Reaktiv reicht nicht für 5G

| Redakteur: Jürgen Schreier

Sergey Epp ist Chief Security Officer von Palo Alto Networks, zuständig für Zentraleuropa.
Sergey Epp ist Chief Security Officer von Palo Alto Networks, zuständig für Zentraleuropa. (Bild: Palo Alto Networks)

Über den Status quo der industriellen Sicherheit, neu entstehende Angriffsflächen durch 5G-Netze und die Rolle von KI und Machine Learning sprachen wir mit Sergey Epp, Chief Security Officer von Palo Alto Networks (Zentraleuropa).

Herr Epp, wie beurteilen Sie die aktuelle Bedrohungslage, sagen wir mal bundesweit, aber speziell für die Industrie?

Epp: Generell sehe ich drei große internationale Trends, die man im Auge behalten sollte. Der wichtigste, aber keinesfalls neue Aspekt ist meiner Meinung nach die zunehmende Automatisierung der Angriffe, um eine größere Anzahl an Rechnern zu infizieren. Noch nach zehn Jahren verursacht eine Malware wie z.B. Conficker täglich zahlreiche Infektionen. Mittlerweile setzen die Angreifer zusätzlich auf Robustheit und Autonomie ihrer Software, was es Unternehmen schwerer macht, deren Infrastruktur zu greifen und die Botnetze zu eliminieren. Die Aufgabe lautet, wenn Sie so wollen: Automatisiert Automatismen bekämpfen.

Der zweite Punkt ist die zunehmende Komplexität: Mittlerweile sind Chips so günstig, dass Hersteller in nahezu jedem Gerät Konnektivitäts-Möglichkeiten verbauen, sei es 5G oder WiFi. Diese größere Angriffsfläche geht einher mit einer erhöhten Komplexität, da neue Protokolle entstehen und auch dort wiederum neue Entwicklungen stattfinden und somit neue potentielle Einfallstore entstehen.

Schließlich die geopolitische Situation: In den letzten Jahrzehnten wurden in breiten Teilen der Welt erstmalig teils sehr gute Bildung und Technologie zugänglich, ich denke beispielsweise an Informatik-Vorlesungen aus Stanford, die man sich gratis herunterladen kann. Nicht überall bekamen die Menschen aber die Möglichkeit, damit etwas anzufangen und sei es nun um das Überleben zu sichern oder sich einen besseren Lebensstandard zu leisten: es war dann leider nicht selten ein erster Schritt in die Cyberkriminalität. Ein Beispiel sind die Silver Terrier-Attacken, die unser Anti- Malware Team „Unit 42“ seit vielen Jahren aus Nigeria beobachtet.

Welche Industrie-, beziehungsweise Wirtschaftszweige stehen im Mittelpunkt von Angriffen?

Epp: Historisch gesehen wäre da als erstes die Finanzindustrie zu nennen, und sie wird ein beliebtes Ziel bleiben – einfach weil dort das Geld liegt. Waren es in den Anfängen aber noch die Kunden, auf die die Angriffe zielten, zeichnet sich in den letzten fünf Jahren ein Trend in Richtung gezielterer Angriffe auf Infrastrukturen, beispielsweise Buchhaltungssysteme ab. Auch hier beobachten wir eine zunehmende Automatisierung, die man durchaus aus dem Niveau der Bildung der Angreifer herleiten kann. Man hat Know-how aufgebaut und überträgt die Taktik in der Breite auf die Industrie, wo ähnliche Buchhaltungssysteme genutzt werden.

Ein weiterer Trend ist Ransomware, also Erpressungssoftware, die uns beim Thema IoT sehr stark begleiten wird. Die ersten öffentlich gemachten Fälle gab es ja schon, ich denke aber vor allem an die Industrien, die jetzt erst online gehen. Dazu zähle ich zum Teil das Manufacturing, da dort viele Geräte eben noch nicht online sind. In diesem Kontext spreche ich nicht von Ransomware, die breitflächig gestreut wird. Wir werden gezielte Attacken auf bestimmte Industrien oder Unternehmen erleben. Diese Angriffe sind deutlich raffinierter, können durchaus ganze Produktionen lahmlegen und Unternehmen sehr, sehr wehtun.

Sie sprechen von automatisierten Angriffen – ist Machine Learning (ML) bereits im Spiel?

Epp: Sicher – auch wenn wir bis jetzt keine Schadsoftware beobachten konnten, die Machine Learning für böswillige Zwecke eingesetzt hat. Es gibt aber viele Testversuche und Forschungsprojekte, die sich ML-technisch mit Cybersecurity beschäftigt haben – sowohl auf Angreifer- als auch auf Verteidigerseite. Ein Beispiel: Ich kann heute relativ leicht Trainingsdaten aus sogenannten Bibliotheken herunterladen und eine Stimme oder auch ein Gesicht synthetisch bzw. digital erzeugen. Dazu braucht es lediglich eine GPU mit genügend Rechenpower. Der CEO-Fraud fällt deutlich leichter, wenn ich als täuschend echter „Chef“ meinen Mitarbeiter anrufe und um eine Überweisung bitte.

Es tun sich auch andere Szenarien auf, mit denen Sicherheitslücken noch einfacher gefunden werden können. Beispielsweise autonome, missionsfokussierte Schadsoftware, der man nur eine Zielkonfiguration gibt: „Dein Ziel ist Sabotage: versuche so viele Unternehmen in einem bestimmten Segment oder Land zu finden wie möglich.“ Hier sind erste Feldversuche zu beobachten.

Virenscanner versprechen da wenig Abhilfe...

Epp: Ich beobachte eine zu starke Fokussierung auf die Gefahren in der Sicherheitsindustrie, während präventives Vorgehen vernachlässigt wird. Einer Studie von VMware zufolge wird zu 80 Prozent in reaktive Software investiert, auch 72 Prozent des Risikokapitals gehen noch dorthin. Diese schafft dann mehr Alarme, die wiederum von Menschen analysiert und bearbeitet werden müssen. Wir haben aber nicht nur zu wenig Experten, auch die Anzahl der Alarme ist schlicht zu hoch. Viele gehackte Großunternehmen der letzten zwei Jahre hatten zwar Warnungen bekommen aber nicht reagiert, weil sie diese falsch interpretiert haben. Wir sollten uns also mehr auf präventive Sicherheit konzentrieren. Das fängt ganz banal bei Patches und Identity & Access Management an, wir brauchen aber auch präventive, automatisierte Systeme, die Sicherheitsdisziplin-übergreifend arbeiten – am Endpoint, in der Cloud und im Netzwerk – um Angriffe vorab zu stoppen.

Wie sieht das in der Praxis aus?

Epp: Wir profitieren bei Palo Alto Networks heute davon, die Architektur der Next Generation Firewall sehr offen gestaltet zu haben. Auch in den darauf aufbauenden Evolutionsstufen haben wir sämtliche Software, die wir entwickelt oder zugekauft haben – sei es im Netzwerk-, Cloud- oder Endpointbereich – sehr offen integriert und gestaltet. Das bringt zwei Vorteile: Zum einen lässt sich die Software so relativ leicht automatisieren, falls die Unternehmen noch auf traditionelle Endpoint-Lösungen setzen und Ihre Business-Management-Maßnahmen anschließen wollen. Zum anderen bietet uns das die Möglichkeit, eine vollumfassende Plattform anzubieten, die von Grund auf für Automatisierung ausgelegt ist. Sämtliche Logdateien und Telemetriedaten können jetzt in der Cloud analysiert werden, separiert von der Infrastruktur, dem Security-Stack des Unternehmens. Das ist wichtig, weil viele Angriffe das Ziel verfolgen, die gesamte Infrastruktur auszulöschen. Und um auf die Bibliotheken zurückzukommen: Perspektivisch erreichen wir durch das Leben des Plattform-Gedankens auch die für KI-Analysen notwendige kritische Masse an Daten, ab der wir mithilfe von Machine Learning erfolgreich gegen Bedrohungen vorgehen können.

Ist 5G der sicherste Standard überhaupt, oder verändern sich nur die Herausforderungen?

Epp: Als ehemaliger Software-Entwickler kann ich zunächst nur sagen, dass es sehr schwierig ist, Bugs in Protokollen oder Sicherheitsstandards zu vermeiden und es selbst nach jahrelangem Probieren und Testen keine 100-prozentige Sicherheit gibt. Auch bei 5G-Protokollen wurden, genau wie bei 3G und 4G schon erste Schwachstellen entdeckt.

Tendenziell werden wir eine Verschmelzung verschiedener Anwendungsfälle, verschiedener industrieller und privater Protokolle sehen, bei dem das herkömmliche WiFi schrittweise abgelöst wird. Auf der anderen Seite steht ein Mangel an Kompetenz und Ressourcen, die größere Bandbreite der Angriffsmöglichkeiten zu erkennen und entsprechend darauf zu reagieren. Die Gefahr ist, dass wir dementsprechend die Angriffsflächen mit 5G erweitern und neue Lücken öffnen, anstatt diese Schwachstellen zu schließen.

Also bieten auch Private Clouds zu wenig Privatsphäre?

Epp: Es kommt natürlich auf die Architektur an, ich kann mir aber keine produktiven Netze vorstellen, die vollständig isoliert sind – da ist noch einiges in der Schwebe. Das eigentliche Problem ist, dass viele Provider weltweit die Analyse der Verkehrsdaten noch nicht als Fokusthema identifiziert haben; schlicht, weil gefühlt keine große Gefahr droht. Ein abgehörtes Telefonat ist quasi „hinnehmbar“. Wenn nun aber ein Fahrzeug oder ein Herzschrittmacher gekapert wird, stehen Menschenleben auf dem Spiel. Die gesamte Diskussion um Cybersicherheit wird sich ändern müssen, denn diese wird zur Voraussetzung für alles Kommende. Klar ist aber auch: Die großen Public Cloud-Anbieter investieren immense Summen um ihre Infrastrukturen sicher zu machen.

Ist der Wandel im Verantwortungsbewusstsein der Netzbetreiber erkennbar?

Epp: Das Thema Sicherheit haben die Netzwerkbetreiber auf jeden Fall auf dem Radar. Die Frage ist vielmehr, als was sie es sehen – als Vorteil zur Marktdifferenzierung, oder als Feature, das sich zusätzlich verkaufen lässt. Wir beobachten beides: Auf der einen Seite die, die auf Connected Devices, Connected Cars setzen oder Use-Cases in der Industrie abdecken wollen; aber auch Betreiber, die eher ein Feature darin sehen – vielleicht, weil Kostendruck besteht oder aber auch … ja, andere Prioritäten im Vordergrund stehen.

Lesetipp: Next Industry-Ausgabe Cyber-Security

Das Interview mit Sergey Epp ist ursprünglich in der aktuellen Ausgabe von "Next Industry " erschienen. Die Vernetzung von Maschinen eröffnet enorme aber auch unbekannte Möglichkeiten – für Anwender, aber auch für potenzielle Angreifer. Wie müssen wir IT-Sicherheit neu definieren, um den Katastrophenfall zu verhindern? Die Autoren der Ausgabe 4/2019 diskutieren die aktuellen Bedrohungen und präsentieren die passenden Abwehrstrategien.

Dem Thema Cybersecurity widmet sich auch Next Industry Experttalk „Challenge Cyber-Security for Industry 4.0“ am 10. Oktober in Nürnberg. Mit einer Auswahl an hochkarätigen IT-Security Insidern, Unternehmern und Best-Practice Experten, die vor den gleichen Herausforderungen stehen wie Sie, konzentrieren wir uns auf die Zukunft der digitalen Unternehmenssicherheit, die Zunahme von Social Engineering-Bedrohungen und innovative Wege und Strategien zur Bewältigung verschiedener Sicherheitsherausforderungen. Lernen Sie, das Undenkbare zu denken, um besser auf Katastrophen vorbereitet zu sein.

Grünen-Politiker Krischer zur 5G-Versteigerung: „Schon heute verschimmeln 4 Mrd. Euro in Förderprogrammen“

Gastkommentar

Grünen-Politiker Krischer zur 5G-Versteigerung: „Schon heute verschimmeln 4 Mrd. Euro in Förderprogrammen“

26.06.19 - Über 6,5 Mrd. Euro müssen die vier erfolgreichen Bieter für die versteigerten Frequenzblöcke im Sub-6-GHz-Band zahlen. Der damit finanzierte Digitalpakt unterstützt primär schnelles Internet per Glasfaser. Das hilft nicht beim Stopfen der Funklöcher im ländlichen Raum und beim Aufbau eines leistungsstarken 5G-Mobilfunknetzes, sagt Oliver Krischer von den Grünen. lesen

Erste 5G-Felderfahrungen in Verkehr und Fabrik

Erste 5G-Felderfahrungen in Verkehr und Fabrik

28.03.19 - Noch sind nicht alle 5G-Lizenzen verteilt. Doch inzwischen gibt es schon einige Felder, auf denen die Technologie praktisch erprobt wird. Der wohl umfangreichste Feldversuch findet entlang der A9 statt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46056812 / 5G Mobilfunk)