Schwachstellen für digitale Gegenangriffe zurückzuhalten, ist in höchstem Maße riskant

Sollten Staaten Schwachstellen zurückhalten, um die eigenen Möglichkeiten eines Hack Back zu stärken? Nein, meint Dirk Schrader, CMO von Greenbone Networks, Vulnerability-Management-Anbieter, als Reaktion auf den Spiegel-Artikel „Das Cyber-Dilemma“.

Gut gezielte Cyber-Angriffe können heute das gesellschaftliche Leben ganzer Staaten lahmlegen. Bei einem totalen Blackout der Energieversorgung würden etwa wichtige elektronische Geräte in Krankenhäusern ausfallen und Lebensmittelkühlketten nicht mehr funktionieren. Auch ließen sich keine Notrufe mehr tätigen und die Frischwasserversorgung wäre gefährdet. Es ist daher gut und wünschenswert, dass die Regierung darüber diskutiert, wie sie die eigenen kritischen Infrastrukturen bestmöglich vor böswilligen Cyber-Angriffen schützen kann. So sind Maßnahmen eins bis drei des vom Bundesverteidigungs- und Bundesinnenministeriums vorgestellten Fünf-Stufen-Plans absolut richtig und wichtig: Prävention von Cyber-Angriffen, Umleitung von Daten eines erkannten Angreifers und Aufklärung von Hacker-Offensiven.

Hack Backs haben unvorhersehbare Nebenwirkungen
Der in Stufe vier und fünf verfolgte Ansatz, gefundene Schwachstellen zurückzuhalten, sie also nicht zu veröffentlichen, um sie für einen sogenannten „Hack Back“ zu nutzen, ist jedoch schon aus technischer Sicht nicht praktikabel. So sollen sich Cyber-Experten in Stufe vier des Plans über eine bisher nicht veröffentlichte Schwachstelle Zugriff auf das IT-System des Hacker verschaffen, um Daten „zurückzuklauen“. Doch bereits hier lauern zahlreiche Fallstricke: Gibt es Kopien von den Daten? Sind die Daten verteilt gespeichert? Wem gehört der Server überhaupt? Und was ist, wenn der Server in einem befreundeten Land steht und Eigentum der dortigen Regierung ist?
Stufe 5 – die von Hackern genutzten Server zu zerstören – erinnert wiederum sehr an das Vorgehen der britischen Regierung nach den Snowden-Enthüllungen. Hier wurden Festplatten der britischen Tageszeitung „The Guardian“ mit Bohrern zerstört. Die Folge eines solchen Vorgehens: Nutzen auch andere unbeteiligte Einrichtungen den Server, wären auch deren Daten unwiederbringlich verloren. Insbesondere bei kritischen Infrastrukturen wie Krankenhäusern hätte dies fatale Folgen.
In diesem Zusammenhang stellt sich außerdem die bisher nicht thematisierte Frage, gegen wen solche Maßnahmen der Stufen 4 und 5 theoretisch gerichtet sein können – und dürfen. Wenn ausländische Dritte vom Hack Back betroffen sind, wertet deren Regierung das als Angriff und hackt auch zurück? Eine solche Spirale sollte verhindert werden.

Unveröffentlichte Schwachstellen sind immer ein Risiko
Darüber hinaus gibt es auch bei der Beschaffung von bisher unveröffentlichten Schwachstellen ein sehr konkretes Problem: Findet man selbst eine neue Sicherheitslücke, muss man immer davon ausgehen, dass feindlich gesinnte Hacker oder Regierungen ebenfalls auf diese aufmerksam werden. Es gilt also, die eigene Infrastruktur gegen einen Angriff über ebenjene Schwachstelle zu schützen. Doch wie gelingt das, wenn es dafür noch keinen Patch gibt? Die Thematik ist umso brisanter, wenn man das Wissen über eine Schwachstelle von einem Dritten gekauft hat. Denn Gegner sind natürlich in der Lage, das Gleiche zu tun.
Spätestens wenn die Schwachstelle für einen Hack Back genutzt wurde, ist sie ein maßgeblicher Risikofaktor, denn: Ab diesem Zeitpunkt ist sie bekannt, wird analysiert und von Gegnern eventuell ebenfalls für einen Angriff genutzt. Derselbe Mechanismus greift bei digitalen Schläferzellen – Schadsoftware, die über eine Schwachstelle unbemerkt im IT-System von potenziellen Gegnern platziert wird und bei Bedarf zum Einsatz kommt. Denn auch hier gilt: Ab ihrem Bekanntwerden – etwa indem die Schadsoftware gestartet wird – ist sie ein potenzielles Einfallstor in das eigene IT-System.

Fazit: Digitalen Waffen keinen Entwicklungsraum geben
Schwachstellen zurückzuhalten, um sie für Hack Backs zu nutzen, ist weder politisch, noch administrativ, noch technologisch tragbar. Schlussendlich erhöht jede nicht geschlossene Schwachstelle das Risiko eines erfolgreichen Angriffs. Die Folgen eines solchen sind in unserer komplex vernetzten Welt unvorhersehbar. Im schlimmsten Fall kommt es zu einem Kaskadeneffekt, der das komplette gesellschaftliche Leben zum Erliegen bringt. Dieses Risiko sollten Regierungen auf keinen Fall eingehen, denn sie sind für das Wohl der Bürger verantwortlich. Anstatt sich also um zwischenstaatliche Verfahren über die Weitergabe von Schwachstellen zu bemühen, sollte die politische Energie vielmehr auf die Ächtung von D-Waffen (digitalen Waffen) nach dem Vorbild des Genfer Protokolls zielen.

Am Puls der Zeit und noch ein Stück weiter: Im hauptstädtischen Flair fand die Greenbone Anwenderkonferenz Security Transparent in diesem Jahr am 8. Mai 2018 im Humboldt Carré Berlin statt. Im Fokus: Kritische Infrastrukturen und Cyber Resilience.

„Von Cyber Security zu Cyber Resilience“ – Das war der Tenor unserer diesjährigen Anwenderkonferenz. Zahlreiche Teilnehmer und Sprecher  tauschten sich  über aktuelle und zukünftige IT-Sicherheitsthemen aus und lieferten hochwertige Diskussionsbeiträge.

Vortrag Polizeihauptkommissar Markus Böger

Dabei war es die Bandbreite an Sektoren, die den Konferenzbesuchern dieses Jahr einen besonders breiten Erfahrungshorizont bot: Teilnehmer und Sprecher aus Produktion, Gesundheit, Energie, Verwaltung und Telekommunikation trugen zu einem spannenden Erfahrungsaustausch bei und wagten Ausblicke in die Zukunft der IT Sicherheit.

Den Auftakt machte Polizeihauptkommissar Markus Böger vom Verfassungsschutz Niedersachsen. Er erläuterte dem Publikum, welche Risiken die vernetzte Welt im Hinblick auf Wirtschaftsspionage birgt. Jan-Oliver Wagner, CEO, gab nach einer kurzen Kaffeepause Einblicke in derzeitige Entwicklungen bei Greenbone, gefolgt von Lukas Grunwald, CTO, der über „Vulnerability Management in SCADA- und ICS-Umgebungen“ referierte.

Vor Beginn der Workshops legte Dirk Schrader, CMO, in einer Keynote spannende Aspekte des Wandels von Cyber Security hin zu Cyber Resilience dar. Im Anschluss dazu konnten die Teilnehmer im Turnus an fünf unterschiedlichen Workshops teilnehmen:

Workshop 1: „Etablierung eines ISO 27001-konformen Schwachstellenmanagements als Servicedienstleister

Moderation: Tim Schäfers, OEDIV, Dr. Oetker IT

Workshop 2: „Wie Sie alle Teil meiner Sicherheitslandschaft sind

Moderation: Henry Hughes, Jisc, Oxford, UK

Workshop 3: „Von der Sicherheitslücke zum Fix – Wie Unternehmen mit Sicherheitslücken (nicht) umgehen sollen

Moderation: Sebastian Neef, IT Solutions Neef

Workshop 4: „Projekt zur Ermittlung der von einer Greenbone Appliance generierten Last und auch der Unterschiede der Scanresultate zwischen verschiedenen Scankonfigurationen“ 

Moderation: Ingo Bahn, gematik

Workshop 5: „Einführung in Vulnerability Management

Moderation: Martin Herfurt, Professional Services Team, Greenbone

Wir bedanken uns bei allen Teilnehmern für ihr Kommen und freuen und bereits auf das nächste Jahr, wenn es wieder heißt: alle Karten auf den Tisch! Bei der Security Transparent 2019. Die Präsentationen können Sie mit einem Klick auf den Link kostenlos herunterladen.

Ihr Greenbone-Team

Die Greenbone Anwenderkonferenz Security Transparent findet in diesem Jahr am 8. Mai 2018 im Humboldt Carré Berlin statt. Im Fokus: Kritische Infrastrukturen und Cyber Resilience.

In diesem Jahr dreht sich auf unserer Anwenderkonferenz alles um die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) – wie Energie, Gesundheit, Wasserversorgung oder Transport und Verkehr. Unternehmen in diesen Sektoren sind die Säulen unseres Gemeinwesens und Ausfälle könnten katastrophale Folgen haben – man male sich nur die dramatischen Auswirkungen eines Zusammenbruchs der Stromversorgung aus. Im Zuge der Digitalisierung hat sich die Sorge von Regierungen um kritische Infrastrukturen noch weiter verschärft. Denn durch immer mehr und immer komplexer ablaufende digitale Prozesse hat sich auch die Angriffsfläche für Hacker enorm vergrößert.
Paradigmenwechsel: Von Cyber Security zu Cyber Resilience
Natürlich möchten Unternehmen ihre IT am liebsten zu 100 Prozent „fail-safe“ absichern. Doch dies würde sie zu unflexibel und reaktionsschwach machen. Daher forcieren wir einen Paradigmenwechsel hin zu „safe-to-fail“. Das bedeutet: Unternehmen müssen ihren Betrieb auch dann aufrechterhalten könnten, wenn ein Angriff von außen gelingt – Widerstandsfähigkeit (engl. Resilience) ist hier das Schlüsselwort. Ein Wandel von Cyber Security hin zu Cyber Resilience ist also dringend notwendig. Welche Voraussetzungen dafür nötig sind und welche Rolle Schwachstellen-Management dabei spielt – darüber möchten wir auf der Security Transparent diskutieren.
Zu Gast sind Unternehmen und Institutionen aus den Sektoren Produktion, Gesundheit, Energie, Verwaltung und Telekommunikation. Zudem freuen wir uns auf spannende Vorträge und Workshops mit folgenden Sprechern:

  • Tim Philipp Schäfers, Cyber Security Consultant OEDIV (Dr. Oetker IT)
  • Ingo Bahn, IT-Sicherheitsbeauftragter, Gematik
  • Henry Hughes, Director IT Security, Jisc (Organisation zur Förderung digitaler Technologien in Forschung und Lehre), UK
  • Markus Böger, Polizeihauptkommissar Verfassungsschutz Niedersachsen
  • Sebastian Neef, IT Solutions Neef und Internetwache
  • Martin Herfurt, Senior Professional Services Consultant Greenbone Networks

Sie möchten an der Konferenz teilnehmen? Hier geht es direkt zur Online-Anmeldung. Weitere Informationen zur Security Transparent 2018 finden Sie hier.

Wir freuen uns auf eine spannende Konferenz mit Ihnen!

Die Zahl der existierenden Bedrohungen aus dem Netz, die Millionen von Empfängern wirtschaftlichen und persönlichen Schaden zufügen, ist schier unendlich. Schadsoftware zu verfolgen ist ebenso sinnlos, wie unmöglich. Der richtige Ansatz hingegen erlaubt, die eigenen Systeme auf Schwachstellen zu überprüfen – kontinuierlich und umfassend. Das macht den Unterschied zwischen Fail-Safe und Safe-to-Fail aus.

Bringen auch Sie Ihre Netzwerke in einen Zustand der Sustainable Resilience – mit Vulnerability Management!

Der Adobe Patch Day im August dürfte in so mancher IT-Abteilung für Aufregung gesorgt haben: 80 Schwachstellen im Adobe Flashplayer, Adobe Acrobat und Reader sowie im Adobe Experience Manager, 46 davon als kritisch eingestuft. Damit ist eins klar: Das punktuelle Schließen derart gefährlicher Lücken wird den strengen Anforderungen an Datenschutz nicht gerecht.

Ein weiteres Risiko: Wie lässt sich eigentlich nachvollziehen, ob tatsächlich auf allen Geräten im Netzwerk die Update-Versionen aufgespielt wurden? Sicherheit schaffen nur regelmäßige und automatisierte Scans der kompletten Netzwerk-Umgebung mit Hilfe von Vulnerability-Management-Lösungen. Tägliche Updates beinhalten Schwachstellentests zu aktuellen Bedrohungen und Sicherheitslücken. Welche das beispielsweise aktuell sind, sehen Sie beim Blick in unseren Security Feed.

Totgesagte leben länger: Besondere Vorsicht bei End-of-Life-Technologien
Noch etwas zeigt der letzte Adobe Patch Day: Viele glauben, Flash wäre tot. Richtig und falsch zugleich. Denn entgegen aller Prognosen sind Flash und andere Technologien noch im breiten Einsatz. Gerade deshalb ist es besonders wichtig zu wissen, wo sie im eigenen Unternehmen noch Lücken aufreißen können. Auch hier sorgt ein regelmäßiger Check für Klarheit – und Sicherheit.

Datenschleuder Windows10 in der iX

Windows 10 übermittelt mehr Daten an Microsoft als Datenschutzverantwortlichen in Unternehmen lieb sein kann. Mehr dazu im Artikel unseres CTOs Lukas Grunwald in der neuen iX von heute und auf heise.de/newsticker.

Unsere Kunden können ihre Infrastruktur mit der bereitgestellten Scan-Konfiguration auf besonders redselige Windows10 Installationen hin testen. Damit können Telemetry-Einstellungen verifiziert und eine Richtlinien-Prüfung auf geschwätzige Windows10 Home bzw. Pro-Versionen oder unsichere Windows10 Enterprise-Versionen durchgeführt werden. Die Config dazu gibt es hier!

What can businesses do to guard against vulnerabilities as they bring more connected devices into their IT environments?

Source: Dyn DDoS Attack Highlights Vulnerability of IoT Devices

Willkomen auf unserer neuen Webseite. Bitte schreiben Sie uns, wenn sie Ihnen gefällt (oder nicht), falls Sie Bugs finden oder Verbesserungsvorschläge haben. Wir freuen uns auf Ihr Feedback!

News_placeit_Arm_400x151