Meldungen über Sicherheitslücken in der IT gehören zum täglichen Brot von Mitarbeitern in den IT-Security-Abteilungen in Unternehmen wie Behörden. Was tun? Steffen Ullrich ist Sicherheitsforscher beim deutschen IT-Security-Hersteller genua. Im Interview mit it security-Herausgeber Ulrich Parthier äußert er sich zum Dilemma und zeigt Lösungsansätze auf. (Bildquelle: genua GmbH)
Ulrich Parthier: Solarwinds, Proxylogon, Log4Shell, 2021 war erneut äußerst herausfordernd für IT-Verantwortliche. Wie bewerten Sie das vergangene Jahr?
Steffen Ullrich: Es war ein unruhiges Jahr, in welchem wir erleben mussten, wie fragil und anfällig geschäftskritische Infrastrukturen gegen Cyber-Angriffe über vertrauensvoll eingesetzte Fremdsoftware sind. Bei Solarwinds handelte es sich um eine Backdoor in kritischen Netzkomponenten, die durch einen staatlichen Angreifer platziert wurde. Proxylogon war eine Lücke in der kommerziellen Software MS Exchange, Log4Shell eine Schwachstelle in einer von vielen, auch kommerziellen, Projekten eingesetzten Open-Source-Bibliothek. Alle diese Lücken ermöglichten einem Angreifer die Kompromittierung der internen Firmeninfrastruktur.
Ulrich Parthier: Wie schätzen Sie als IT-Sicherheitsforscher perspektivisch die weitere Risikoentwicklung ein?
Steffen Ullrich: Die Probleme werden noch deutlich wachsen, sowohl von der Menge als auch der Kritikalität. Mit der zunehmenden Digitalisierung von Geschäftsprozessen geht eine starke Erhöhung von Komplexität einher: vielfältigere Software, Dienste und Hardware mit mehr Features, stärker vernetzt über Standorte, Clouds und Home Office hinweg. Dies bewirkt eine abnehmende Kontrolle und Beherrschbarkeit der Infrastrukturen und entsprechend steigende Fragilität. Gleichzeitig wachsen die Abhängigkeiten von einer korrekten Funktion digitalisierter Geschäftsprozesse und die Anforderungen an Verfügbarkeit, Zuverlässigkeit und Datensicherheit.
Ulrich Parthier: Ein zunehmendes Problem sind Supply-Chain-Angriffe. Woran liegt das?
Steffen Ullrich: Der größte Teil der heutigen Infrastrukturen beinhaltet Komponenten aus einer Vielfalt von Quellen. Bei Software sind es teilweise Open-Source- und teilweise Closed- Source-Komponenten, die selber wiederum aus weiteren Komponenten aufgebaut sind. Das Netz an Abhängigkeiten ist oft unüberschaubar, komplex und fragil. Die Qualität der einzelnen Komponenten ist sehr unterschiedlich und man muss von bestehenden Sicherheitslücken ausgehen, die evtl. auch schon von Angreifern ausgenutzt werden. Ein einfaches Patchen bei erkannten Lücken ist nicht möglich, weil gepatchte Versionen von Komponenten sich nicht unbedingt genauso verhalten wie die vorherigen Versionen. Wenn es denn überhaupt Patches gibt, weil oftmals tief im Inneren Komponenten stecken, die schon lange nicht mehr gepflegt werden. Und das ist nur die Problematik der Bugs. Daneben gibt es durchaus auch gezielt eingebaute und gut versteckte Backdoors. Auch hier werden die Probleme nur größer.
Das vollständige Interview ist auf it-daily.net frei zugänglich. Folgende Fragen werden beantwortet:
Ulrich Parthier: Solarwinds, Proxylogon, Log4Shell, 2021 war erneut äußerst herausfordernd für IT-Verantwortliche. Wie bewerten Sie das vergangene Jahr?
Steffen Ullrich: Es war ein unruhiges Jahr, in welchem wir erleben mussten, wie fragil und anfällig geschäftskritische Infrastrukturen gegen Cyber-Angriffe über vertrauensvoll eingesetzte Fremdsoftware sind. Bei Solarwinds handelte es sich um eine Backdoor in kritischen Netzkomponenten, die durch einen staatlichen Angreifer platziert wurde. Proxylogon war eine Lücke in der kommerziellen Software MS Exchange, Log4Shell eine Schwachstelle in einer von vielen, auch kommerziellen, Projekten eingesetzten Open-Source-Bibliothek. Alle diese Lücken ermöglichten einem Angreifer die Kompromittierung der internen Firmeninfrastruktur.
Ulrich Parthier: Wie schätzen Sie als IT-Sicherheitsforscher perspektivisch die weitere Risikoentwicklung ein?
Steffen Ullrich: Die Probleme werden noch deutlich wachsen, sowohl von der Menge als auch der Kritikalität. Mit der zunehmenden Digitalisierung von Geschäftsprozessen geht eine starke Erhöhung von Komplexität einher: vielfältigere Software, Dienste und Hardware mit mehr Features, stärker vernetzt über Standorte, Clouds und Home Office hinweg. Dies bewirkt eine abnehmende Kontrolle und Beherrschbarkeit der Infrastrukturen und entsprechend steigende Fragilität. Gleichzeitig wachsen die Abhängigkeiten von einer korrekten Funktion digitalisierter Geschäftsprozesse und die Anforderungen an Verfügbarkeit, Zuverlässigkeit und Datensicherheit.
Ulrich Parthier: Ein zunehmendes Problem sind Supply-Chain-Angriffe. Woran liegt das?
Steffen Ullrich: Der größte Teil der heutigen Infrastrukturen beinhaltet Komponenten aus einer Vielfalt von Quellen. Bei Software sind es teilweise Open-Source- und teilweise Closed- Source-Komponenten, die selber wiederum aus weiteren Komponenten aufgebaut sind. Das Netz an Abhängigkeiten ist oft unüberschaubar, komplex und fragil. Die Qualität der einzelnen Komponenten ist sehr unterschiedlich und man muss von bestehenden Sicherheitslücken ausgehen, die evtl. auch schon von Angreifern ausgenutzt werden. Ein einfaches Patchen bei erkannten Lücken ist nicht möglich, weil gepatchte Versionen von Komponenten sich nicht unbedingt genauso verhalten wie die vorherigen Versionen. Wenn es denn überhaupt Patches gibt, weil oftmals tief im Inneren Komponenten stecken, die schon lange nicht mehr gepflegt werden. Und das ist nur die Problematik der Bugs. Daneben gibt es durchaus auch gezielt eingebaute und gut versteckte Backdoors. Auch hier werden die Probleme nur größer.
Das vollständige Interview ist auf it-daily.net frei zugänglich. Folgende Fragen werden beantwortet:
- Wie können IT-Verantwortliche mit Unsicherheit wie versteckter Backdoors umgehen?
- Was hindert uns daran, mehr proaktiven Schutz zu erreichen? Haben wir zu viele „IT-Verwalter“ anstelle von Strategen und Visionären?
- Was ist der richtige Weg, um aus einer primär reaktiven, getriebenen Rolle zurück in eine gestaltende, kontrollierende Rolle zu gelangen?
- Wie kann Zero Trust für mehr Schutz sorgen?
- Helfen Ansätze wie Konsolidierungen, Zertifizierungen oder eine Reduktion von Features, um die Angriffsfläche zu verringern?
- Was sind aktuell die interessantesten Forschungsansätze, um die IT sicherer zu machen?
Link zum vollständigen Interview: https://www.it-daily.net/it-sicherheit/cloud-security/32870-it-sicherheitsstrategien-fuer-digitale-infrastrukturen
