Im Interview mit Alexander Dörsam, CTO der antago GmbH
Der Europäische Ausschuss für Systemrisiken (ESRB) schätzt die von Cyber-Angriffen auf den Finanzsektor weltweit verursachten Kosten zwischen 45 und 654 Milliarden US-Dollar. Juniper Research geht davon aus, dass 2023 durch Sicherheitsverletzungen im Internet Datensätze im Wert von über 146 Milliarden US-Dollar gestohlen werden. Schwindel- und besorgniserregende Zahlen. Solche großen Beträge setzen sich zusammen aus den vielen kleinen, aber auch großen Beutezügen der international agierenden Web-Kriminellen. Schutz vor diesen Attacken, die gegenwärtig in einzelne Arbeitspakete aufgeteilt und gut geplant sind, bietet die antago GmbH mit Sitz in Bensheim bei Darmstadt. Sie belegt schon länger einen Spitzenplatz in der Consulting-Landschaft rund um Penetrationtests, Incident Response, Forensik und Krisensimulation.
Seit über 10 Jahren und mit der Erfahrung aus zahllosen, zum Teil hoch brisanten Projekten, liefert das IT-Unternehmen mit Hacker-Background und einem jungen dynamischen Expertenteam Kunden hochwertige Beratung und Analyse im Bereich der Informationssicherheit. Mit dessen technischem Kopf, Alexander Dörsam, sprechen wir heute über die Wichtigkeit von Krisensimulations-Trainings, ActiveDirectory Audit oder Red-Teaming und was es bedeutet, einem DAX Konzern-CEO klarzumachen, dass der “Laden in Gefahr” ist.
DIGITAL FUTUREmag: Herr Dörsam, schön, dass Sie sich Zeit nehmen, um mit uns über Ihre Arbeit, Ihre Ziele und natürlich auch Ihr Angebot in einem zunehmend bedrohten IT- Umfeld zu reden. Bevor wir starten, wüssten wir gerne, wie Sie selbst die aktuelle Bedrohungslage für Unternehmen einschätzen.
Alexander Dörsam: Die Bedrohungslage ist immens. Aus verschiedenen Motivationen heraus erfolgen kontinuierlich sehr qualifizierte Angriffe gegen Unternehmen. Gleichzeitig konnten wir in den letzten Jahren eine starke Öffnung der Firmen-IT erleben, um Homeoffice-Konzepte möglich zu machen. Das bedeutet, wir haben einerseits ein wirklich hohes Niveau seitens der Angreifer und andererseits eine stärker exponierte Unternehmens-IT. Dies führt zwangsläufig zu einer steigenden Frequenz von erfolgreichen Angriffen. Diese sind zusätzlich in vielen Fällen äußerst fatal für die Opfer, da die Angreifer häufig die höchsten Berechtigungsstufen in den IT-Umgebungen erreichen.
DIGITAL FUTUREmag: Eingangs haben wir konkrete Zahlen genannt, die die globalen Kosten von Cyberangriffen zunächst ausschließlich für den Finanzsektor schätzen. Alleine diese Beträge sind beachtlich. Wie setzen sich solche Werte zusammen und wie gehen die Angreifer in der Regel vor?
Alexander Dörsam: Die größten Kosten setzen sich in der Regel aus dem Betriebsausfall und dem Erpressungsgegenstand zusammen. Nicht selten erleben wir, dass die Unternehmen über Nacht produktionsunfähig und von ihren Kunden isoliert werden und der Betrieb vollständig sowie nachhaltig zum Erliegen kommt. Der Ablauf dabei ist oft recht ähnlich. Es gibt zunächst die initiale Phase der Kompromittierung oder Infektion. Diese stellt den Zugriff in die Struktur des Opfers her. Anschließend beginnt die Eskalationsphase. Darin werden die Rechte des Angreifers für gewöhnlich drastisch erweitert. Nach Abschluss dieser Phase gibt es meistens eine Übergabe. Hier verkaufen Angreifer solche Zugänge an andere Hacker, damit diese, basierend auf den hohen Rechten beim Opfer, in der Lage sind, ihr eigenes Geschäftsmodell auszuführen. Das könnte dann beispielsweise das Verschlüsseln von Daten und das Erpressen von Lösegeld sein.
DIGITAL FUTUREmag: Cyber-Kriminalität ist zu einem eigenen Wirtschaftszweig geworden. Was hat sich in den vergangenen Jahren verändert, damit diese Entwicklung möglich war?
Alexander Dörsam: Die Entwicklung hat meiner Ansicht nach verschiedene Wurzeln. Einerseits ist es aufgrund pseudonymisierter Währung für „jedermann“ möglich geworden, eine Erpressung relativ risikoarm für den Täter durchzuführen. Hinzugekommen sind vor allem auch Dienstleistungen zwischen Hackern, wie etwa Ransomeware-as-a-Service oder Access-as-a-Service, bei denen Angreifer Schadprogramme oder Zugänge zu Unternehmen an andere Kriminelle verkaufen. Darüber hinaus ist das Wissen um digitale Attacken weitaus verbreiteter und es fällt erheblich leichter, sich selbst als Hacker auszubilden. Ebenfalls hat sich in jüngster Vergangenheit gezeigt, dass einige Hackergruppen nicht nur von manchen Staaten toleriert, sondern vermutlich auch gefördert werden. Im selben Atemzug haben es viele Firmen verpasst, bei der Implementierung von Abwehrmaßnahmen Schritt zu halten und bieten daher eine sehr große Angriffsfläche.
DIGITAL FUTUREmag: Lassen Sie uns einmal auf die Unternehmen schauen, die oft im Fokus solcher Angreifer sind. Beginnen wir bei der Vorbereitung. Was sind die wichtigsten Empfehlungen, die Sie aufgrund Ihrer Erfahrung mit uns teilen können?
Alexander Dörsam: Zunächst einmal sollte dem Thema IT-Sicherheit eine angemessene Aufmerksamkeit geschenkt werden. Meiner Ansicht nach gibt es fast kein Unternehmen mehr, dessen Umsatz nicht zu nahezu 100 Prozent von der IT abhängt. Daher braucht die IT entsprechende Ressourcen, um ihren Pflichten nachzukommen. Häufig jedoch ist die eigene IT maßlos unterbesetzt und verfügt nur über geringe finanzielle Mittel. Mit solchem Defizit kann es keine angemessene IT-Sicherheit geben. Wenn ein Unternehmen diese Schwelle allerdings genommen hat, empfehlen wir immer erstmal bei den Grundsätzen zu bleiben und dafür zu sorgen, dass das digitale Fundament tragfähig ist. Nicht selten setzen Firmen stattdessen vermeintlich moderne und vereinfachende Werkzeuge, die zusätzliche Abstraktionsschichten einführen, ein und werden dann mittels „alter“ Angriffsmethoden kompromittiert, die diese Tools nämlich nicht erkennen.
DIGITAL FUTUREmag: Zu den Vorbereitungen gehören auch Audits. Welchen Sinn haben diese Audits und welche zahlen insbesondere auf die IT-Sicherheit oder die Validierung der IT-Compliance ein?
Alexander Dörsam: Audits haben verschiedene Gründe. Oft werden die Audits nur als Controlling-Werkzeug gesehen, also ob der Stand „gut“ oder „schlecht“ ist. Den wahren Mehrwert entfalten Audits erst dann, wenn der Kunde diese als Abkürzung interpretiert. Ein hochwertiges Audit zeigt neben dem Ist-Stand auch auf, wie die nächsten Schritte auszusehen haben und wie diese effizient gemeistert werden können. So soll ein Audit zwar das Defizit aufzeigen, dient aber eigentlich dazu, den Kunden zu befähigen, es zu beheben. Hierbei unterscheidet sich auch oft die Qualität der Dienstleister. Es geht beispielsweise nicht darum, dass ein Audit als Ergebnis den Kauf einer anderen Firewall ergibt. Vielmehr geht es darum, konzeptionelle Schwächen zu finden und sie geschickt mit möglichst geringem Aufwand auszumerzen.
DIGITAL FUTUREmag: Laut einer Statistik von Microsoft nutzen 95 Prozent aller Unternehmen und 88 Prozent der Fortune 1000 den Active Directory Verzeichnisdienst.(1) Dieser stellt ein beliebtes Hacker-Ziel dar. Warum ist das so?
Alexander Dörsam: Das Active Directory dient als zentrales Gehirn jeder Windows-basierten Umgebung. Wer das Active Directory kontrolliert, hat in der Regel die Macht über alle Systeme des Unternehmens. Daher ist es ein enorm lukratives Ziel für Angreifer. Gleichzeitig ist der Wissensstand bezüglich der Verteidigung eines Active Directorys äußerst schlecht. Seit nunmehr drei Jahren gibt es kaum noch Angriffe ohne Beteiligung des Active Directorys und meist werden Attacken durchgeführt, deren Abwehr mit entsprechender Vorbereitung ohne utopische Aufwände möglich gewesen wäre. Zusätzlich verweist Microsoft und unter anderem auch das BSI darauf, dass ein Active Directory quasi nicht wiederherstellbar ist. Dies liegt an den vielfältigen Möglichkeiten eines Angreifers, sich nachhaltig in einer Domänenstruktur festzusetzen. Das bedeutet, im Falle einer Kompromittierung bleibt theoretisch nur der Neuaufbau, was so ziemlich jeden Administrator in Schrecken versetzen dürfte. In der Realität sind wir häufig dazu gezwungen einen Mittelweg zu finden. Das Active Directory ist jedoch das riskanteste IT-Asset eines Unternehmens, da alles andere davon abhängt.
DIGITAL FUTUREmag: In Ihrem Portfolio bieten Sie auch Red-Teaming an. Was kann man sich darunter vorstellen und wie ist hier der Ablauf?
Alexander Dörsam: Im Lebenszyklus der IT-Sicherheit existieren verschiedene Module. Der klassische Penetrationstest ist ein Werkzeug der Prävention und wird in der Regel sehr früh eingesetzt, um Schwachstellen zu identifizieren. Ab einem gewissen Reifegrad oder bei besonders schlechtem Verständnis für IT-Sicherheit bei den Führungskräften, ist es sinnvoll, im nächsten Schritt etwas invasiver zu werden.
Das Red-Teaming ist zumeist ein stark formales Vorgehen, bei dem wir ein Angriffs-Szenario in der echten IT-Umgebung des Kunden umsetzen. Meist starten wir von einem Client-PC und versuchen uns im Verlauf des Projekts Berechtigungen eines Domänen-Administrators zu verschaffen. Das gibt dem Kunden einerseits die Chance, die realistische Eskalation in seinem eigenen Netzwerk zu prüfen und andererseits das eigene Monitoring zu hinterfragen.
Häufig beobachten unsere Auftraggeber während eines Red-Teaming ihre Systeme und Logfiles, um herauszufinden, ob unser Angriff detektiert, also erkannt wird. Es ist somit ein großartiges Tool, um die tatsächliche Angreifbarkeit aufzuzeigen und die Leistungsfähigkeit des eigenen Monitorings und der Überwachungsmethoden prüfen zu können. Es bietet im Wesentlichen eine gute Gelegenheit, sich auf einen Ernstfall vorzubereiten und etwaige Überwachungslücken zu schließen.
DIGITAL FUTUREmag: Die Krisensimulation und die damit verbundenen Trainings scheinen also essentiell zu sein, um ein Team wirklich fit für den Ernstfall zu machen. Wo sind die Grenzen ihrer Beratungsleistung und wo muss das Unternehmen selbst entsprechend Verantwortung übernehmen?
Alexander Dörsam: Grundsätzlich bleibt die Verantwortung stets beim Kunden. Wichtig ist, dass der Kunde sich über die Bedeutsamkeit der Arbeiten und über den Einsatz notwendiger Ressourcen bewusst ist. Daraus ergibt sich, dass der Kunde die gefundenen Schwachstellen gewissenhaft verfolgt und entsprechende Handlungen einleitet. Schlussendlich kann der Prozess des Pentestings, Red-Teamings oder Incident Response immer ausgelagert werden, die Überwachung und der Startschuss muss aber vom Kunden kommen. Um diesen Startschuss auch geben zu können, bedarf es einer vorhersehbaren und überwachten IT-Umgebung. Dazu ist es wichtig, die bestehenden Risiken zu kennen, bestmöglich zu isolieren sowie die verbleibende Kommunikation und Aktivität auf Anomalien zu überwachen.
DIGITAL FUTUREmag: Ist IT-Sicherheit ohne Lücken überhaupt möglich oder ist das eine nicht realisierbare Träumerei?
Alexander Dörsam: Eine IT-Infrastruktur ganz ohne Lücken halte ich für Träumerei. Die Zielsetzung sollte eher sein, eine „der Sache angemessene“ IT-Sicherheit zu erreichen und dies halte ich definitiv für möglich. Das ist die Motivation für unsere tägliche Arbeit.
DIGITAL FUTUREmag: Herr Dörsam, lassen Sie uns noch einen Blick in die Zukunft werfen. Wie entwickelt sich die IT-Sicherheit und wer hat in drei bis fünf Jahren die Nase vorn? Cyber-Kriminelle mit einer immer feineren Arbeitsteilung oder Unternehmen, die dann gelernt haben, Risiken richtig einzuschätzen und sich dagegen effektiv zu schützen?
Alexander Dörsam: Eine fast schon philosophische Frage, auf die ich nur mutmaßen kann. Die letzten Jahrzehnte haben Unternehmen, speziell kleine und mittelständische, das Problem maßlos unterschätzt. Leider macht ein Blick in den Rückspiegel wenig Hoffnung auf schnelle Einsicht. Es wäre schön, wenn sich Firmen der Gefahren einfach mehr bewusst wären. Aber die Zahl an Firmen, die sich angemessen um ihre IT-Sicherheit bemühen, nimmt mittlerweile zu. Gleichzeitig geht der Trend in Richtung Cloud, welche einige Schutzpflichten und -maßnahmen auf die Hersteller verlagert. Hier ist doch schon stark zu erkennen, dass die Provider einiges dazugelernt haben und die allermeisten ihrer Verantwortung meiner Ansicht nach gut nachkommen. Auf lediglich drei bis fünf Jahre betrachtet, sehe ich die Kriminellen allerdings noch abgeschlagen vorne, da etwa heutige Active Directory-Attacken mit einer sicherlich schon 10 bis 15 Jahre alten Angriffs-Technologie durchgeführt werden.
DIGITAL FUTUREmag: Herzlichen Dank für den Einblick in die vielfältigen Möglichkeiten, die eigene Data Security zu optimieren und Ihre persönliche Einschätzungen.