Wien (24.04.2023) –
Der Stellenwert der Informationssicherheit ist vielen mittlerweile bewusst, aber wie man sichere Systeme betreibt, ist oft nicht offensichtlich. Der Grund liegt am Defizit von echten Verteidigungsmaßnahmen. Das mag paradox klingen, aber sehr viele Produkte am Markt beschäftigen sich mit den Tätigkeiten nach einem erfolgreichen Angriff. Die Verhinderung von Angriffen wird meist ignoriert. Die diesjährige DeepSec Konferenz möchte daher etwas Nachhilfe bei digitalen Verteidigungsmaßnahmen leisten.
Feuerlöscher statt Brandschutz
Zur Illustration soll ein einfaches Szenario dienen. Man stelle sich vor, dass ein Unternehmen in den Büroräumen aus historischen Gründen brennbares Material anhäuft. Gewachsene Abläufe führen dazu, dass immer mehr Gefahrenstoffe in den Räumlichkeiten erteilt werden. Platz ist genug da. Als Sicherheitsmaßnahme schafft man nun immer mehr Feuerlöscher an und verteilt sie gleichmäßig in allen Liegenschaften. Darüber hinaus stattet man alle Räume mit Sensoren aus und legt überall Notruftelefone aus. Prozesse, um das Gefahrengut zu reduzieren, räumlich getrennt von der anderen Infrastruktur zu lagern oder gar zu ersetzen werden nicht erstellt. Ist man damit für die Zukunft gerüstet? Die Antwort dürfte klar sein.
Betrachtet man nun beliebte und beworbene Lösungen, so findet man Filtersysteme für gefährliche Daten und Schadsoftware, zentrale Auswertung von Logdaten, Mechanismen zur Schadensbegrenzung nach erfolgreichen Angriffen und Vorgehensweisen zur forensischen Analyse von Vorfällen. Der Fokus liegt auf den Auswirkungen nach einer Attacke. Natürlich ist die Stärkung von Schwachpunkten auch Teil von Best-Practice-Maßnahmen, aber Verteidigung kann viel mehr leisten, wenn verwundbare P rozesse eliminiert und Schwachstellen entfernt werden. Dieser Schritt ist zwar nachhaltig, aber erfordert einen höheren Aufwand. Speziell bei Prozessen, die eng am Kern einer Unternehmung stehen oder starke Kopplung an Abhängigkeiten haben, ist die Implementation nicht leicht.
Vorbild Secure Design
Man kann sich Inspiration im Vorgehen bei der Softwareentwicklung holen. Es gibt Szenarien, die sich selbst mit den besten Methoden nicht absichern lassen, weil die falschen Komponenten verwendet werden. Es gibt auch Systeme, die zu alt sind und daher nicht als Basis für sensitive Applikationen dienen können. Der Erstellung von sicherem Code geht daher das sogenannte Secure Design voraus. Noch vor der ersten Zeile Quellcode wird die Architektur der Anwendung entworfen. Dieser Vorgang ist natürlich bei komplett neuen Entwürfen einfacher als bei Erweiterungen bestehender Programme.
Man muss jedoch auch bei Umbauten manchmal in bewährte Prozesse eingreifen, um Verbesserungen zu erreichen. Ein ganz wichtiger Punkt hierbei: Es geht nicht um veraltete Technologien. Beispielsweise sind einige Verschlüsselungsalgorithmen gealtert und wurden durch Neue ersetzt. Das ist eine technische Notwendigkeit, die mit sicherem Design nur bedingt zu tun hat. Secure Design setzt sich zum Ziel Schwachstellen gar nicht erst entstehen zu lassen oder unsichere Vorgehensweisen auszuschließen. Das ist die Theorie, die auch gerne als Werbeslogan herhalten muss. Tatsächlich wird Secure Design aber gerne nur dort umgesetzt, wo man fundamentale Prozesse in der eigenen Organisation nicht hinterfragen muss. Bestes Beispiel dafür ist der stetige Strom von Ransomware-Angriffen, die bisher noch keinen grundlegenden Wechsel der betroffenen Produkte oder internen Prozesse zur Verarbeitung von Daten herbeigeführt haben.
Digitales Klebeband ist keine Verteidigung
Ein gutes Sicherheitsdesign verhindert riskante Szenarien von Anfang an. Entwirft man eine Infrastruktur oder eine Applikation komplett neu, so lassen sich bewusst Entscheidungen für die Sicherheit treffen. In gewachsenen Strukturen fällt das schwer. Beispielsweise hinterlassen Logins in bestimmten Single Sign-On (SSO)-Systemen Spuren bzw. kodierte Informationen, die Angreifende ausnutzen können. Auf diese Weise kann ein Einbruch auf einem einzelnen Computer eine ganze Abteilung oder Firma beeinträchtigen. Dadurch hat sich das Konzept der Zwei- oder Mehrfaktorauthentisierung (2FA oder MFA) als Empfehlung entwickelt. Natürlich ist eine stärkere Authentisierung nie schlecht, aber die Empfehlung deutet auf eine systemische Schwachstelle im eigentlichen System hin.
Eine nachhaltige Verteidigung müsste eigentlich die Ursache der Problems beseitigen und kein 2FA/MFA-Klebeband über die Lücken legen. Dasselbe Spiel findet sich bei biometrischen Zusätzen für Loginprozesse wieder. Sicherheitsexpertinnen und -experten raten bei erfolgreichen Angriffen immer dazu, dass Betroffene die Logininformationen ändern. Gemeint sind damit Passworte, aber bei Biometrie kommt zum Login noch eine unveränderliche Eigenschaft des eigenen Körpers dazu. Das kann man aber nicht ändern. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt noch dazu, dass man nur ein biometrisches Merkmal pro Konto verwenden soll. In Summe kann man also geschätzte 13 Konten mit Biometrie versehen (10 Fingerabdrücke, Iris, Handvenen, Gesichtserkennung). Dabei darf nur eine Methode pro Konto verwendet werden. Bei ausreichend erfolgreichen Angriffen wird dann die Auswahl entsprechend kleiner.
Nachhaltigkeit als Sicherheitskonzepts
Der Begriff der Nachhaltigkeit wird gerne irreführend verwendet. Die Idee stammt aus der Ökologie. Übertragen auf die Informationssicherheit ist damit gemeint, dass getroffene Sicherheitsmaßnahmen ohne einen regelmäßigen Aufwand einen dauerhaften Schutz bieten. Echtes Secure Coding, also die sichere Programmierung von Applikationen, ist ein Beispiel. Dort ist während der Entwicklung oder Überarbeitung Aufwand notwendig, um den Code dann zukünftig sicher in Betrieb zu nehmen. Nachhaltige Verbesserungen haben eines gemeinsam: Sie sind unbequem und rütteln an althergebrachten Gewohnheiten, sprich Geschäftsprozessen, die man lieber nicht ändern oder austauschen möchte.
Die diesjährige DeepSec Konferenz widmet sich zum wiederholten Mal nachhaltigen Sicherheitskonzepten. Schon bei der ersten Veranstaltung im Jahre 2007 wurden kaum hinterfragte Annahmen über die IT von Firmen auf die Probe gestellt und verbesserte Konzepte entworfen. Beispielsweise gab es 2007 in einem Vortrag einen Bericht über eine Firma, die über 10.000 Arbeitsplätze für die Verwendung im und außerhalb des Unternehmens abgesichert hat. Angestellte konnten ihren Laptop an beliebigen Orten verwenden, und die Sicherheitskonfiguration war immer transparent aktiv. Die Unterscheidung zwischen externem und internen Netzwerk war nicht mehr notwendig. Die Präsentation war ein Erfahrungs- und Erfolgsbericht. Eine wirksame digitale Verteidigung kommt ohne den Austausch mit anderen nicht aus.
Programme und Buchung
Die DeepSec 2023-Konferenztage sind am 16. und 17. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 14. und 15. November statt. Alle Trainings (bis auf angekündigte Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von möglichen zukünftigen Ereignissen teilweise oder komplett virtuell stattfinden. Für registrierte Teilnehmer und Teilnehmerinnen wird es einen Stream der Vorträge auf unserer Internetplattform geben. Die DeepINTEL Security Intelligence Konferenz findet am 15. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm an unsere Kontaktadressen. Wir dafür stellen starke Ende-zu-Ende Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html
Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermässigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
DeepSec GmbH
René Pfeiffer,
deepsec@deepsec.net
Comments are closed, but trackbacks and pingbacks are open.