Quo vadis IT-Security 2017?

In vielen Unternehmen sind definierte Prozesse zur Durchführung von IT-Sicherheitsüberprüfungen mittlerweile bereits seit Jahren fester Bestandteil der Unternehmenskultur. Hier werden immer wieder und in der Regel durch unabhängige externe Dienstleister unterschiedliche Bereiche der IT-Infrastruktur auf mögliche Schwächen hin analysiert, um eine kontinuierliche Verbesserung der IT-Sicherheit zu unterstützen. Dabei werden sowohl in fortwährenden Audits und Penetrationstests konkrete Schwachstellen entdeckt, als auch das Fachwissen der Mitarbeiter in Workshops und erweitert. IT-Security ist ein Prozess, kein Zustand, wie die Begriffe „Sicherheit“ bzw. „Sicherheitstest“ suggerieren könnten.

Sicherheit als Prozess

So schützt etwa weder eine von Penetrationstestern zu einem bestimmten Zeitpunkt grundsätzlich als „sicher“ erachtete Firewallstruktur noch der konsequente Einsatz an sich vertrauenswürdig einzuschätzender namhafter Hersteller vor Security-Vorfällen. Ein Beispiel: Im Herbst 2016 identifizierte die SySS GmbH einen schwerwiegender Fehler in der Videotelefonielösung Cisco Jabber Guest, der die partielle Umgehung eines existierenden Firewallschutzes ermöglichte (https://www.syss.de/pentest-blog/article/2016/12/14/syss-2016-115-schwerwiegende-sicherheitsluecke-in-cisco-jabber-guest/, https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20161207-expressway.html).

Gleichzeitig aber zeigte sich hier in der Praxis, dass eine über Jahre hinweg immer wieder auditierte, konsequente firewalltechnische Abschottung verschiedener Netzwerkbereiche innerhalb eines Unternehmens die negativen Folgen dieses schwerwiegenden Fehlers für das IT-Sicherheitsniveau deutlich abfedert. Werden solche oder vergleichbare Schwachstellen bekannt, zeigt sich, was ein hohes technisch-infrastrukturelles IT-Sicherheitsniveau (Firewall, Spam- und Virenschutz, Patchmanagement) Wert ist und wie wichtig es ist, dieses Level auch kontinuierlich trotz der – insbesondere in der IT-Branche existierenden – Dynamik hoch zu halten.

Im Folgenden wollen wir einen kurzen und exemplarischen Blick auf die Veränderung der IT- und Security-Landschaft der vergangenen sechs Jahre werfen (IPv6, TLS, dDoS) und dabei Hinweise geben, die der Priorisierung eigener unternehmensinterner Prüfprozesse dienlich sein können.

Die Vorfälle nehmen zu

Seit dem Jahr 2011 stellt die SySS GmbH fest, dass Einbrüche in IT-Systeme zahlenmäßig zunehmen. Auch wenn Einbrüche nicht absolut ausgeschlossen werden können, sind dennoch vier wesentliche Aspekte zu berücksichtigen, um sowohl Einbruchsversuche zu vereiteln als auch im Schadensfall angemessen reagieren zu können. Es handelt sich dabei um Netzwerkdesign (Firewallkonzept/Netzwerksegmentierung), Softwareaktualisierungsprozesse (Patchmanagement), Awareness (Passwortqualität) sowie eine möglichst umfassende Protokollierung. Insbesondere die Qualität der Protokollierung nimmt dann ab, wenn Outsourcing beziehungsweise Cloudlösungen verwendet werden, da meist nicht auf Rohdaten der Protokolle dieser Clouddienstleister zugegriffen werden kann. Dies erhöht die Notwendigkeit, die vorhandenen Protokollierungsmöglichkeiten auszuschöpfen, idealerweise gepaart mit einem Configuration Monitoring.

Herausforderung IPv6

In technischer Hinsicht ist die Einführung von IPv6 eine wesentliche Veränderung, die auch angemessen durch Know-how-Aufbau und Sicherheitsüberprüfungen begleitet werden sollte. Durch die Vergabe der letzten freien IPv4-Netze Anfang 2011 ist ein Zustand eingetreten, der für viele Unternehmen (und zwar nicht nur klassische IT-Dienstleister) die Erstellung eines Zeitplans zur IPv6-Einführung notwendig erscheinen lässt. Da die Deutsche Telekom seit Sommer 2015 innerhalb des Mobilfunknetzes IPv6 als primär genutztes Transportprotokoll verwendet, ist nach Einschätzung der SySS GmbH die „kritische Masse“ an Nutzern in Deutschland längst erreicht, sodass IPv6 als weithin genutztes Netzwerkprotokoll bezeichnet werden kann (neben weiteren Zugangsprovidern, die ebenfalls IPv6 als Transportprotokoll nutzen wird insbesondere innerhalb einer Microsoft Exchange-Umgebung intern seit vielen Jahren bereits IPv6 verwendet - häufig ohne dass dies bekannt ist). Die Komplexität der längeren IPv6-Adressen verstärkt die Notwendigkeit für ein funktionstüchtiges Domain Name System (DNS). Vorhandene Notfallpläne sind deshalb auch unter diesem Aspekt zu überarbeiten, da die längeren IPv6-Adressen Tippfehler begünstigen. Deshalb ist für Disaster Recovery-Situationen DNS mit höherer Priorität als bei IPv4 wieder in Betrieb zu nehmen.

Nicht verschlüsseln ist auch keine Lösung: TLS

Die Nutzung verschlüsselter Datenkommunikation nimmt in deutlichem Ausmaß zu, was durchaus – aber längst nicht ausschließlich – auf die Veröffentlichungen Edward Snowdens zurückzuführen ist. So wird das unverschlüsselt arbeitende HTTP demnächst durch das verschlüsselte HTTPS als Standardprotokoll ersetzt (siehe dazu u. a. https://heise.de/-2631303, https://heise.de/-3238844 oder https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure). Die Details des zugrunde liegenden Verschlüsselungsprotokolls TLS ändern sich dabei noch recht häufig und wiederholt wurden neue kryptografische Schwachstellen entdeckt. Dies erfordert ein permanentes Nachjustieren der Einstellungen von entsprechenden Systemen und Anwendungen. Zum Zeitpunkt der Abfassung dieser Zusammenfassung ist beispielsweise der Verschlüsselungsalgorithmus Triple DES nicht mehr als sicher zu bezeichnen, da im Sommer 2016 eine neue Angriffsart (Sweet32) identifiziert wurde. Gleichzeitig werden Zertifikate mit dem Hash-Algorithmus SHA-1 seit Anfang 2017 von einigen Global Playern (Google, Microsoft) nicht mehr als vertrauenswürdig deklariert.

2017 soll zudem ein neuer TLS-Standard (1.3) veröffentlicht werden, der sich noch in aktiver Entwicklung befindet (siehe https://tools.ietf.org/html/draft-ietf-tls-tls13-19). Dies unterstreicht die Dringlichkeit nicht nur der technischen Anpassung, sondern auch der regelmäßigen Fortbildung.

Systeme verweigern den Dienst: dDoS

Problematisch stellt sich die Situation bei massiv verteilten Angriffen (dDoS) gegen die Verfügbarkeit dar. Die Ereignisse im Jahr 2016, insbesondere der Angriff gegen den US-amerikanischen DNS-Dienstleister Dyn im Oktober, zeigen bedauerlicherweise, dass lediglich Maßnahmen zur Verzögerung eines Angriffs getroffen werden können, aber kein wirkungsvoller Schutz existiert. Dies sollte insbesondere dann berücksichtigt werden, wenn auf Cloudlösungen zurückgegriffen und der Cloudbetreiber angegriffen wird, um als eigentliches Ziel einen anderen Kunden zu schädigen. Die Beeinträchtigung weiterer Kunden als Kollateralschaden wird seitens der Angreifer billigend in Kauf genommen. Die Nutzung von Cloud-Diensten erhöht somit in einigen Fällen die Wahrscheinlichkeit, Opfer eines dDoS-Angriffs werden.

Nutzung, Entwicklung und Betrieb in der IT – was sich verändert

Neben den genannten, absehbaren technischen Veränderungen findet eine immer stärkere Vermischung von beruflicher und privater Kommunikation statt, die gesellschaftlich akzeptiert, toleriert oder sogar eingefordert wird. Mit am deutlichsten zeigt dies die Etablierung von iPhones als Business-Handy. Neben den iOS-basierten Produkten iPhone/iPad gilt dies ebenso für Geräte, die Android nutzen. Dies wirft zahlreiche, auch und vor allem nicht technische Fragestellungen – Stichworte sind hier etwa Datenschutz, Steuerrecht und Haftung –  auf, da bei einer solchen Nutzung Spiele und andere Freizeitaktivitäten („Facebook“) auf dienstlichen Geräten stattfinden.

Neben der Vermischung von privater und dienstlicher Nutzung verändert sich auch der IT-Betrieb. Während klassischerweise zwischen Entwicklung (“Development“) und Betrieb (“Operation“) unterschieden wird, vermischt sich dies immer häufiger, was der Begriff „DevOp“ illustriert und durch die IT-Strategie CI/CD (Continuous Integration/Continuous Deployment) in einzelnen Unternehmen bereits umgesetzt wird. Die Einführung agiler Softwareentwicklung bei etlichen Unternehmen stellt nach Einschätzung der SySS GmbH ebenfalls eine Veränderung im IT-Betrieb dar, was bei anwendungsspezifischen Sicherheitstest entsprechend zu beachten ist.

Die Dynamik der IT-Branche wird in den kommenden Jahren kaum nachlassen und die IT-Security-Themen werden sicher nicht reduziert. Auf welchen Bereich sich Unternehmen hinsichtlich der Absicherung der IT-Infrastruktur auch fokussieren – was 2011 galt, gilt 2017 und auch in Zukunft: Die Arbeit an der IT-Sicherheit hört nie auf.