Vorträge von BMW und Keren Elazari

IT-Security muss gesellschaftsfähig werden

07.06.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.

Gute Hacker sind das "Immunsystem" des Digitalen Zeitalters

Auch die Keynote des zweiten Tages schlug positive Töne an. Die israelische Security-Analystin und Hacktivismus-Forscherin Keren Elazari sprach darüber, was Unternehmen von "guten" Hackern (sogenannte White Hats) lernen können. Für sie sind White Hats das Immunsystem des Internetzeitalters, da sie kontinuierlich durch Angriffstaktiken neue Schwachstellen finden und an die Verantwortlichen reporten. So sorgen sie dafür, dass Lösungen, Services und Produkte sicherer werden.

Selbst sehr aktiv in der internationalen Hacker-Szene, rief Keren Elazari die Zuhörer auf, enge Kontakte mit White-Hat-Hackern zu pflegen und passende Kommunikationskanäle anzubieten.
Selbst sehr aktiv in der internationalen Hacker-Szene, rief Keren Elazari die Zuhörer auf, enge Kontakte mit White-Hat-Hackern zu pflegen und passende Kommunikationskanäle anzubieten.

Anhand vergangener Angriffe und von Hackern gefundener Schwachstellen formulierte sie fünf "Lessons" und vier Best Practices für Unternehmen.

  1. IT-Sicherheit ist nicht mehr nur Informationssicherheit. Es geht nicht nur um den Schutz von Geheimnissen, sondern um Vertrauen. Notpetya beispielsweise ist keine Ransomware, sondern ein Wiper gewesen, der Daten nicht verschlüsselt, sondern sofort löscht. Das Ziel war Zerstörung. Unternehmen haben heute primär die Aufgabe, mit IT-Security vertrauenswürdige Systeme aufzubauen, die vor solchen destabilisierenden Angriffen gefeit sind.

  2. Die Angreifer sind kreativ. Schutzmaßnahmen, die heute funktionieren, sind morgen obsolet. Angreifer finden immer neue Mittel und Wege, ihre Ziele zu erreichen. Unternehmen dürfen sich also nicht auf einmal etablierten Sicherheitslevels ausruhen.

  3. Das digitale Universum dehnt sich aus. Die Zahl an smarten Geräten im Internet wächst ständig und jedes davon ist ein potenzieller Teil von Botnetzen wie Mirai. Daher sollten Unternehmen auch Dienste wie beispielsweise die IoT-Device-Suchmaschine Shodan in ihre Sicherheitsprozesse mit einbinden. So lassen sich etwa ungeschützte Geräte im Netzwerk finden. Zudem sollte bei allen Anschaffungen von smarten Geräten darauf geachtet werden, dass die Standard-Zugangsdaten geändert werden.

  4. Immer in Bewegung bleiben. Weil die Angreifer kreativ sind, müssen Unternehmen ihre Sicherheit ebenso agil aufstellen. Nützlich dabei sind beispielsweise Tools wie Metasploit, das Informationen über bekannte Schwachstellen bietet und für Penetrationstests eingesetzt werden kann. Wird es mit Shodan kombiniert erhält das IT-Team mit Autosploit eine automatisierte Hacking-Maschine, mit der die Schutzmaßnahmen des Unternehmens abgeklopft werden kann.

  5. Hacker können helfen. Um mit den Veränderungen der Angriffsvektoren mitzuhalten, lohnt sich die Zusammenarbeit mit White-Hat-Hackern. Dazu sollten Unternehmen darüber nachdenken, ein Bug-Bounty-Programm einzuführen oder zumindest Kommunikationswege aufzubauen, auf denen Hacker gefundene Exploits an das IT-Team melden können. Zudem lohnt es sich, an Hacker-Events und Treffen teilzunehmen. Allerdings braucht es dafür Mitarbeiter, die sich in der Szene auskennen, da es kulturelle Unterschiede zwischen der Corporate- und der Hacker-Welt gibt, die einem vertrauensvollen Austausch im Wege stehen könnten.

Aus diesen Lehren lässt sich ableiten, dass Unternehmen nach Elazaris Meinung wie bösartige Hacker (Black Hats) denken sollten, um sich gegen sie zur Wehr setzen zu können. Sie gab den Zuhörern vier kurze Best Practices an die Hand, mit denen Unternehmen das im eigenen Haus erreichen können.

  • Etablieren Sie DevSecOps für Security by Design in der Entwicklung.

  • Nutzen Sie Threat Modeling und Threat Hunting, um für das eigene Unternehmen spezifische Gefahren zu identifizieren.

  • Proben Sie Ihre Schutzmaßnahmen durch Red-Team-Testing.

  • Bauen Sie Kapazitäten in den Bereichen Digital Forensics und Incident Response auf, um aus erfolgreichen Angriffen zu lernen.

Security wird Kernthema

In seiner Eröffnungsrede zur ISW betonte SVP EMEA von NTT Security Kai Grunwitz die zentrale Bedeutung von Security in der "Society 5.0". Die Gesellschaft sei von den Jägern und Sammlern über die Landwirtschaft, Industrialisierung und das Informationszeitalter nun in der digitalen Ära angelangt. Digitalisierung betreffe heute jeden Lebensbereich und müsse daher grundlegend abgesichert werden. Aus diesem Grund habe NTT ihre diesjährige Partnerveranstaltung auf die smarte Gesellschaft ausgerichtet.