"Wer versteht, welche Gefahren im weltweiten Datennetz lauern, der kann sehr viel schneller darauf reagieren und geeignete Schutzmaßnahmen ergreifen", so das Fazit von Raphael Labaca Castro, Eset Sicherheitsforscher und Redaktionsleiter vom hauseigenen Blog "WeLiveSecurity", zum kürzlich veröffentlichten Security Trend Report.
Auf dem Systemhauskongress "Chancen 2016" wird Security-Spezialist Eset gemeinsam mit seinem Referenzpartner Hartmut Holbein, geschäftsführender Gesellschafter des Systemhauses CDH computing, Projekte und Lösungen vorstellen, wie IT-Dienstleister ihre Kunden vor diesen Gefahren schützen können.
Im Interview gibt Maik Wetzel, Sales Director Channel bei Eset Deutschland, einen Ausblick, was Partner auf dem Kongress erwarten können.
Sie haben kürzlich den "Security Trend Report 2015" ausgewertet. Was sind die wesentlichen Erkenntnisse dieser Studie?
Maik Wetzel: Es zeigt sich ganz deutlich, dass Wirtschaftsspionage im Trend liegt. Während im vergangenen Jahr Privatsphäre im Internet und Android-Malware im Zentrum des Interesses standen, tun sich 2015 neue Gefahrenbereiche auf. Der jetzt veröffentlichte, frei erhältliche Eset Security Trend Report 2015 beleuchtet die fünf wichtigsten Bedrohungsszenarien, die Unternehmen auf ihrer Sicherheitsagenda haben sollten und erklärt wie auf diese Gefahren durch entsprechende Schutzmaßnahmen reagiert werden kann.
Was sind diese fünf wichtigsten Bedrohungsszenarien?
Wetzel: 1. Die rasante Zunahme von Advanced Persistent Threats, kurz APTs. Das sind übersetzt: fortgeschrittene, andauernde Bedrohungen
2. Point-of-Sales Malware, die gezielt Kassensysteme u.ä. angreift
3. Datenlecks allgemein
4. Schwachstellen in Hard- und Software
5. Internet der Dinge - hier vor allem wieder die Vermischung privater und beruflicher Szenarien unter anderem durch Wearables oder alle möglichen anderen angeblich "smarten" Geräte
Foto: ESET
Welche Vorgehensweise hat sich für Partner bewährt, um Kunden nicht nur für diese Gefahren zu sensibilisieren, sondern anschließend auch ein entsprechendes Projekt umzusetzen?
Wetzel: Sehr oft ist zu beobachten, dass selbst in Unternehmen mit hohem Innovationspotenzial kein ausreichendes Bewusstsein für IT-Security-relevante Themen existiert.
Gerade in kleinen und mittleren Unternehmen sind Entscheider oft nicht in der Lage, das eigene Gefahren- und Risikopotenzial richtig einzuschätzen und angemessene Konzepte zur Risikovermeidung zu entwickeln.
Auch ist zu verzeichnen, dass sehr oft keine Kenntnis zu entsprechenden Haftungsrisiken auf Entscheider-Ebene vorhanden ist. Hieraus ergibt sich ein Potenzial für Partner! Genau hier können Partner mit Beratung und folgend auch anderen Dienstleistungen aktiv werden.
- 1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.
Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen. - 2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt.
2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden. - 3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich.
Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet. - 4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar.
„Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten. - 5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa.
Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen. - 6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest.
Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen. - 7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander.
Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor. - 8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen.
In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen. - 9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter.
Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden. - 10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren.
Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.
Wie und wo können Partner hier konkret ansetzen, um beim Kunden das Bewusstsein für Sicherheitsrisiken zu schärfen und Aufmerksamkeit für Lösungen zu wecken?
Wetzel: Es gibt unterschiedliche Möglichkeiten diesem nicht ausreichenden Bewusstsein auf Kundenseite entgegenzutreten. In individuellen, aufklärenden Veranstaltungen können interessierte Anwender direkt informiert und angesprochen werden.
Die Bedarfsanalyse beim Kunden beginnt also vielfach nicht mit der Ermittlung von Mengengerüsten und dem Einsammeln von Systeminformationen, sondern startet bei einer fundierten Analyse der Bedrohungssituation, mündet in einer Lösungsberatung und -konzeption und setzt sich dann fort in der Umsetzung der konzipierten Maßnahmen.
Der kostenpflichtige und somit profitrelevante Anteil an Dienstleistungen in derartigen Projekten übersteigt nicht selten das Volumen an klassischen IT-Systemhausleistungen, also Hardware, Software und Infrastruktur. Zur Beratung des Kunden gehört auch die Information zu verschiedenen Betriebsmodellen. Nicht erst seit gestern spielen hierbei Themen wie Managed Services, SaaS oder Einbeziehung von Cloud Services eine wichtige Rolle.
Worüber stolpern Systemhäuser und Provider Ihrer Erfahrung nach immer wieder, speziell bei der Planung, Projektierung und Abrechnung von Projekten im Security-Bereich?
Wetzel: Zunächst ist es aufwendig das für eine fundierte Beratung eines Kunden zu IT-Security-Konzepten notwendige Know-how im eigenen Systemhaus aufzubauen und permanent auf aktuellstem Stand vorzuhalten. Dies setzt einen nicht unerheblichen Invest und eine nicht unerhebliche Vorleistung voraus.
Nur wer aber selbst kompetent und überzeugend auftreten kann, wird erfolgreich und überzeugend für ein höheres IT-Security-Bewusstsein und dementsprechende Investitionen bei den Entscheidern auf Kundenseite werben können.
Es gilt also eigene Wissenslücken zu schließen, entsprechende Ressourcen und Services aufzubauen und diese aktiv zu vermarkten. Auf Kundenseite gilt es die Mauer des fehlenden Bewusstseins zu durchbrechen um Entscheidungen zu IT-Security-Projekten überhaupt herbeizuführen. Eine große Herausforderung ist auch die Wahl der richtigen Anbieter und Produkte.
Wo liegen hier erfahrungsgemäß die Stolpersteine?
Wetzel: Hier ist unsere Erfahrung, dass eine echte ROI-Betrachtung, inklusive möglicher Folgekosten z.B. durch Fehlalarme, (dadurch) erhöhter Betreuungsaufwand etc., sowohl aus Anbieter-, als auch aus Kundensicht, sehr oft einfach vernachlässigt wird.
Nicht zuletzt ist es wichtig, Projektdienstleistungen dem realen Aufwand angemessen zu kalkulieren und zu dimensionieren. Projekte werden oft defizitär, weil kalkulierte Installations- oder Administrationsaufwände gnadenlos aus dem Ruder laufen, das bei sorgfältiger Planung aber gar nicht müssten.
Nicht selten kommt es auch vor, dass eine Schutzlösung die Performance auf den Kundensystemen so hemmt, dass die Produktivität der Kunden-IT erheblich eingeschränkt wird. Dies führt nicht selten zur (temporären) Deaktivierung der Schutzlösung oder zu einer konfigurationsbedingten Verringerung der Schutzleistung. Bei großen Projekten bietet es sich an geplante Lösungen im Vorfeld zur Abschätzung der Aufwände in repräsentativen Testumgebungen aufzusetzen, Evaluierungen verschiedener Produkte und Lösungen durchzuführen, um einen repräsentativen Benchmark zu erhalten.
Wie unterstützt Eset die Partner dabei, diese Herausforderungen zu meistern?
Wetzel: Als Hersteller bieten wir in allen angesprochenen Bereichen Unterstützung für unsere Partner. Für den gesamten Prozess, von der Leadgenerierung bis zur Lösungsimplementierung stellen wir unseren Partnern bei Bedarf Ressourcen und Know-how zur Verfügung. Generell stehen wir in engem Kontakt zu unseren Partnern, kennen deren Bedarf und können so individuell eventuelle Defizite ausgleichen um Projekte erfolgreich zu gewinnen und umzusetzen.
Großer Bedarf existiert bei der Analyse und Lösungskonzeption bzw. bei allen Pre-Sales-Themen. Hier bieten wir u.a. gemeinsame Websessions oder auch gemeinsame Vor-Ort-Besuche beim Kunden des Partners an. In verschiedenen, komplexen Projekten erbrachten wir als Hersteller in der Vergangenheit auch direkte Installationsunterstützungsleistungen bei den Kunden unserer Partner. Wichtig ist uns aber, unsere Partner mehr und mehr in die Lage zu versetzen alle zu einem Projekt gehörenden Dienstleistungen in Eigenregie erbringen und natürlich auch als kostenpflichtige Leistung abrechnen zu können.
Welche Chancen bieten sich Systemhäusern und Resellern damit?
Wetzel: Zusammengefasst kann gesagt werden, dass Eset seine Partner aktiv mit Mitteln, Services und Ressourcen bei der Generierung von Geschäft unterstützt. Dies entlastet den Partner, sorgt für entsprechend überzeugende Angebote gegenüber den Entscheidern auf Kundenseite und erhöht so deutlich die Erfolgsquote. Entscheidend wird mehr und mehr sein, Produkte und Services so zu verknüpfen, dass daraus die optimale Kundenlösung entsteht. Neben dem eigentlichen Geschäft mit IT-Security-Lösungen entstehen zusätzlich Chancen ergänzende Produkte oder Services zu platzieren.