RSA 2017 – 5 Highlights zum Nachdenken

Unser Kollege Fred Juhlin, Experte für Cybersecurity, veröffentlichte auf unserem englischen Blog folgenden Beitrag über die RSA-Konferenz 2017 in San Francisco:

Seit 1993 findet die Computer- und IP-Sicherheitskonferenz RSA jedes Jahr statt und lockt führende Persönlichkeiten aus den Bereichen Cybersicherheit und Verschlüsselung an, um die neuesten Entwicklungen zu diskutieren. Dieses Jahr fand die Konferenz in San Francisco statt und es war bereits meine dritte RSA-Konferenz, die ich besuchte. Egal, ob Händler, Systemintegrator oder Nutzer von Videoüberwachungskameras: die Konferenz ist für alle im Bereich Cybersicherheit von großer Bedeutung.

  1. IoT als Sicherheitsrisiko
    DAS Thema des Jahres waren die Sicherheitsbedenken im Zusammenhang mit dem Internet der Dinge (IoT). Viele Vorträge behandelten das Mirai-Botnetz und einige zeigten sogar, wie es funktioniert (denn es existiert immer noch). Mirai ist eine Schadsoftware, die für die zwei größten DDoS-Attacken (Distributed Denial of Service) im vergangenen Jahr verantwortlich war. Außerdem hat sie den DNS-Provider Dyn lahmgelegt, was globale Internetdienste wie Spotify, Reddit oder GitHub zeitweise zum Erliegen brachte.Die meisten Vortragenden sahen dabei in den fest kodierten Passwörtern in Geräten wie Routern, Festplattenrekordern oder Kameras die größte Schwachstelle. Die fest definierten Passwörter kann der Nutzer nicht ändern. Die Lösung ist theoretisch sehr simpel: Hersteller müssen es den Anwendern ermöglichen, die Passwörter und Benutzernamen zu verändern (oder sogar noch besser: die Nutzer zu zwingen, das Standard-Passwort zu ändern, bevor sie das Gerät nutzen können). In der Praxis sind viele Billiganbieter dazu immer noch nicht in der Lage.Ein Grund für die großen Bedenken ist die Tatsache, dass das Mirai-Botnetz kritische Infrastrukturen angriff und gleichzeitig die Gerätebesitzer unversehrt ließ. Es gibt kaum Anreize für Einzelpersonen oder kleine Firmen auch nur geringste Vorsichtsmaßnahmen zu ergreifen, wenn sie ihre Geräte an das Internet anschließen. Daher müssen Händler diese Verantwortung auf sich nehmen, bevor sie unsichere Produkte verschicken.
  1. Ransomware – Erpressung via Software
    Derzeit ist Ransomware der Grund Nummer 1 unter den Datenverlust-Vorfällen für kleine und mittlere Unternehmen. Der Schaden übertrifft die Kosten für versehentlich gelöschte Daten bei weitem und die Angriffe passieren häufiger als der Ausfall von Hardware. Experten raten, keinesfalls das Lösegeld zu zahlen, da dies auf langfristige Sicht den potentiellen Wert eines solchen Angriffes verringern wird. Jedoch stellt das für betroffene Unternehmen eine schwierige Entscheidung dar.
    Glücklicherweise stehen eine Reihe von Unternehmen und Organisationen Unternehmen im Ernstfall kostenfrei zur Seite (https://www.nomoreransom.org/). Erwähnenswert ist hier auch, dass, egal ob gezahlt worden ist oder nicht, im Durchschnitt nur in 25 Prozent der Fälle Daten wieder hergestellt wurden.
    Kein Wunder also, dass sogenannte Cyber-Versicherungen für größere Unternehmen immer beliebter werden. Diese Versicherungen verlangen, dass bestimmte Sicherheitsmaßnahmen ergriffen werden und verbieten den Unternehmen gleichzeitig diese öffentlich zu machen.
  1. Richtlinien und Zertifizierungen
    Sollen und können Regierungen IoT ihren Richtlinien und Gesetzen unterwerfen, um Sicherheitslücken zu stopfen und zu reduzieren? Diese Frage wurde auch in San Francisco eifrig diskutiert. Leider war auch hier der allgemeine Tenor, dass dies nur sehr schwer verwirklicht werden kann. Wer soll reguliert werden? Hersteller? OEMs? Der Service-Provider oder Installateur? Oder gar der Endanwender selbst? Denn jeder in diesem Prozess ist Teil des Problems. Zudem sind viele Länder bei der Herstellung eines Produkts involviert, was weitere Herausforderungen für eine Regulation mit sich bringt. Im derzeitigen Moment plädierten die Vortragenden, es sei am besten, wenn die einzelnen Parteien sich selbst regulierten – durchaus eine Herausforderung angesichts der unterschiedlichen Interessen.Eine weitere Diskussion entstand zum Thema Zertifizierung von Geräten als „sicher“. Auch hier zeigte sich, dass der Gedanke zwar löblich, die Umsetzung aber aufgrund der vielen verschiedenen Geräte und der unterschiedlichen Verwendungsszenarien sehr komplex ist.Ein weiterer Ansatz ist der Einsatz von aktuellen Gesetzen, um Hersteller oder Service Provider zur Rechenschaft zu ziehen, wenn ihre Geräte fahrlässig produziert wurden. Diese Lösung ist zwar nicht perfekt, aber zwingt die Unternehmen dazu, das Problem ernst zu nehmen. Die Frage des Vertrauens in einen Hersteller ist nach wie vor von elementarer Bedeutung.
  1. Offenheit und Kommunikation
    Viele betroffene Unternehmen zogen es in den letzten Jahren vor, Cyberattacken lieber ihren Kunden und Behörden zu verschweigen, um ihre Reputation zu wahren sowie sich vor etwaigen Anzeigen zu schützen. Dadurch ging allerdings den Cybersicherheitsfirmen und den Behörden, die sich mit dem Thema Cybersecurity beschäftigen, viele Informationen verloren, was wiederum dazu führte, dass Sicherheitslücken lange Zeit unentdeckt blieben.Umso mehr freut es mich, dass sich dieses Verhalten allmählich ändert. Die Herausforderungen, wie Vertrauen, die gleiche Nomenklatur, Bedeutungen und Semantik werden angepackt. Größere Unternehmen und Organisationen werden ermutigt, persönliche Beziehungen mit Behörden (wie z.B. dem FBI in den USA) einzugehen, denn diese können ihnen dann bei Angriffen schneller zur Seite stehen.
  1. Verbunden – oder nicht verbunden?
    Klingt komisch, aber MÜSSEN wir wirklich jedes Endgerät mit dem Internet vernetzen? Diese Frage wurde auf der RSA immer wieder gestellt – und die Antwort war oft: Nein. Nur weil ein Endgerät verbunden werden KANN, heißt es nicht, dass es auch verbunden werden sollte. Organisationen sollten sich deshalb diese Frage immer wieder stellen und kritisch für sich selbst beantworten.

Fazit:
Bis vor kurzem war der Eindruck, dass es bei Cybersecurity um die „Guten“ und die „Bösen“ geht, wobei die Bösen den Guten immer einen Schritt voraus waren. Inzwischen verändert sich dies, denn nun ist die Technologie einen Schritt voraus – und schafft so unabsichtlich neue Probleme und Schwachstellen.

Lesen Sie den Originalbeitrag von Fred Juhlin auf unserem Corporate Blog: RSA 2017 – 5 Things to Think About.