Den Cyberkriminellen einen Schritt voraus

Mit seinen zahlreichen Security-Forschungszentren steht der europäische Hersteller ESET im Zentrum stürmischer Entwicklungen: Malware ist im Aufschwung, die Angriffe werden gefährlicher, das Rennen gegen Cyberkriminelle überfordert viele Unternehmen. Die Sicherheitsexperten aus der Slowakei bauen ihr Produktportfolio deshalb kontinuierlich aus und bieten eine breite Palette an Lösungen für Unternehmen aller Größen an. Dabei hatte alles mit einem einfachen Virenscanner begonnen, wie Andreas Krause beim Interview im Kameha Grand Hotel in Bonn berichtet.

ITD: Herr Krause, zu Beginn einen herzlichen Glückwunsch zum Dreifachgeburtstag: ESET wird gleichzeitig 35, 30 und 20. Wie ist das zu verstehen?

Andreas Krause: Die drei Geburtstage stehen für wichtige Meilensteine in der Unternehmensgeschichte. Vor 35 Jahren, also noch vor dem Ende des Ostblocks, entdeckten die jungen slowakischen Programmierer Peter Paško und Miroslav Trnka einen der ersten Computerviren – ausgerechnet im Kernkraftwerk Bohunice. Die beiden schrieben daraufhin ein Programm zur Erkennung des Schädlings. 1992 wurde eine erweiterte Version der Software zum ersten Produkt des in Bratislava gegründeten Security-Anbieters. Vor 20 Jahren entstand ESET Deutschland – inzwischen eine der wichtigsten und erfolgreichsten Niederlassungen. Wurde die erste Version der Antiviren-Software noch aus dem Wohnzimmer heraus verkauft, sind wir heute ein europäisches Security-Unternehmen mit internationaler Verbreitung. In 30 Regionalbüros und 13 Forschungszentren arbeiten mehr als 2.000 Mitarbeiter für uns.

ITD: Vor 35 Jahren waren Virenscanner eines der ersten Security-Produkte überhaupt und haben zumindest für private Anwender ausgereicht. Das war vor dem Aufstieg des Internets. Inzwischen ist IT-Security nicht mehr so einfach zu haben. Wie sieht die aktuelle Bedrohungslage aus?

Krause: Der Russland-Ukraine-Krieg hat der Cyberkriminalität noch einmal einen großen Schub gegeben. Vor allem die sogenannten Advanced Persistent Threats (APT) werden immer häufiger und stehen im Moment oft im Zusammenhang mit der Ukraine. Beispielsweise kamen fast 60 Prozent der im ersten Quartal dieses Jahres verzeichneten Angriffe auf das Remote-Desktop-Protokoll aus Russland. Umgekehrt ist Russland in diesem Zeitraum laut unseren Telemetriedaten das Hauptzielland von Ransomware-Angriffen geworden. Generell gibt es heutzutage viel mehr Bedrohungen. Die Zeiten von eher lästigen als gefährlichen Viren sind schon lange vorbei. Wenn ich mir heute die Arbeitsmechanismen in den Unternehmen anschaue, dann stelle ich fest: Die Mitarbeiter sitzen oft im Homeoffice oder an anderen Orten und arbeiten größtenteils dezentral. Dadurch steht die IT-Infrastruktur vor großen Security-Herausforderungen.

ITD: Welche Rolle spielt die zunehmende Vernetzung in der Industrie?

Krause: Inzwischen sind Maschinen und Geräte an das Internet angeschlossen, wodurch sich die Angriffsfläche vieler Unternehmen vergrößert. Deshalb sind APT-Angriffe auf Kritische IT-Infrastrukturen (KRITIS) professioneller und gefährlicher geworden. Ihre Bekämpfung ist entscheidend für die Existenz von Organisationen. Wir sind allerdings in unserer Unternehmensgeschichte zu dem Schluss

gekommen, dass es niemals eine 100-prozentige Sicherheit geben wird. Dafür sind die Angreifer, ob nun aus kriminellen oder aus militärischen Gründen, zu geschickt.

ITD: Sie bewerben Ihr Portfolio mit dem Slogan „Made in EU“. Was sind aus Anwendersicht die Vorteile dieser geographischen Positionierung?

Krause: Auch hier müssen wir wieder mit dem Russland-Ukraine-Krieg beginnen: Wie wir alle wissen, gibt es russische Security-Unternehmen, die im Moment in die Kritik geraten sind. Viele Unternehmen und Behörden haben diesen Anbietern nach der BSI-Warnung klar das Vertrauen entzogen. Deshalb heben wir gerne hervor, dass wir unter den gesetzlichen Rahmenbedingungen der Europäischen Union agieren. Das zeigen wir beispielsweise ganz deutlich mit der Unterzeichnung der TeleTrust-Selbstverpflichtung zu „IT- Security made in EU“ und unseren umfangreichen Zertifizierungen nach ISO 9001 und 27.001. Damit garantieren wir unseren Kunden eine geprüfte Sicherheit. Und unsere zweite Garantie lautet: Es gibt in unserer Software keine Hintertüren und Ausnahmen. Darüber hinaus sind wir aufgrund unserer Gesellschafterstruktur unabhängig von Kapitalgebern. Das Unternehmen ist immer noch in Privatbesitz, auch wenn sich die Gründer inzwischen aus dem Alltagsgeschäft zurückgezogen haben. Wir achten zudem sehr stark darauf, dass der gesamte Quellcode unserer Software eine Eigenentwicklung ist. Jede Zeile wird intensiv getestet und anhand von Security-Benchmarks überprüft. Auch für unsere eigene Software gilt unsere Grundregel, dass es keine 100-prozentige Sicherheit geben kann. Entscheidend ist vielmehr, mit allen Kunden und Partnern offen zu kommunizieren und mit Updates auf Schwierigkeiten zu reagieren. Der Faktor „Mensch“ spielt dabei auch eine nicht unwesentliche Rolle. Wir priorisieren eine Kultur des effektiven Teamplays in Bezug auf fördern und fordern. Primäres Ziel neben den Zahlen (Umsatz, Deckungsbeiträge) sind Kunden-, Partner- und Mitarbeiterzufriedenheit. Das unterstützt eine offene Kommunikation.

ITD: Ihr Hauptgeschäft sind Enterprise-Kunden, denen Sie Lösungen für Endpoint Detection and Response (EDR) anbieten. Was ist darunter zu verstehen?

Krause: Dabei geht es um die beiden wichtigsten Elemente jeder Security-Strategie: erkennen und reagieren. Einerseits müssen Unternehmen ihre Endpunkte schützen, da dort die meisten Angriffe stattfinden. Hier steht im Vordergrund, Anomalien sofort zu erkennen („Detection“). Andererseits sollten die angegriffenen Unternehmen unmittelbar auf Anomalien reagieren („Response“), beispielsweise durch die Alarmierung eines IT-Mitarbeiters oder eine automatische Reaktion in der Software. Solche Systeme waren bis vor kurzem vorwiegend in Großunternehmen und Konzernen üblich. Denn eine wichtige Voraussetzung für den Erfolg von EDR ist der Aufbau eines Security Operation Centers (SOC). Das ist im Einzelfall ein erheblicher Aufwand. So ist dort ein 24/7-Ganzjahresbetrieb notwendig – die Angreifer machen keine Pausen.

ITD: Mittelständische Unternehmen oder Handwerksbetriebe können das vermutlich nicht leisten, sind aber oft von Phishing oder Ransomware bedroht …

Krause: Deshalb bieten wir unser Know-how und unsere Tools für EDR inzwischen auch als Managed Service an. Damit unterstützen wir Organisationen aller Art beim Einsatz von Sicherheitslösungen zur Verwaltung, Erkennung, Analyse und Abwehr von Bedrohungen. Wie üblich bei einem Managed Service beansprucht unsere Dienstleistung keine Personal-, Hardware- oder Software-Ressourcen im Unternehmen. Wir nennen das übrigens abgekürzt MDR, Managed Detection and Response. Dabei schneiden wir die Services genau auf den jeweiligen Bedarf zu. Die nutzenden Unternehmen erhalten also nicht nur die Software, sondern auch Hilfe bei der Untersuchung von Vorfällen sowie eine ausführliche Analyse von Malware. Zudem bieten wir Rat bei der Definition eines Reaktions- und Abhilfeplans und unterstützen personell bei Sicherheitsvorfällen. Da nicht unbedingt jedes Unternehmen den vollen Umfang der Managed Services benötigt, haben wir den Leistungsumfang in drei Stufen gegliedert.

ITD: Wie sehen diese Stufen aus?

Krause: EDR Essential bietet unseren Kunden den Betrieb aller Tools und Services. EDR Advanced umfasst auch den Support bei Prävention oder Konfiguration und EDR Ultimate schließlich stellt einem Unternehmen ein SOC im 24/7-Betrieb zur Verfügung. Letzteres ist ideal für alle Unternehmen in Branchen wie Energie, Finanzen oder Gesundheit. Sie werden in Deutschland von der KRITIS-Verordnung und dem IT-Sicherheitsgesetz zu wirkungsvollen Sicherheitsstrategien angehalten.

ITD: Wie sollte Ihrer Erfahrung nach eine solche Sicherheitsstrategie aussehen?

Krause: Das Wichtige einer Sicherheitsstrategie ist die individuelle Anpassung an das jeweilige Unternehmen. Denn die Anforderungen unterscheiden sich nach Unternehmensgröße, Geschäftsmodell, der genutzten Software und einigen anderen Kriterien. Doch trotzdem gibt es ein wichtiges Security-Prinzip, das heutzutage in jedem Unternehmen verwirklicht werden muss: Zero Trust. Auf Deutsch lässt sich das Prinzip vielleicht am besten mit der Formel „Vertraue niemandem, kontrolliere jeden“ beschreiben. Technisch ausgedrückt geht es darum, dass in einem Unternehmen der gesamte Netzwerkverkehr als nicht vertrauenswürdig betrachtet werden sollte. Deshalb müssen Sicherheitsexperten alle Ressourcen überprüfen und absichern sowie eine strenge Zugriffskontrolle verwirklichen, die den gesamten Netzwerkverkehr überprüft und protokolliert. Grundsätzlich sollte in jedem Unternehmen das Prinzip der geringsten Berechtigung gelten: Jeder Anwender bekommt nur so viel Berechtigung, wie er gerade eben für seine Aufgaben benötigt.

ITD: Können Sie ein konkretes Beispiel nennen?

Krause: Mitarbeiter in der Debitorenbuchhaltung benötigen ausschließlich Zugriff auf die entsprechende Anwendung und nicht etwa auf Enterprise-Resource-Planning-Systeme (ERP). Ein weiterer wichtiger Aspekt ist die regelmäßige Prüfung der Zugriffsrechte. Auch hier ist vielleicht ein Beispiel am einfachsten zu verstehen: Wenn der erwähnte Mitarbeiter von der Debitorenbuchhaltung in die Personalwirtschaft wechselt, muss ihm natürlich der Zugriff auf die Buchhaltungsprogramme entzogen werden. Diese Vorgehensweise verbreitet sich seit einigen Jahren in den Unternehmen, da sie stärker den aktuellen IT-Infrastrukturen entspricht. Klassische Sicherheitskonzepte stellen die Absicherung des Perimeters in den Vordergrund, beispielsweise mit Firewalls und Virenschutz.

Diese Verfahren haben auch heute noch Bedeutung. Sie müssen aber unbedingt durch Methoden wie Verschlüsselung, Authentifizierung, sichere Protokolle und selbstkontrollierende Systeme ersetzt werden. Zero Trust ist ein perfektes Modell, um die Risiken eines hybriden Arbeitsplatzes zu senken. Es kennzeichnet sich in erster Linie dadurch, dass sich die Sicherheitsbereiche stets ändern, Mitarbeiter ständig authentifiziert werden müssen und Netzwerke segmentiert werden, um die Ausbreitung von Bedrohungen zu verringern.

ITD: Mit welchen Security-Technologien können Unternehmen Zero Trust umsetzen?

Krause: Unser Zero-Trust-Ansatz besteht aus einem dreistufigen, aufeinander aufbauenden Reifegradmodell. Je höher die Stufe ist, desto besser ist die Schutzwirkung. Das Ziel: es „Eindringlingen“ so schwer wie möglich zu machen. Das Modell startet mit der Basisstufe „Grundschutz Plus“, die dem Prinzip des Multi Secured Endpoints folgt. Damit ist die Absicherung von Endpunkten mit Malware-Schutz, Firewalls, Spamfilter, Verschlüsselung und Sandboxing gemeint. Diese Stufe eignet sich unabhängig vom individuellen Schutzbedarf für jede Organisation und ist eine Mindestanforderung. In der nächsten Stufe erweitert sich der Schutz auf Endpoint Detection and Response. EDR ersetzt aber keine Endpoint Protection oder Antiviren-Lösungen, sondern ergänzt sie um eine wichtige Komponente: die Erkennung von Verhaltensanomalien, die im Netzwerk und auf den Endgeräten auftreten. Mit zusätzlichen Vorkehrungen wie einem Virtual Private Network (VPN) und Multi-Faktor-Authentifizierung lassen sich alle Internetzugriffe auf Server besser absichern. In der dritten Stufe geht es darum, Abwehrmaßnahmen gegen Malware und Hacker zu ergreifen, bevor sie zuschlagen. Unternehmen benötigen dringend einen zeitlichen Vorsprung. Cyberkriminelle rüsten ihre Malware und andere Werkzeuge permanent auf. Die Angriffe werden immer komplexer und treffen Unternehmen oft wie aus dem Nichts. Häufig können Unternehmen hier nur hoffen, dass die eingesetzten Security-Lösungen der Attacke standhalten.

ITD: Das betrifft auch die Lösungen von ESET. Wie gehen Sie mit dieser Situation um?

Krause: Unternehmen benötigen zusätzlich zu ihren internen Daten – also Erfahrungen aus bekannten Angriffen – auch externe Daten aus den aktuellen, weltweiten Bedrohungen. Wir nennen das Threat Intelligence. Wir nutzen die von mehr als 110 Millionen Sensoren weltweit über Livegrid erfassten Informationen, die an unser Cloud-basiertes Sicherheitssystem übermittelt werden. Dazu zählen beispielsweise Malware-Funde, geblockte oder erfolgreiche Angriffe oder Phishing-Mails. In unseren Forschungs- und Entwicklungszentren rund um den Globus sichten und werten Spezialisten diese Daten aus. So können wir unseren Kunden mit tagesaktuellen Daten ein besonderes Wissen zur Verfügung stellen. So liefert z.B. der Report zu Botnet-Aktivitäten quantitative Daten über bekannte Malware-Familien und Botnet-Varianten. Zudem erhalten Administratoren Informationen über bekannte, in Botnet-Kampagnen eingesetzte Command-and-Control-Server (C&C), Samples von Botnets, wöchentliche globale Statistiken und eine Liste an Zielen der Malware. Ein weiterer Report fasst Erkenntnisse zu zielgerichteten Angriffen zusammen. Dieser informiert den Anwender über mögliche Advanced Persistent Threats gegen das Unternehmen. Der Bericht zu erkannter Malware hält Anwender über Angriffskampagnen auf dem Laufenden – selbst wenn diese noch am Anfang stehen. Unternehmen können damit Risiken besser verstehen und auf Bedrohungen effektiv reagieren, bevor überhaupt ein Angriff stattfindet. Damit gelingt es uns, recht nah an eine 100-prozentige Sicherheit heranzukommen und damit unseren Kunden ein Optimum zu bieten.

Andreas Krause

Familienstand: verheiratet

Derzeitige Position: Director Enterprise Sales und Pre-Sales bei ESET

Werdegang: Mitglied der Geschäftsleitung bei Herstellern, einem Systemhaus und in der Distribution

Interessen: Sport in den Bergen (Mountainbike, Berglauf, Alpin-Skifahren)

https://www.it-zoom.de/it-director/e/den-cyberkriminellen-einen-schritt-voraus-31277/

Leave a Reply