Gemäß dem diesjährigen Motto "Securing Smart Societies" befasste sich die erste Keynote der InformationSecurity World (ISW) 2019 auch mit einem zentralen gesellschaftlichen Thema: der Mobilität. Daniel Eitler, Security-Chef von BMW, sprach über die Cyber-Security-Strategie des Autobauers. Darin spielt natürlich das Trendthema "autonomes Fahren" eine wichtige Rolle.
Auf dem Weg zum vollständig selbstfahrenden Auto habe die Industrie etwa die Hälfte des Weges zurückgelegt. Momentan könnte die Technik zwar schon dabei helfen, die Spur und den nötigen Abstand zu halten, der Mensch müsse aber immer noch ständig am Lenkrad sein. Der nächste Schritt, bei dem der Fahrer zeitweise das Steuer aus der Hand geben kann, werde 2021 Realität werden.
Fünf Cybersecurity-Prioritäten
Je schlauer die Fahrzeuge würden, desto größer werde aber auch die digitale Angriffsfläche. Daher habe BMW fünf Sicherheitsprioritäten formuliert, die Eitler nach eigenen Angaben im Konzern durchgesetzt hat:
"Security by Design" ist im agilen Entwicklungsprozess integriert. Die Entwickler bei BMW arbeiten in Zwei-Wochen-Sprints mit durchschnittlich zwei Releases pro Tag. Um dabei das Sicherheitsniveau beizubehalten, wurde für jedes Produkt ein Product Owner berufen, der auch die Security verantwortet. Zudem wurde DevSecOps durch Web- und Classroom-Trainings in den Entwicklerteams forciert und in Standardprozesse der Entwicklung integriert. Dabei spielen auch automatisierte Sicherheits- und Penetrationstests während der Build-Phase eine wichtige Rolle.
Cyber-Hygiene ist unverzichtbar. Patch-, Asset- und Schwachstellenmanagement sind die Grundlagen jeder Sicherheitsstrategie. Dabei gilt es darauf zu achten, Updates rechtzeitig und an möglichst alle betroffenen Systeme auszuspielen.
Digitale Identitäten müssen sicher sein. In Zeiten von IoT müssen nicht nur menschliche, sondern auch künstliche Identitäten erfasst, verwaltet und geschützt werden. Zudem muss das Passwort durch einfachere und zugleich sicherere Authentifizierungsmethoden abgelöst werden. BMW nutzt dazu Pass Phrases und Zwei-Faktor-Authentifizierung (2FA) sowie Privileged Access Management (PAM) für die Verwaltung von Accounts mit weitreichenden Rechten, wie etwa die von Administratoren.
Vom Ernstfall muss ausgegangen werden. Eitler geht davon aus, dass jedes Unternehmen bereits erfolgreich angegriffen wurde oder kurz davorsteht. Daher setzt er auf eine Assume-Breach-Strategie. Zwar seien Vorsichtsmaßnahmen wie regelmäßige Penetrationstests, Simulationen oder Bug-Bounty-Programme im Einsatz, aber es liege auch ein Fokus auf Detect- und Respond-Fähigkeiten. Ein Tipp von Eitler ist, die Vielzahl an Schwachstellen zu priorisieren. So könnten wertvolle Ressourcen gebündelt and den größten Brandherden eingesetzt werden.
Ohne Sicherheitskultur geht nichts. Neben der richtigen Technik und Strategie ist für Eitler auch die Security Awareness zentral. Alle Mitarbeiter gilt es für Sicherheitsthemen zu sensibilisieren und zu entsprechendem Verhalten anzuregen. Dazu setzt BMW auf einen Dreiklang aus Informationsmaterial (Flyer, Plakate oder Videos), Schulungen (Web-Trainings, Gamification) und Engagement. Für Letzteres führte BMW beispielsweise ein Ranking der Security-Reife ein: Je nachdem, wie intensiv sich ein Mitarbeiter in Sicherheitsfragen auskennt und weiterbildet, erhält er einen farbigen "Gürtel" (analog zu Karate-Gürteln), den er sich an seinen Ausweis heften kann. So werde ein offener Austausch zum Thema Security und auch Stolz bei den Mitarbeitern geschaffen.
Deutschland fehlt digitales Vertrauen
In einer Podiumsdiskussion mit Security-Verantwortlichen von Eurowings, Henkel, Microsoft, dem Cyber-Sicherheitsrat Deutschland und NTT Security wurde die allgemeine IT-Sicherheitslage diskutiert. Als Tenor kristallisierte sich heraus: Sicherheits- und Datenschutzvorbehalte der Bürger, aber auch fehlende Ernsthaftigkeit und Awareness in den Unternehmen bremsen den digitalen Fortschritt.
Zudem sei die Diskussion um IT-Sicherheit immer noch zu sehr von Technologie getrieben. Zwar sei technische Cyber-Hygiene wichtig, der Mensch als schwächstes Glied der Security-Kette werde aber oft immer noch vernachlässigt. Dies müsse durch Security-Trainings und Notfallpläne behoben werden. Regulatorische Vorgaben wie die Richtlinie ISO 27001 könnten dabei helfen, da sie regelmäßige Tests vorsehen. Allerdings dürfe Security Awareness nicht nur von Audit-Terminen abhängen. Sie müsse in die Kultur des Unternehmens integriert und von den Mitarbeitern aller Hierarchiestufen gelebt werden.
Ausgezeichnete Sicherheit
Auf der ISW wurde jedoch nicht nur über Probleme in der IT-Security gesprochen. Mit der Verleihung des ersten deutschen Cybersecurity Leader Award (CLA) legten die NTT-Gruppe zusammen mit dem COMPUTERWOCHE-Verlag IDG auch einen Schwerpunkt auf erfolgreiche Sicherheitsprojekte deutscher Unternehmen.
Eine Jury aus sieben Sicherheitsexperten unterschiedlicher Branchen kürte, unterstützt von einem sechsköpfigen Advisory Board die Gewinner aus zahlreichen Bewerbungen. Verliehen wurde der Preis in vier Kategorien.
Unter den Großunternehmen zählten Autobauer Daimler, Konsumgüterkonzern Henkel und die Lufthansa zu den Finalisten. Am Ende fiel die Wahl auf das Projekt der Airline.
In der Kategorie "Mittelstand" gab es ein Kopf-an-Kopf-Rennen zwischen der Domain-Registrierungsstelle Denic, dem Klimasatelliten-Betreiber Eumetsat und der Bosch-Tochter Escrypt. Letztere wurde für ihr Projekt "Butterblume" ausgezeichnet.
In den zwei weiteren Sonderkategorien wurden einzelne Projekte gekürt, die in ihren Unternehmen Security besonders innovativ oder umfassend realisiert haben. In der Kategorie "Innovation" gewann der Energieversorger Innogy den Preis. Das eingereichte Projekt der HSBC-Bank wurde als besonders "ganzheitlich" ausgezeichnet.
Foto: NTT / SL-pictures
Die Veranstalter betonten, dass es beim CLA nicht nur um den Wettbewerb gehe. Vielmehr stehe der Mut der Finalisten im Vordergrund, offen über Security zu sprechen. Wirksame IT-Sicherheit lebe vom unternehmensübergreifenden Austausch und der Zusammenarbeit im Kampf gegen Cyber-Angreifer. Der CLA biete eine einzigartige Plattform, um mehr offene Kollaboration in der traditionell eher abgeschotteten Disziplin Cyber-Sicherheit voranzutreiben.
Gute Hacker sind das "Immunsystem" des Digitalen Zeitalters
Auch die Keynote des zweiten Tages schlug positive Töne an. Die israelische Security-Analystin und Hacktivismus-Forscherin Keren Elazari sprach darüber, was Unternehmen von "guten" Hackern (sogenannte White Hats) lernen können. Für sie sind White Hats das Immunsystem des Internetzeitalters, da sie kontinuierlich durch Angriffstaktiken neue Schwachstellen finden und an die Verantwortlichen reporten. So sorgen sie dafür, dass Lösungen, Services und Produkte sicherer werden.
Anhand vergangener Angriffe und von Hackern gefundener Schwachstellen formulierte sie fünf "Lessons" und vier Best Practices für Unternehmen.
IT-Sicherheit ist nicht mehr nur Informationssicherheit. Es geht nicht nur um den Schutz von Geheimnissen, sondern um Vertrauen. Notpetya beispielsweise ist keine Ransomware, sondern ein Wiper gewesen, der Daten nicht verschlüsselt, sondern sofort löscht. Das Ziel war Zerstörung. Unternehmen haben heute primär die Aufgabe, mit IT-Security vertrauenswürdige Systeme aufzubauen, die vor solchen destabilisierenden Angriffen gefeit sind.
Die Angreifer sind kreativ. Schutzmaßnahmen, die heute funktionieren, sind morgen obsolet. Angreifer finden immer neue Mittel und Wege, ihre Ziele zu erreichen. Unternehmen dürfen sich also nicht auf einmal etablierten Sicherheitslevels ausruhen.
Das digitale Universum dehnt sich aus. Die Zahl an smarten Geräten im Internet wächst ständig und jedes davon ist ein potenzieller Teil von Botnetzen wie Mirai. Daher sollten Unternehmen auch Dienste wie beispielsweise die IoT-Device-Suchmaschine Shodan in ihre Sicherheitsprozesse mit einbinden. So lassen sich etwa ungeschützte Geräte im Netzwerk finden. Zudem sollte bei allen Anschaffungen von smarten Geräten darauf geachtet werden, dass die Standard-Zugangsdaten geändert werden.
Immer in Bewegung bleiben. Weil die Angreifer kreativ sind, müssen Unternehmen ihre Sicherheit ebenso agil aufstellen. Nützlich dabei sind beispielsweise Tools wie Metasploit, das Informationen über bekannte Schwachstellen bietet und für Penetrationstests eingesetzt werden kann. Wird es mit Shodan kombiniert erhält das IT-Team mit Autosploit eine automatisierte Hacking-Maschine, mit der die Schutzmaßnahmen des Unternehmens abgeklopft werden kann.
Hacker können helfen. Um mit den Veränderungen der Angriffsvektoren mitzuhalten, lohnt sich die Zusammenarbeit mit White-Hat-Hackern. Dazu sollten Unternehmen darüber nachdenken, ein Bug-Bounty-Programm einzuführen oder zumindest Kommunikationswege aufzubauen, auf denen Hacker gefundene Exploits an das IT-Team melden können. Zudem lohnt es sich, an Hacker-Events und Treffen teilzunehmen. Allerdings braucht es dafür Mitarbeiter, die sich in der Szene auskennen, da es kulturelle Unterschiede zwischen der Corporate- und der Hacker-Welt gibt, die einem vertrauensvollen Austausch im Wege stehen könnten.
Aus diesen Lehren lässt sich ableiten, dass Unternehmen nach Elazaris Meinung wie bösartige Hacker (Black Hats) denken sollten, um sich gegen sie zur Wehr setzen zu können. Sie gab den Zuhörern vier kurze Best Practices an die Hand, mit denen Unternehmen das im eigenen Haus erreichen können.
Etablieren Sie DevSecOps für Security by Design in der Entwicklung.
Nutzen Sie Threat Modeling und Threat Hunting, um für das eigene Unternehmen spezifische Gefahren zu identifizieren.
Proben Sie Ihre Schutzmaßnahmen durch Red-Team-Testing.
Bauen Sie Kapazitäten in den Bereichen Digital Forensics und Incident Response auf, um aus erfolgreichen Angriffen zu lernen.
Security wird Kernthema
In seiner Eröffnungsrede zur ISW betonte SVP EMEA von NTT Security Kai Grunwitz die zentrale Bedeutung von Security in der "Society 5.0". Die Gesellschaft sei von den Jägern und Sammlern über die Landwirtschaft, Industrialisierung und das Informationszeitalter nun in der digitalen Ära angelangt. Digitalisierung betreffe heute jeden Lebensbereich und müsse daher grundlegend abgesichert werden. Aus diesem Grund habe NTT ihre diesjährige Partnerveranstaltung auf die smarte Gesellschaft ausgerichtet.