SAP on Azure mit Alegri

Experten-Interview zum Datenklau

In den letzten Wochen wurde bekannt, dass ein 20-jähriger Jugendlicher mit üblichen Angriffsmethoden wie Social Engineering Daten aus der Intimsphäre von Politikern und prominenten Personen erbeuten konnte. Diese wurden über einen Twitteraccount als eine Art Adventskalender um die Festtage veröffentlicht.

Angriffe auf Unternehmen und das Ausspionieren von Unternehmensdaten sind ernstzunehmende Themen, die in der Regel nicht von sogenannten „Skriptkiddies“, sondern eher durch gut organisierte Vereinigungen durchgeführt werden. Diese wollen Geld erpressen oder Datensätze erbeuten, die sie wiederum auf dem Schwarzmarkt oder an den Auftraggeber verkaufen.

Die Telekom AG hat schon vor einiger Zeit einen Sicherheitstacho zur Verfügung gestellt, der auf Basis mehrerer Honeypots funktioniert und Angriffe aufzeichnet. Als Honeypots werden spezielle Systeme bezeichnet, die es ermöglichen, in einer abgesicherten Umgebung Angriffe zu analysieren.

In erster Linie geht es darum, die IP des Unternehmens zu schützen, also den Wissensvorsprung und die Erfahrung, die Sie und Ihr Unternehmen erfolgreich machen und von der Konkurrenz absetzen. Wie Sie Ihre Daten vor Angreifern optimal schützen können, erläutern unsere beiden Experten Thomas Janetscheck und Raphael Köllner in unserem Experteninterview:

Thomas Janetscheck – Lead Consultant, Devoteam | Alegri

Tom Janetscheck verfügt über eine mehr als 15-jährige Erfahrung im Betrieb von IT-Infrastrukturen im Unternehmenskontext. Seinen fachlichen Schwerpunkt legt er dabei seit einigen Jahren auf den Betrieb und die Absicherung hybrider Cloud-Umgebungen mit Microsoft Azure. Für unsere Kunden ist Tom als technischer Architekt Ansprechpartner für die Planung und die Einführung komplexer IT-Infrastrukturlösungen basierend auf Microsoft Azure.

Als international anerkannter Konferenzsprecher, Autor und Organisator von Community-Konferenzen und User Groups bringt der Microsoft MVP seine Erfahrung regelmäßig in technischen Communities ein.

Raphael Köllner – Lead Consultant, Devoteam | Alegri

Raphael Köllner verfügt über eine mehr als 15-jährige Erfahrung im Bereich Modern Workplace in Verbindung mit Compliance, Datensicherheit und Datenschutz. Neben seiner technischen Erfahrung ist er im Bereich der Rechtswissenschaft im IT- und IP Recht sowie im Bereich Datenschutz (externer Datenschutzbeauftragter) und Datensicherheit seit über 20 Jahren unterwegs.

Für unsere Kunden ist Raphael als technischer Ansprechpartner für die Planung und Einführung des Modern Workplace basierend auf Microsoft Technologien wie Microsoft 365 zuständig. Dazu gehört zum Beispiel die konkrete Umsetzung der DSGVO in einem agilen modernen Arbeitsplatz in Zusammenarbeit mit Betriebsrat, Datenschutzbeauftragten und der internen Rechtsabteilung.

Als international anerkannter Konferenzsprecher, Podcaster, Autor und Organisator von Community-Konferenzen und User Groups bringt der Microsoft MVP seine Erfahrungen regelmäßig in technischen und juristischen Communities ein.

Doch nun zu unserem Interview:

Frage: Herzlich willkommen, Tom und Raphael. Während der Feiertage und des Jahreswechsels kam es im Bereich der Datensicherheit zu größeren Diskussionen und Unsicherheiten. Wie seht Ihr das?

Tom: Der aktuelle Fall wurde in den Medien ziemlich aufgebauscht. Nüchtern betrachtet hat jemand mit den ihm zur Verfügung stehenden technischen Möglichkeiten Zugriff auf Informationen erlangt, die eigentlich nicht hätten an die Öffentlichkeit gelangen sollen. Warum er es getan hat? Vermutlich, weil er es konnte! Das Ganze klingt natürlich sehr populistisch, aber von einem „Mega-Hack“, „Mega-Cyber-Angriff“ oder dem “größten Hackerangriff Deutschlands” zu sprechen, davon sind wir doch weit entfernt. Die Daten, die veröffentlicht wurden, sind teilweise bereits mehrere Jahre alt, und um an eine Telefonnummer zu kommen, reicht der Zugriff auf ein „verlorenes” Handy oder auf ein E-Mail-Konto, in dem Kontakte gepflegt werden. Mit einem ausreichend schwachen Kennwort benötigt ein Angreifer für einen solchen Zugriff weder viel Zeit, noch verbotene “Hacking-Tools”, sondern höchstens ein wenig Sachverstand.

Das Traurige hierbei ist, dass sowohl privat, wie auch im Unternehmenskontext noch viel Nachholbedarf bezüglich Sicherheit besteht.

Raphael: Ich stimme hier Tom zu. Der aktuelle Fall zeigt gut, dass wir in der Fläche noch unzureichend aufgestellt sind, obwohl die Gefahren offensichtlich sind. Mit viel Glück waren keine wirtschaftlichen oder sicherheitstechnischen Informationen betroffen. Heute kann fast jeder ohne größere Kenntnisse bei Videoplattformen und auf Webseiten das Rüstzeug erlernen und erhält die Standardsoftware kostenlos. Dies ist in diesem Fall, aber auch regelmäßig in den letzten Jahren passiert. In meinen IT-Kursen für Jugendliche merke ich schnell, dass sie die Werkzeuge und auch übliche Angriffsmethoden kennen. Die wohl größere Gefahr sind jedoch professionelle Agenturen, die Daten und Wissen im Unternehmen abgreifen und wo es Betroffene nicht einmal gemerkt haben.

Frage: Kannst Du das ein wenig konkretisieren?

Tom: Natürlich. In vielen meiner Konferenzvorträge der vergangenen zwölf Monate habe ich live demonstriert, wie schnell es geht, Zugriff auf einen Server zu erlangen, der ungesichert aus dem Internet erreichbar ist. Alles, was ich dazu brauche, sind wenige Open Source-Tools, eine Liste mit Benutzernamen und eine Liste mit Kennwörtern. Damit kann ich automatisiert sämtliche Kombinationen ausprobieren – bis eine davon passt. So ähnlich, wie man sich das Knacken von zahlencodegesicherten Türen in Filmen vorstellt. Mit mehrstufiger Authentifizierung, bei der nach der erfolgreichen Eingabe einer passenden Benutzernamen-/Kennwort-Kombination auch noch ein zusätzlicher Authentifizierungsfaktor eingegeben werden muss, kommt der Angreifer bereits an dieser Stelle nicht mehr weiter. Das kann beispielsweise eine SMS mit einem Zahlencode sein, die auf mein Handy gesendet wird, oder eine Smartphone-App, in der ich die Anmeldung bestätigen muss, ein Telefonanruf – die Möglichkeiten sind vielfältig. Viele Onlineportale bieten eine solche Anmeldemethode bereits an, beispielsweise Facebook, GitHub, Microsoft-Accounts (xbox Live, Outlook.com, …). Im Unternehmenskontext sollte die Funktion grundsätzlich genutzt werden, aber in den meisten Unternehmen ist das leider noch nicht der Fall.

Sicherheitsupdates sind ein zweites großes Thema. Wie oft hört man, dass Sicherheitsupdates nicht oder nur zeitlich sehr verzögert installiert werden!? Um dies einmal einzuordnen: Der WannaCry-Angriff im Mai 2017 und die Petya- und NotPetya-Angriffe im Juni nutzten eine Sicherheitslücke aus, für die Microsoft bereits im März ein Sicherheitsupdate zur Verfügung gestellt hatte. Die Angriffe waren nur deshalb so schwerwiegend, weil das Update auf den betroffenen Systemen schlichtweg nicht installiert war.

Raphael: Eine Werkzeugplattform ist sogar als Subsystem von Windows 10 verfügbar, aber dies hat Tom schon sehr gut berichtet. Ich dachte, dass mit der Einführung der Datenschutzgrundverordnung das Datensicherheitsniveau noch einmal steigt. Dies auf Grund von nun neu erstellter Dokumentationen wie Verfahrensverzeichnisse, auf Grund höherer Sensibilität der MitarbeiterInnen und natürlich der „Angst“ vor drakonischen Strafen bei Nichteinhaltung. Hier zeigen aber leider auch aktuelle Fälle, wie der eines Krankenhauses in Portugal, dass die Grundzüge der IT-Sicherheit, die auch weit vor der DSGVO galten, nicht eingehalten wurden. Hier hatte man mit einem Wartungszugang, der allgemein zur Verfügung stand, kompletten Zugriff auf alle Messwerte und damit auf die Patientendaten, soweit man der Presse glauben mag. Es gibt noch viel zu tun.

Frage: Das alles klingt so, als ob es sehr einfach möglich wäre, für mehr Sicherheit zu sorgen?

Tom und Raphael: Absolute Sicherheit ist eine Utopie, die es nie geben wird. Das sicherste IT-System ist vermutlich ein Server, der ohne Netzwerkanschluss ausgeschaltet in einem Raum steht, zu dem niemand Zugang hat. Beide lächeln.  Aber mit einigen einfachen Regeln lässt sich schon ein hohes Maß an Sicherheit erreichen:

  1. Stellen Sie die Benutzeridentität in den Fokus Ihrer Sicherheitsbetrachtung. Es gibt in jedem Unternehmen Benutzer, die Zugriff auf wichtige Systeme haben. Diese Benutzerkonten sind besonders schützenswert – sichern Sie sie per MFA und mit starken Kennwörtern. Erteilen Sie jedem Benutzer nur die Berechtigungen, die er auch wirklich benötigt. “Viel hilft viel” ist hierbei der falsche Ansatz. Und wenn die erhöhten Berechtigungen zudem nur dann aktiv sind, wenn sie auch benötigt werden, Sie also Funktionen wie Privileged Identity Management (PIM) aus dem Azure Active Directory nutzen, haben Sie schon sehr viel erreicht.
  2. Verringern Sie die Angriffsfläche Ihrer IT-Systeme. Nicht jeder Server muss über eine öffentliche IP-Adresse erreichbar sein. Das gilt in Ihrem Rechenzentrum genauso wie in der Cloud.
  3. Schaffen Sie Awareness. Das ist vermutlich einer der schwierigsten Punkte, aber auch einer der wichtigsten! Phishing, Social Engineering, Neugierde – all das sind Probleme, mit denen Sie in diesem Punkt zu kämpfen haben. Der USB-Stick, den Ihre Mitarbeiter auf dem Parkplatz finden, kann, einmal angeschlossen, zu sehr ernsten Problemen innerhalb Ihres Netzwerkes führen. Alle USB-Anschlüsse an Ihren IT-Systemen abzuschalten, kann eine Lösung sein. IT-Security funktioniert aber erfahrungsgemäß nur dann, wenn sie zu möglichst wenigen Einschränkungen führt und von den Anwendern akzeptiert wird.
  4. Schaffen Sie nochmal Awareness. Diesmal nicht bei Ihren Anwendern darüber, wie wichtig Security ist und wie sie richtig gelebt wird, sondern darüber, was in Ihrer Umgebung vor sich geht. Nutzen Sie Monitoring-Tools wie Azure Monitor, Azure Security Center, Microsoft Cloud App Security, Azure Information Protection Reports und Office365/Azure ATP, die Sie mithilfe von Machine Learning und künstlicher Intelligenz informieren, während ein möglicher Angriff stattfindet, egal, ob in Ihrem Rechenzentrum oder in der Cloud, und egal, ob von innen oder von außen. So ein Statuscheck kann auch mit einer Anpassung des Versicherungsprogrammes einhergehen. Dazu zählen beispielweise Betriebsausfallversicherungen, Wiederherstellungskosten, IT-Forensik und Schäden Dritter wie Partnerfirmen.
  5. Aufstellen eines Notfallplans. Es ist wichtig, dass man vorbereitet ist. Hierzu muss ein Notfallplan bestehen, wer (Verantwortlicher, Rechtsberater, IT Sicherheitsexperte, PR-Profi) genau was an welchem Schritt zu tun hat und wo auch geklärt wird, ob Behörden wie das BSI oder die Landesdatenschutzbeauftragten und die Betroffenen informiert werden müssen.
    Letztlich muss natürlich die Haftung wegen sorgfaltspflichtwidriger Verletzung von IT-Sicherheitspflichten der Organe einer Firma im Auge behalten werden. Hier gilt es auch, die persönliche Haftung beispielweise der Geschäftsführer durch einen guten Notfallplan zu reduzieren.Microsoft 365 und Microsoft Azure bieten eine Vielzahl von Funktionen, die Datenschutz und Datensicherheit sicherstellen. Sprechen Sie uns an, unsere Experten beraten Sie gerne.

Vielen Dank für Eure Zeit und das aufschlussreiche Gespräch, Tom und Raphael! Wir freuen uns schon auf ds nächste Experteninterview mit Euch.

Wenn auch Sie Experten-Unterstützung für die Absicherung Ihrer IT benötigen, können Sie uns gerne unter experteninterview@devoteam-alegri.eu erreichen.

 

 

 

Quelle Titelbild: iStock



X