Alles ist verbunden – Multiple Single Points of Failure

Veröffentlicht Veröffentlicht in Cloud

Von großen – im Sinn von weitreichenden – Cloudausfällen war an dieser Stelle und in den Weiten des Internets in letzter Zeit häufig zu hören. Denn je mehr der Markt reift (sprich, je mehr Unternehmen relevante Teile ihrer Infrastruktur in die Wolke verlagern) und je mehr sich der Kuchen des Cloud-Geschäfts im Wesentlichen auf eine Handvoll großer Cloudanbieter und ein paar Dutzend Security-Services-Anbieter verteilt, desto größer kann der Impact eines einzelnen Zwischenfalls sein. Nun war Cloudflare an der Reihe, dies am eigenen Astralleib zu erfahren: Ein harmlos erscheinender regulärer Ausdruck, der weltweit bösartiges „Inline“-JavaScript herausfiltern sollte, brachte die Prozessorlast sämtlicher Filter auf 100 %, sodass bei den vielen Cloudflare-Kunden für eine halbe Stunde nichts mehr ging. Dann war das Problem erkannt und die Funktion gekillt – im Gegensatz zu Google im Mai konnte Cloudflare die Managementinterfaces nämlich ohne Probleme erreichen. Hatte der DDoS- und Websecurity-Spezialist aus Kalifornien schlampig gearbeitet? Ja und nein, die neue Funktion war zwar per Knopfdruck sofort weltweit, aber immerhin nur im Testmodus ausgespielt worden, der nichts hätte blocken sollen. <Ironie>Dass die Komplexitätstheorie bei den seit Jahrzehnten als mögliche Ressourcenmonster verrufenen RegExen einen Strich durch die Rechnung machen würde, konnte ja niemand ahnen … </Ironie>

In einer überraschenden Fügung des Schicksals hätte der Ausfall beinahe ein längst in eine dunkle Flasche verbanntes Monster wiederbelebt: 2017 hatte der junge Malware-Forscher Marcus “MalwareTech” Hutchins in einem heldenhaften Einsatz (siehe Lesetipps am Ende dieses Digests) per „Sinkhole“, also eine geistesgegenwärtig reservierte Domain, der Welt den größten Teil der ersten WannaCry-Angriffswelle erspart. Diese Sinkhole-Domain erhält bis heute riesige Mengen an Anfragen von schlummernden WannaCry-Infektionen, die nachfragen, wann sie denn nun endlich losschlagen sollen.Später wurde ebendiese pro bono (und natürlich für den Werbeeffekt) von Cloudflare übernommen – und war seither nie down. Um ein Haar hätte der Cloudflare-Ausfall also ein Heer von Schläfern erweckt, die Schäden von hunderten Millionen hätten verursachen können. Glücklicherweise genügte die immerhin noch ausgelieferte Fehlermeldung (HTTP-Code 502), um die Viren zu beruhigen. Sie schlummern also weiter auf unseren ungepatchten Systemen und laben sich an unseren technischen Altlasten …

Sicher in die Wolken

Veröffentlicht Veröffentlicht in Cloud

Immer mehr Unternehmen nutzen sie heute. Doch nur wenige wagen bisher den Schritt, ihre Kerngeschäftsprozesse komplett in die Cloud zu verschieben. HiSolutions unterstützt die Lufthansa bei der sicheren Migration.

Abdou-Naby Diaw, Deutsche Lufthansa AG, & Timo Kob, HiSolutions AG: Sicher in die Wolken. Wie HiSolutions die Lufthansa Group beim Weg in die Cloud unterstützt, in: <kes>  Special Sicheres Cloud-Computing, Februar 2019. [PDF]

Firmen buhlen um IT-Sicherheitsfachkräfte

Veröffentlicht Schreibe einen KommentarVeröffentlicht in Weiterbildung

Einzelmaßnahmen werden nicht ausreichen.

„Der deutsche Security-Markt steht aktuell unter den Zeichen eines akuten Fachkräftemangels und der neuen Datenschutz-Grundverordnung DSGVO“

ISG Provider Lens™ Study – Cyber Security Solutions & Services 2019

Seit Jahren zeichnet sich ein Defizit an Sicherheitsfachleuten ab – nicht nur in Deutschland, sondern weltweit. So prognostiziert ISC² in seiner aktuellen Cybersecurity Workforce Studie:

„The Asia/Pacific region is suffering from the largest shortfall of about 2.14 million with North America having the next biggest need with 498,000 workers needed, then EMEA at 142,000 and Latin America at 136,000.“

(ISC)² Cybersecurity Workforce Study 2018

Firmen und Organisationen versuchen nun, diese Lücken individuell zu schließen. Dazu gehören Ersatzmaßnahmen wie Bug-Bounty-Programme, bei denen die Organisation die Suche und Identifikation von Sicherheitslücken an Dritte verlagert.

Weitere Aktionen zielen auf die Identifikation und Förderung von Nachwuchs im Rahmen von Hacking-Wettbewerben oder Einrichtung von Center of Expertise.

All diese Maßnahmen zielen primär auf eher technisch orientierte Mitarbeiter, z. B. Penetrationstester oder Softwareentwickler. Dabei werden in Sicherheitsumfeld noch weitere Experten gesucht, z. B. Spezialisten, die ein unternehmensweite Sicherheitsmanagement konzeptionieren, dokumentieren und im laufenden Betrieb pflegen oder Generalisten, die die gefundenen Schwachstellen mit den betrieblichen Belangen in Zusammenhang bringen und die sich daraus ergebenden Risiken bewerten.
Hinzu kommt noch, dass die Aufgaben und Anforderungen an eine Sicherheitsfachkraft in der Firma A unterschiedlich zu denen in Firma B sind, auch wenn die Stellenbeschreibungen und Stellentitel durchaus identisch klingen.

Andere Wege werden nun in den USA eingeschlagen. In der NIST Special Publication SP 800-181 wird im Rahmen der National Initiative for Cybersecurity Education (NICE) ein umfangreiches „Cybersecurity Workforce Framework beschrieben, das im Detail die Bereiche, Rollenbezeichnungen und Aufgaben der verschiedenen Rollen in einer Security-Organisation beschreibt. Weiterhin sind zu jeder dieser Rolle auch das erforderliche Wissen und die Fähigkeiten aufgelistet.

Diese umfangreiche Standardisierung soll es einmal den Arbeitgebern erleichtern, die internen Positionen mit geeignetem Personal zu besetzen.
Gleichzeitig wird den Mitarbeitern und Ausbildungsinstitutionen die erforderlichen Anforderungen an bestimmte Rollen eindeutig mitgeteilt, so dass sich potentielle Kandidaten bereits im Vorfeld entsprechen schulen können und sich idealerweise nur für die Positionen bewerben, die ihrem Wissen und den Fähigkeiten entsprechen.

Mit diesem Framework ergeben sich nun vielfältige Möglichkeiten und Vorteile für alle Beteiligten. Ein Beispiel für das Einsatzfeld der Informationen aus dem NICE Framework finden sich auf dem Portal von Cyberseek.org. Dieses Portal stellt Arbeitgebern und Stellensuchenden, aber auch Ausbildungsstätten und anderen Interessierten verwertbare Informationen über den Cybersecurity-Stellenmarkt (in den USA) zur Verfügung.

Dazu bietet das Portal im Moment zwei interaktive Anwendungen:

  1. Cybersecurity Career Pathway – informiert den Interessenten über typische Cybersecurity-Rollen und die dazugehörigen Karrieremöglichkeiten inklusive aktuell offene Positionen und Durchschnittsgehalt auf Basis des NICE-Frameworks.
  2. Cybersecurity Workforce Heat Map – gibt dem Stellensuchendem einen geographischen Überblick über den Stellenmarkt und gesuchte Positionen inklusive den dazugehörigen Fähigkeiten auf Basis des NICE-Frameworks.

Cybersecurity Supply/Demand Heat Map (CyberSeek)

Fazit

Um den Fachkräftemangel im IT-Security-Umfeld zu minimieren, bedarf es zuerst einer einheitlichen Definition der Aufgaben, Fähigkeiten und Fertigkeiten. Dieser Standard kann dynamisch erweitert werden und als Basis für weitere Anwendungen genutzt werden, was sowohl den Organisationen, aber auch den stellensuchenden Interessenten entgegenkommt.

Race Against The Machine – Will ML Help Or Harm Security?

Veröffentlicht Schreibe einen KommentarVeröffentlicht in KI/ML, Veranstaltungen

Vortrag von David Fuhr, Head of Research bei HiSolutions, bei der M³ (Minds Mastering Machines), London, 16.10.2018

Machine Learning is being applied in many use cases of information technology, with varying, but sometimes mind-blowing success. Like any emerging tech, it can be used for better or worse when it comes to “cyber”.

The talk will examine the relations between ML and security:

  • What security risks lie in the use of ML?
  • Where and how can ML help attackers? Where not? And why (not)?
  • Where and how can ML help defenders? Where not? And why (not)?
  • What attack vectors on ML itself exist? Can these be countered with ML?
  • Only understanding the complex interrelation between different aspects of security and ML will allow us to create and use a technology that is beneficial in the end.

Required audience experience: Basic knowledge of ML is helpful as is an interest in cybersecurity.

Objective of the talk

The audience will:

  • Get a notion of the basic objectives of cybersecurity that are linked to ML
  • Develop a deeper understanding of classes of attack (red) and defense (blue) techniques and the way the can or cannot be enhanced with ML
  • Get an insight into security risks of ML itself

PowerPoint Slides

Konzernweite Steuerung des Cyberrisikos bei innogy

Veröffentlicht Schreibe einen KommentarVeröffentlicht in Risikomanagement

Top-down Cyber-Risk-Assessment by HiSolutions

Die Bestimmung des unternehmensweiten Cyberrisikos ist eine wichtige Voraussetzung für eine ganzheitliche Bewertung und globale Steuerung, um die Verteidigung verbessern und den Ressourceneinsatz optimieren zu können. HiSolutions hat mit innogy ein Top-down Cyber-Risk-Assessment-Vorgehen entwickelt, das einen aktuellen, zentralen und aggregierten Überblick über den gesamten Konzern inklusive aller Töchter ermöglicht und so als wertvoller Input für die Cybersicherheitsstrategie dient.

Von David Fuhr, HiSolutions AG und Thomas Krauhausen, innogy SE

Die stetig zunehmende IT-Bedrohungslage lässt die Steuerung von Cyberrisiken immer wichtiger werden. Viele Unternehmen verfügen bereits über Methoden, um Schutzbedarf, Business Impact oder Restrisiken bestimmter Assets – einer Anwendung, einer Datenbank, eines Rechenzentrums – zu bewerten. Sehr häufig jedoch fließen die verschiedenen Ansätze, Skalen und Methoden nicht in ein kohärentes Gesamtbild ein. Es fehlt in der Regel ein konzernweiter, einheitlicher Blick auf das Cyberrisiko. Ein solcher wird jedoch heute zunehmend von Aufsichtsgremien, Regulierern, Wirtschaftsprüfern oder auch von externen Partnern wie etwa Cyberversicherern verlangt. Vor allem aber besteht ohne ein zentrales Cyber-Risk-Assessment die Gefahr, dass Ressourcen falsch allokiert werden oder nicht schlüssig begründet werden können.

Für die innogy SE ist das Thema Cybersicherheit eines der zentralen, um die Zukunftssicherheit der Netze und erneuerbaren Energien für 23 Millionen Kunden in Europa sicherzustellen. innogy ist das führende deutsche Energieunternehmen mit einem Umsatz von rund 44 Milliarden Euro (2016), mehr als 40 000 Mitarbeitern und Aktivitäten in 16 europäischen Ländern. Informationssicherheit hat für innogy von Beginn an Priorität. So wurde etwa neben dem großflächigen Ausrollen von Informationssicherheitsmanagement (ISM) und der erfolgreichen externen Zertifizierung nach IT-Sicherheitsgesetz und Sicherheitskatalog der Bundesnetzagentur auch ein Projekt zur Bestimmung des Umsetzungs- und Reifegrades der ISO 27001 durch die Konzernsicherheit der innogy entwickelt.

Cyber-Risk-Assessment

Was bisher noch fehlte, war eine zentrale, aggregierte und operationalisierbare Sicht auf das Cyberrisiko in allen Bereichen des Konzerns inklusive der Töchter. Zu dem Zweck haben innogy und HiSolutions gemeinsam eine szenariobasierte Methodik für ein Cyber-Risk-Assessment entwickelt und durchgeführt, als deren Herzstück Interviews mit den Top-50-Risikoträgern im Konzern fungierten. Darüber hinaus flossen Risiko- und Assetbewertungen aus unterschiedlichen Quellen in die automatisierte Aggregation und Bewertung mit ein. Die Cybersecurity-Experten der innogy Konzernsicherheit bewerteten daraufhin als zentralen Arbeitsschritt die Eintrittswahrscheinlichkeit wesentlicher Gefährdungsszenarien – auch auf der Basis der Erkenntnisse bereits durchgeführter Sicherheitsprojekte. Die Analyse mündete in einer automatischen Auswertung und Darstellung nach Schutzziel, Risikotyp, Segment, Land, Sparte, IT-Dienstleister etc. Als Besonderheit wurde zusätzlich auch die Verteilung der Datenschutzrisiken nach DS-GVO im Konzern ermittelt und dargestellt. Das Managementtaugliche Reporting für die Stakeholdergremien wurde ebenfalls teilautomatisiert, ohne die Notwendigkeit teurer spezieller Softwarelösungen.

Cyber-Strategie

Klassischerweise wurde IT-Security vor allem bottom-up aus der IT heraus angegangen. Zwar schreiben Standards wie ISO 27001 oder IT-Grundschutz eine Verankerung des Sicherheitsprozesses in der Leitungsebene vor, die geeignete und ausreichende Ressourcen bereitzustellen hat. Gelegentlich wird auch eine Integration von IT-Risiken in das Enterprise Risk Management angestrebt. In aller Regel wird jedoch die IT-Sicherheit traditionell weiterhin von „unten“ betrieben. Dies macht es aufwendig, IT-Risiken global und gleichzeitig agil zu steuern – und die effektive Unterstützung der Geschäftsziele durch das Sicherheitskonzept zum Glücksspiel. Die übliche Folge: Die Security wird ausschließlich als Bremserin wahrgenommen; um Budget muss gerungen werden und höchstens nach Vorfällen herrscht kurzfristiger Aktionismus, der nicht nachhaltig ist. Reine Lippenbekenntnisse von „Management Commitment“ und „Security als Enabler“ allein helfen hier nicht weiter.
Vielmehr muss Cyber-Security in Form einer Cyber-Sicherheitsstrategie integraler Teil der Unternehmensstrategie werden, um optimal zum Geschäftserfolg beitragen zu können. Das Cyber-Risk-Assessment bei innogy liefert hierzu die ideale Basis.

„Durch das Cyber-Risk-Assessment schaffen wir bei unseren Führungskräften die erforderliche Transparenz über die wesentlichen Cyberrisiken und unterstützen so direkt die Digitalisierungsstrategie unseres Konzerns. Zusammen mit unserer tool-basierten Reifegradmessung bildet es die Grundlage unserer Cyber-Sicherheitsstrategie.“ – Florian Haacke, CSO, innogy SE

Das Cyber-Risk-Assessment benötigt vielerlei Input und dient als Basis einer erfolgreichen Cyberstrategie.

Die HiSolutions-Risikobewertungs-Methodik

Klassisch wird Risiko definiert als Eintrittswahrscheinlichkeit x Schadenshöhe (Worst Case) in den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit. HiSolutions nimmt weitere Dimensionen in den Blick, um ein realistischeres Ergebnis mit höherer Aussagekraft zu erhalten: Schutzziele sind nicht unabhängig voneinander: Höhere Verfügbarkeit etwa kann die Vertraulichkeit gefährden und umgekehrt. Die Vertraulichkeit von Kryptoschlüsseln etwa sichert die Integrität von Nutzdaten. Dies ist in die Berechnung und Behandlung systematisch einzubeziehen. Assets sind in der Regel durch verschiedene Schadensszenarien mit unterschiedlichen Wahrscheinlichkeiten und Schäden bedroht, das Risiko somit nicht nur ein Produkt von zwei Zahlen, sondern eine Summe beziehungsweise ein Integral. Wahrscheinlichkeiten wie mögliche Schadenshöhen ändern sich zudem stetig. Das erfordert aktuelle Daten (möglichst in Echtzeit) als Entscheidungsgrundlage. Die Schadensbewertung hat selbst einen zeitlichen Aspekt: Klar ist, dass ein längerer Ausfall in der Regel teurer wird. Aber auch bei manipulierten Daten ist entscheidend, wann sie wieder benötigt werden und wie lange die Korrektur dauert. „Schwarze Schwäne“ – sehr unwahrscheinliche, teure Schadensereignisse – müssen aus der Betrachtung ausgeschlossen werden, da sonst die Berechnung beliebig wird. Das sollte bewusst und dokumentiert erfolgen. Unterschiedliche Organisationen (z. B. Tochterunternehmen), Organisationseinheiten und Stakeholder benötigen ggf. maßgeschneiderte Blicke (Auswertungen) der Risikolandschaft. Das alles lässt sich nur abbilden in einem formelbasierten Risikomodell mit Auswertungsautomatisierung. Die Risikobewertungs-Methodik von HiSolutions erlaubt es, den Überblick über die Methode und über die Ergebnisse zu behalten.