TÜV SÜD als neutrale Instanz der IT-Sicherheit
Diese Gefahren drohen KMUs
von Stefan Bordel - 15.11.2018
com! professional: Wie schätzen Sie die allgemeine Bedrohungslage für KMUs ein? Welche Angriffsmuster gibt es vermehrt zu verzeichnen?
Vollmer: Diese Frage kann man so gar nicht genau beantworten. Allerdings lassen sich allgemeine Trends ausmachen, auf die sich sowohl Angreifer als auch Unternehmen fokussieren. Da ist zum Beispiel die OT-Security (Operational Technology) in der Industrie. Etwa wie sich automatisierte Systeme in Unternehmen angreifen lassen.
Alle anderen bekannten Angriffsmuster und -arten werden stetig weiter bestehen und weiterentwickelt. Pauschale Aussagen lassen sich hier nicht treffen, da die Bedrohungslage maßgeblich vom Unternehmen und der jeweiligen Branche abhängt. So erwarten etwa ein Chemie-Unternehmen, das Stoffe für die Waffenproduktion herstellt, gänzlich andere Bedrohungsszenarien als die Standard-Bedrohungen anderer Mittelständler.
Im Prinzip hängt alles von der Angriffsoberfläche des Unternehmens ab. Wie sieht mein Attack Surface aus? Biete ich eine Angriffsfläche, dann ist dort der Schutzbedarf höher. Entsprechend sind Unternehmen, die ein lukratives Angriffsziel für Hacker darstellen, gefährdeter als Firmen, die weniger interessant sind. Denn Hacker greifen auch nur die Ziele an, die attraktiv für sie sind. Egal, ob das Ziel nun Geld oder Informationen sind.
com! professional: Also werden Angriffe nicht Branchen-weit über die Gießkanne gefahren?
Vollmer: Das gibt es durchaus. Aber man muss hier grundsätzlich unterscheiden zwischen zielgerichteten, teilweise staatlichen Angriffen und herkömmlichem Cybercrime. Im Cybercrime werden beispielsweise weit gestreute Ransomware-Angriffe gefahren, um möglichst hohe Summen zu erpressen. Diese Art von Angriffen sollte meiner Ansicht nach bereits durch Sicherheits-Appliances und Antivirensoftware abgefangen werden. Bei zielgerichteten Angriffen wird eine Abwehr bedeutend schwerer, hier muss man tiefer hineinsehen und hier setzt dann auch Threat Intelligence an.
com! professional: Mit welchen Partnern arbeiten Sie zusammen, um die Dienste bereitzustellen?
Vollmer: Aktuell befinden wir uns im Bereich Threat Intelligence noch im Aufbau, da TÜV SÜD Sec-IT erst im Februar mit einer neuen Führung gestartet ist. Derzeit bauen wir das Team immens auf. Im Februar waren wir noch 30 Leute, jetzt zählen wir schon 60 Mitarbeiter und bis Ende nächsten Jahres ist ein Team mit 80 bis 90 Köpfen geplant.
Für den Bereich Threat Intelligence bin mitunter ich verantwortlich. Hier haben wir etwa ehemalige Mitarbeiter von der Allianz, die dort eben solche Screenings durchgeführt haben. So soll erst einmal ganz genau beurteilt werden, welche Informationen die Anbieter liefern und ob diese auch relevant für unsere Kunden sind. Anhand dieser Kriterien werden dann die Lösungspartner ausgewählt. Im Prinzip geht es dabei darum, eine Masse an Informationen auszuwerten. Denn wir haben die Kapazität für die Auswertung und das ist auch unsere Aufgabe. So arbeitet bei uns etwa ein Machine-Learning-Spezialist, der vorher beim CERN tätig war. Ihn interessiert jede Information, egal ob gut oder schlecht, da er sämtliche Daten zur Beurteilung hinzuziehen kann.
Auf lange Sicht geht es darum, Zugriff auf das komplette Spektrum an Informationen zu erhalten, und das anschließend mit den geeigneten Tools automatisiert auszuwerten.
com! professional: Aber aktuell erfolgt die Zuordnung noch manuell?
Vollmer: Ja, wir sind gerade dabei Pilotprojekte mit Kunden zu starten und dabei fällt ein hoher manueller Aufwand an. Wir müssen erst herausfinden, was das jeweilige Unternehmen eigentlich braucht. Es gibt zwar Lösungsanbieter, die ihre eigene Threat Intelligence verkaufen, aber einen unabhängigen Betrachter dieser Informationen gibt es so noch nicht. Diese Rolle nehmen wir ein.
Anhand dieser Pilotprojekte sollen anschließend die finalen Services aufgebaut werden und dabei werden wir mit verschiedenen Partnern zusammenarbeiten. Eine eigene Threat Intelligence können wir hingegen nicht aufbauen, da TÜV SÜD diese Kapazitäten nicht hat. Die etablierten Player nutzen ein weltweites Sensornetzwerk, da können wir nicht heranreichen. Was wir können ist, die Informationen von einem anderen Standpunkt aus zu betrachten und zu bewerten - und das ist unsere Aufgabe in diesem Bereich.
Vollmer: Diese Frage kann man so gar nicht genau beantworten. Allerdings lassen sich allgemeine Trends ausmachen, auf die sich sowohl Angreifer als auch Unternehmen fokussieren. Da ist zum Beispiel die OT-Security (Operational Technology) in der Industrie. Etwa wie sich automatisierte Systeme in Unternehmen angreifen lassen.
Alle anderen bekannten Angriffsmuster und -arten werden stetig weiter bestehen und weiterentwickelt. Pauschale Aussagen lassen sich hier nicht treffen, da die Bedrohungslage maßgeblich vom Unternehmen und der jeweiligen Branche abhängt. So erwarten etwa ein Chemie-Unternehmen, das Stoffe für die Waffenproduktion herstellt, gänzlich andere Bedrohungsszenarien als die Standard-Bedrohungen anderer Mittelständler.
Im Prinzip hängt alles von der Angriffsoberfläche des Unternehmens ab. Wie sieht mein Attack Surface aus? Biete ich eine Angriffsfläche, dann ist dort der Schutzbedarf höher. Entsprechend sind Unternehmen, die ein lukratives Angriffsziel für Hacker darstellen, gefährdeter als Firmen, die weniger interessant sind. Denn Hacker greifen auch nur die Ziele an, die attraktiv für sie sind. Egal, ob das Ziel nun Geld oder Informationen sind.
com! professional: Also werden Angriffe nicht Branchen-weit über die Gießkanne gefahren?
Vollmer: Das gibt es durchaus. Aber man muss hier grundsätzlich unterscheiden zwischen zielgerichteten, teilweise staatlichen Angriffen und herkömmlichem Cybercrime. Im Cybercrime werden beispielsweise weit gestreute Ransomware-Angriffe gefahren, um möglichst hohe Summen zu erpressen. Diese Art von Angriffen sollte meiner Ansicht nach bereits durch Sicherheits-Appliances und Antivirensoftware abgefangen werden. Bei zielgerichteten Angriffen wird eine Abwehr bedeutend schwerer, hier muss man tiefer hineinsehen und hier setzt dann auch Threat Intelligence an.
com! professional: Mit welchen Partnern arbeiten Sie zusammen, um die Dienste bereitzustellen?
Vollmer: Aktuell befinden wir uns im Bereich Threat Intelligence noch im Aufbau, da TÜV SÜD Sec-IT erst im Februar mit einer neuen Führung gestartet ist. Derzeit bauen wir das Team immens auf. Im Februar waren wir noch 30 Leute, jetzt zählen wir schon 60 Mitarbeiter und bis Ende nächsten Jahres ist ein Team mit 80 bis 90 Köpfen geplant.
Für den Bereich Threat Intelligence bin mitunter ich verantwortlich. Hier haben wir etwa ehemalige Mitarbeiter von der Allianz, die dort eben solche Screenings durchgeführt haben. So soll erst einmal ganz genau beurteilt werden, welche Informationen die Anbieter liefern und ob diese auch relevant für unsere Kunden sind. Anhand dieser Kriterien werden dann die Lösungspartner ausgewählt. Im Prinzip geht es dabei darum, eine Masse an Informationen auszuwerten. Denn wir haben die Kapazität für die Auswertung und das ist auch unsere Aufgabe. So arbeitet bei uns etwa ein Machine-Learning-Spezialist, der vorher beim CERN tätig war. Ihn interessiert jede Information, egal ob gut oder schlecht, da er sämtliche Daten zur Beurteilung hinzuziehen kann.
Auf lange Sicht geht es darum, Zugriff auf das komplette Spektrum an Informationen zu erhalten, und das anschließend mit den geeigneten Tools automatisiert auszuwerten.
com! professional: Aber aktuell erfolgt die Zuordnung noch manuell?
Vollmer: Ja, wir sind gerade dabei Pilotprojekte mit Kunden zu starten und dabei fällt ein hoher manueller Aufwand an. Wir müssen erst herausfinden, was das jeweilige Unternehmen eigentlich braucht. Es gibt zwar Lösungsanbieter, die ihre eigene Threat Intelligence verkaufen, aber einen unabhängigen Betrachter dieser Informationen gibt es so noch nicht. Diese Rolle nehmen wir ein.
Anhand dieser Pilotprojekte sollen anschließend die finalen Services aufgebaut werden und dabei werden wir mit verschiedenen Partnern zusammenarbeiten. Eine eigene Threat Intelligence können wir hingegen nicht aufbauen, da TÜV SÜD diese Kapazitäten nicht hat. Die etablierten Player nutzen ein weltweites Sensornetzwerk, da können wir nicht heranreichen. Was wir können ist, die Informationen von einem anderen Standpunkt aus zu betrachten und zu bewerten - und das ist unsere Aufgabe in diesem Bereich.
