon“ erhielten die Teilnehmer praktische Einblicke in die Contechnet Suite und deren Einsatz bei der Umsetzung eines ISMS sowie einen Eindruck der Funktionsweise eines NAC.

Nach einem kurzen Wrap-up der Workshops, präsentierte unser Kollege Götz Weinmann ein Live-Hacking mit dem Schwerpunkt Passwörter. Hierbei führte er live vor, wie leicht Passwörter zu knacken sind und welche Vorteile ein Passwort-Management-System bringt.

Nach den Workshops & Vorträgen konnte eine Fahrt in einer historischen Straßenbahn unternommen und an einer Führung durch das Straßenbahnmuseum Stuttgart teilgenommen werden.

Für alle, die am 10. Juli verhindert waren oder gerne einen Eindruck unserer Veranstaltungen gewinnen möchten, habe ich die Vorträge zusammengefasst und ein kurzes Video unserer Veranstaltung zusammengeschnitten:

Zusammenfassung der Vorträge des TOsecurity Day 2019

Keynote: A Short History of Security (Markus Klingspor, Thinking Objects GmbH)

Am Anfang stand der Mainframe. Sicherheit war damals noch ein physischer Perimeter. Irgendwann kamen die Terminals dazu, dann Workstations, welche ins LAN „zogen“ und schließlich wurden die Workstations an den Mainframe angeschlossen. Nach einiger Zeit konnte über das Telefonnetz und Modems Verbindung zu anderen Firmen hergestellt werden, was damals in Bezug auf die Sicherheit kein Problem darstellte, da es nur wenige PCs gab und „man sich kannte“ in der IT-Branche. Das Netz bestand aus „Family & Friends“.

Dann kam das Internet. Der erste bekannte Vorfall ereignete sich im Jahr 1989: Robert Tappan Morris lies ausversehen den Morris-Wurm frei. In den darauffolgenden Jahren wurden Webserver entwickelt, geschützt durch Firewalls. Letztere wurden später auch in internen Netzwerken implementiert. Es folgte die Möglichkeit des Remote Access, Terminals verschwanden und wurden durch PCs ersetzt und das Netz bestand nun schon länger nicht mehr nur aus „Family & Friends“. Antiviren-Programme und Proxyserver wurden nötig, ebenso wie Ende-zu-Ende-Verschlüsselung, Identity Management, SIEM Systeme, Content Filter, WLAN + VPN, Secure Data Storage, Key Management, WAF etc. pp .

All diese Lösungen gelten mittlerweile als State of the Art der IT-Security. Trotzdem gibt es aktuell jede Menge Security Incidents, denn die Hacker nutzen einfach die Zugangspfade, welche eigentlich für die User eingerichtet wurden. Dies ist möglich, indem Fehler im Code ausgenutzt werden. Und je mehr Code es gibt, umso mehr Fehler können sich einschleichen. Zur Veranschaulichung der Größenordnung, eine kleine Rechnung: im Jahr 2018 gab es 23 Millionen Entwickler auf dem Planeten Erde. Wenn jeder dieser Entwickler nur 1000 Zeilen Code im Jahr schreiben würde, dann gäbe es jedes Jahr 23 Milliarden neue Zeilen Code. Genügend Platz für Fehler also. Außerdem wächst die Menge an neuem Code pro Jahr in den nächsten Jahren stetig an. Laut der Global Developer Population and Demographic Study wird die Anzahl der Entwickler bis zum Jahr 2023 auf 27,7 Millionen anwachsen.

Außerdem herrscht an der ein oder anderen Stelle ein Awareness-Problem vor. Ein Beispiel: die Information Network Security Agency (INSA), also das äthiopische Pendant zur NSA, hat sich 300 Passwörter klauen lassen. Bis hierhin noch keine reine Awareness-Problematik. Allerdings lautete das Passwort in 143 Fällen gleich, und zwar: p@$$w0rd.

Ebenso ergab der Cyber Security Report 2018, dass das Sicherheitsbewusstsein von Unternehmen sinkt. Dabei ist Cyber Security gar nicht so kompliziert, wenn man sie erst einmal als Prozess sieht, der passen muss und etwas Zeit braucht, bis alle Verhaltensweisen und Lösungen etabliert sind.

IT-Security im Zuge der digitalen Transformation (Boris Bärmichl, Technologie Scout)

Was ist eigentlich die digitale Transformation? Sie verbindet uns, sie macht Spaß, sie gibt uns Freiheit, aber sie hat auch dunkle Seiten: was speichern eigentlich die zahlreichen digitalen Geräte von mir und was geben sie an Dritte weiter?
Dank der digitalen Transformation haben wir einerseits mehr Möglichkeiten und mehr Freiheiten. Wir können automatisieren, optimieren und rationalisieren.
Andererseits verändern die disruptiven Technologien die Geschäftswelt. Während es früher noch physikalische Systeme gab, die mit hohem technischen Aufwand von vielen Spezialisten betrieben wurden, arbeiten wir heute mit Cloud Systemen und externen Spezialisten. Zukünftig wird es die mobile Cloud, Globalisierung der Daten und totale Individualisierung geben. Mobilität, Autonome Systeme, 3D-Druck, Kryptowährung/Block Chain, all dies gehört zur digitalen Transformation.

Jedoch hat jede neue Technik Vor- und Nachteile. Nehmen wir zum Beispiel die Cloud:

Vorteile:

  • Made in Germany/Europe gemäß DSGVO möglich
  • Daten-Backup
  • Kaum Investitionskosten
  • Skalierbarkeit
  • Geräte- und Zeitunabhängig
  • 24h Betrieb möglich

Nachteile:

  • Abhängigkeit vom Anbieter (Gefahr der Insolvenz)
  • Anfälligkeit für DDoS-Attacken
  • Datenschutzauflagen
  • Abhängigkeit von Verfügbarkeit
  • Risiko durch Datentransport
  • Bei Nutzung von Software-Lösungen Anpassungen notwendig

Was bedeutet das für die IT? Wir rennen der Entwicklung hinter her, während sich das Risiko sich mit jeder neuen Technologie erhöht. Auch verschwimmt die Grenze zwischen Privat und Geschäft immer mehr. Das bedeutet, dass eine zuverlässige IT-Security in Zukunft starke Partner und Netzwerke braucht.

Software defined der neue Weg…oder? (Oliver Loke, Aruba a Hewlett Packard Enterprise Company)

SDN entkoppelt das System, das entscheidet, wohin die Daten geschickt werden (die
Control Plane ), vom darunterliegenden System, das die Daten zum ausgewählten Bestimmungsort weiterleitet (die Data Plane).

Warum ist man auf diese Idee gekommen? Weil sie Vorteile hat! Ziel ist es mehr zu sehen. Eine dynamische und schnelle Reaktion wird möglich, da der Nutzer die zentrale Übersicht über alles hat, egal wie und woher zBsp. Switches kommen. Außerdem bringt SDN weitere Nutzen mit:

  • Dynamische , schnelle Reaktion
  • Einfache Optimierung und Anpassung
  • Schnell Ausrollen von Applikationen dauert nur noch Minuten
  • Einfachheit
  • Reduktion der Kosten

SDN als Overlay besteht aus 4 Ebenen

  1. Die Management-Ebene: Orchestriert und überwacht die SDN Vorgänge
  2. Applikations-Ebene: Liefert die offenen programmierbaren Schnittstellen und eine automatische Orchestrierung zu ermöglichen
  3. Kontroll-Ebene: Separate Kontroll und Data Ebene; abstrahierte Kontrollebene für viele Geräte
  4. Infrastruktur-Ebene: Open Standard basierter steuerbarer Zugriff auf die Infrastruktur

Workshop: ISMS/ Informationssicherheit (Jörg Kretzschmar, Contechnet Deutschland GmbH / Götz Weinmann, Thinking Objects GmbH)

In vielen Unternehmen sind das Risikomanagement und die Notfallplanung in der IT-Abteilung angesiedelt. Auch wenn einige Risiken gar keinen IT-Bezug haben. Um im Ernstfall trotzdem schnell und zielgerichtet zu reagieren, ist ein „Fahrplan“ unerlässlich. Die Herausforderung dabei: der Masse an Systemen Herr zu werden!

Nach dem Erstellen des Fahr- bzw. Notfallplans müssen für den Härtefall konkrete Handlungsanweisungen vorhanden sein. Keine theoretischen Ideen. Denn im Notfall ist das Wichtigste: die erste Chaos-Phase überstehen. Und das geht nur mit einem konkreten Plan! Ab einer bestimmten im Notfallplan definierten Maßnahme befindet sich der Notfallprozess wieder im Regelbetrieb, und muss ab hier auch nicht mehr dokumentiert werden.

Was außerdem sehr wichtig ist und oft übersehen wird, ist die Öffentlichkeitsarbeit während eines Security Notfalls. Dies kann ganz einfach vorbereitet werden, indem ein Standarddokument „Wir sind gehackt“ aufbereitet wird, welches im Notfall schnell abrufbar ist. Wird dieses schon vorab und in Ruhe vorbereitet, ist auch noch genug Zeit das Dokument von der Rechtsabteilung prüfen zu lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *