29.05.2020
 

WEBINAR: IT-Security CYBER Lounge | Future Talk | powered by Crowdstrike

Florian Bogner hatte im Webinar interessante Gäste zum Talk:


Thomas Mann | Group CISO | Kapsch gab exklusive Einblicke: "Aufschwung bei den Hackern - wie hat die Krise die IT-Security verändert? Und was kommt jetzt - SOC, Incident Response, SOAR etc. - welche neuen Prozesse sind notwendig?" 

Und Tobias Schubert | Senior Sales Engineer | CrowdStrike spricht über die ToDos nach der Krise: "Incident Response nach der Krise & die besonderen Herausforderungen an die "neue Sicherheit" &  Wie Sie Ihre Umgebung nach einem professionell geführten Angriff ohne Neuaufsetzen wiederherstellen & eine optimale Sicherheitslage aufbauen." 

 

 

Die Krise und die Zukunft der IT-Security

Die Corona-Krise hat die ganze Welt auf den Kopf gestellt. Doch nicht nur im Negativen. So haben sich für viele Menschen im digitalen Raum neue Chancen und auch Bequemlichkeiten ergeben. Dies jedoch nur unter der Voraussetzung, dass die Geräte im Home-Office vor Cyber-Angriffen – zumindest weitgehend – als geschützt eingestuft werden können.

Das Webinar IT-Security CYBER Lounge – Future Talk bot den Teilnehmenden brandaktuelle Themen

Durchs Webinar führte Florian Bogner. Seine beiden Gäste Thomas Mann (Group CISO | Kapsch) und Tobias Schubert (Senior Sales Engineer | CrowdStrike) gaben exklusive Einblicke, inwiefern die Corona-Krise die IT-Security verändert hat und welche Herausforderungen zu erwarten sind, um nach der Krise eine optimale Sicherheitslage aufbauen zu können.

Florian Bogner im Talk mit Thomas Mann

Die LSZ-Community erfuhr bei der Expertenrunde viele Details in Bezug auf die technische IT-Sicherheit und inwieweit sich die Cyber-Angriffe hinsichtlich ihrer Qualität verändert haben. Es geht hierbei primär um die Angriffe und Prozesse, die eine einschneidende Änderung erfahren haben, auch bedingt durch die Corona-Krise.

Thomas Mann erklärte, warum die Vielfalt der Kommunikationskanäle in den Unternehmen so entscheidend ist. Microsoft Teams, Signal und Skype sind häufig verwendete Plattformen. Vielfalt ist ein Rezept, um unterschiedliche Kommunikationsanforderungen und entsprechende Bedingungen abdecken zu können. Mit einem einzigen Werkzeug könnte man das gar nicht bewerkstelligen. Es werden immer verschiedene Kanäle verwendet.

Aber warum funktionieren Angriffe trotz vollaktualisiertem AV? Die Frage des Moderators beantwortete der Experte Tobias Schubert so: Angreifer wollen immer etwas haben oder etwas kaputt machen. Das sind die Grundmotivationen. Welche Mittel und Wege der Angreifer dafür heranzieht, ist stets dem Ziel geschuldet.

Das Thema VPN im Fokus

Thomas Mann bemerkte, dass die Nutzung der Heimarbeitsplätze vor Mitte März bei weitem nicht so intensiv stattgefunden hat. Durch den Lockdown musste ein großer Bedarf abgedeckt werden. Der Umfang hat dramatisch zugenommen, es handelt sich somit um ein Kapazitätsthema. Es werden bei Kapsch im Wesentlichen zwei VPN-Technologien eingesetzt. Diese haben Einsatzgebiete, im Sinne des Arbeitsumfeldes, welche die jeweilige Person benötigt. Der Ausbau der Kapazitäten bzw. Hochrüstung hat allerdings rasch und tadellos funktioniert. Es ging insbesondere darum, das Sicherheitsniveau mithilfe von Client-Zertifikaten als zweiten Authentifizierungsfaktor hochzuhalten und den Aufbau einer VPN-Verbindung für den User einfach zu gestalten.

Welche neuen Prozesse der Schutzmaßnahmen sind bezogen auf Home-Office-Endgeräte notwendig?

Zumal es völlig unterschiedliche Arbeitsplätze oder Nutzungen der Endgeräte gibt, war es notwendig, die Schutzmaßnahmen selektiv zu arrangieren. Nur auf diese Weise können MitarbeiterInnen von Unternehmen vor Angriffen geschützt werden. Und das unabhängig davon, wo sich das Endgerät physisch befindet. Ein Entwickler hat andere Anforderungen als jemand, der im administrativen Bereich arbeitet. Deshalb bestand die Herausforderung darin, die Schutzmaßnahmen an die Verwendung anpassen zu können.

Der Update-Mechanismus

Werden die Windows-Updates zu den regulären Bürozeiten, über die VPN oder zu Randzeiten verteilt? Thomas Mann beantwortete die Frage des Moderators kurz und bündig: Wir haben keine Tageszeitsteuer, unser Setup mit SCCM passt sich an die verfügbare Bandbreite an und hat keinen negativen Performanceeffekt. Die Security Strategie bei Kapsch zielt darauf ab, mit möglichst wenigen Technologiepartnern das Gesamtlösungsportfolio zusammenzubauen. Weil dadurch können Risiken, Abhängigkeiten und Interferenzen der verschiedenen Lösungen zueinander besser beherrscht werden.

Florian Bogner im Talk mit Tobias Schubert

Es schaffte unlängst ein Angreifer, die Domain-Admin-Rechte zu bekommen. Er hat den Backupserver gefunden und das gerade angesteckte Backup vernichtet. Somit waren alle Daten weg. Florian Bogner fragte den Experten Tobias Schubert, wie mit CrowdStrike auf entsprechende Angriffe reagiert werden kann. Und was genau braucht es denn, um eine optimale Sicherheitslage aufbauen zu können?

Tobias Schubert, der Senior Sales Engineer von CrowdStrike, sprach im Zuge des Webinars von Incident Response in Zeiten von Home-Office und wie Cyber-Angriffe in Zukunft erfolgreich abgewehrt und behoben werden können.

Konzeptionierung und Sicherheitsinfrastruktur in Corona-Zeiten

Etliche Unternehmen mussten den Großteil ihrer Belegschaft bzw. Arbeitsmannschaft ins Home-Office verfrachten. Viele von ihnen mussten dabei ihre Infrastruktur anpassen, egal ob in puncto VPN oder BYOD (Bring your own device) .

Die gesetzte Mission von CrowdStrike liegt darin, Data Breaches zu stoppen. Im Security-Betrieb ist Security-Incident rund um die Uhr angesagt. Es passieren permanent Dinge. Der Faktor Zeit, so Tobias Schubert, spielt hierbei eine zentrale Rolle. Es sollte, wenn möglich, der Incident gar nicht erst zu einem Breach werden können. Eine schnelle Reaktion und die rasche Eindämmung sind entscheidend, egal auf welchem Gerät und wo Sicherheitsereignisse stattfinden. Das ist der übergeordnete Rahmen.

Wer sind die Angreifer? Was machen sie und was ist ihre Motivation? Welche Industrien werden angegriffen und welche Tools und Wege werden eingesetzt? Je besser man versteht, was der Angreifer macht, so der Experte, desto besser kann das entsprechende Schutzniveau gespannt werden.

  • Endpoint Protection als Plattformcharakter: Es geht hierbei vordergründig darum, Daten zu erheben, damit die Grundlage geschaffen wird, um effektiv arbeiten zu können. Auf Basis dieser Daten kommt die entsprechende Security-Kompetenz ins Spiel. Man muss auch in der Lage sein, auf Angriffe entsprechend zu reagieren und das innerhalb eines kurzen Zeitfensters.

 

Der Faktor Angst und das Informationsverlangen

Welche Ziele sind es, die angegriffen werden, und wer sind die Akteure? Es ist wichtig, den Akteur zu tracken, um die Spur des Hackers im Internet verfolgen zu können. In Zeiten von Corona wurde vermehrt von Seiten der Angreifer auf ganz bestimmte Announcements der WHO oder von gewissen nationalen Behörden gesetzt.

Response ist auch in der Bereinigungsphase wichtig. Der Analyst sollte nicht nur in der Lage sein, Daten zu erheben, egal wo die Maschine ist und nahezu in Echtzeit. Auch das Containment (Quarantäne) ist entscheidend, damit eine Schadsoftware keine weiteren Schäden anrichten kann. Im folgenden Schritt geht es nämlich darum, die Bewertbarkeit zu erfassen, um bestimmte Responseschritte bzw. Playbooks anzustoßen.

Für allumfassende Security, so Tobias Schubert, gibt es zwei elementare Aspekte. Der eine heißt Complexity-Kills-Security. Das bedeutet: Über je mehr unterschiedliche Konsolen, Tools und Werkzeuge sich der Experte hangeln muss, damit er ein Bild vor Augen hat, desto schwieriger wird es zeitnah Gegenmaßnahmen umsetzen zu können. Der zweite Aspekt ist: Context Is Key. Je mehr der Experte auf einen Blick erfassen kann, je besser die Daten aufgearbeitet sind und der Zugriff auf die Daten ermöglicht wird, desto effektiver kann der Analyst beurteilen, was er vor sich hat. In Folge können die entsprechenden Schritte eingeleitet werden. Denn die Visibilität ist im Bereich der IT-Security das A und O.

Fazit aus dem Gespräch mit den IT-Security-Experten Thomas Mann (Group CISO | Kapsch) und Tobias Schubert (Senior Sales Engineer | CrowdStrike)

Der Future Talk in unserer IT-Security CYBER Lounge war besonders aufschlussreich und interessant. Zahlreiche UnternehmerInnen und ihre Teams fühlten und fühlen sich aufgrund der Corona-Epidemie nicht nur aufgrund des Virus unsicher, sondern auch in Hinblick auf die IT-Sicherheit. Webinare wie dieses können dazu beitragen, Ängste zu nehmen und innovative Lösungen ins Auge zu fassen. Denn informative Beiträge sind ein wichtiger Schlüssel, um die Sicherheit im Unternehmen in Zukunft voranzutreiben.

 

 

Weitere interessante Beiträge



Werden auch Sie Teil der LSZ Community!

Einfach unverbindlich anmelden und wir halten Sie mit aktuellen Beiträen und Infos zu Veranstaltungen am Laufenden. 

Communities


Welche Communities sind für Sie interessant?

Checks

Ja, ich habe die AGB gelesen und akzeptiert.*
Ja, ich habe die Datenschutzerklärung gelesen und akzeptiert. Die Einwilligung kann ich jederzeit widerrufen.*