Pentest Blog: 2023 feierte die SySS ihr 25. Jubiläum. Was waren Ihre persönlichen Highlights?
Sebastian Schreiber: Der Jubiläumsbetriebsausflug, unsere Kreuzfahrt in der türkischen Ägäis mit den sechs Zweimastern – das war für mich nicht nur ein Highlight letztes Jahr, sondern ein Highlight in der gesamten Firmengeschichte. Wir machen jedes Jahr tolle Reisen, aber das setzt dem Anlass natürlich die Krone auf. Ansonsten hatte ich das Gefühl, dass seit 2023 die Corona-Nachwehen bezüglich Konferenzen endgültig weg sind, z. B. waren 24 Kolleg:innen auf dem Chaos Communication Congress in Hamburg. Aber auch die anderen großen Konferenzen, wie die Handelsblatt Jahrestagung Cybersecurity, die für mich persönlich auch immer eine Herzenssache ist, und der Talk von Moritz Abrell auf der Black Hat in Las Vegas waren ein voller Erfolg. Wir waren natürlich auch wieder auf der it-sa, den Internet Security Days im Phantasialand und der IKT in Linz. Mich freut, dass die Zeit der menschlichen Kontakte wieder da ist!
Pentest Blog: Auf der anderen Seite der IT-Sicherheit war 2023 ein Jahr der zahlreichen erfolgreichen Cyberangriffe. So waren laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Ransomware-Angriffe mit Lösegeldforderungen (wie bereits die Jahre zuvor) noch immer die Hauptbedrohung im Cyberraum. Zum Beispiel gab es einen großen Hackerangriff auf die Südwestfalen-IT und einen mit anschließendem Datenleak bei der Hotelkette Motel One, bei dem private Informationen von Gästen veröffentlicht wurden. Wie funktionieren diese Angriffe?
Sebastian Schreiber: Bei der Südwestfalen-IT wurde das Rechenzentrum geknackt und deswegen lagen die IT-Systeme von vielen Kommunen wochenlang brach. Datenleaks wie bei Motel One stehen in den allermeisten Fällen im Zusammenhang mit Krypto-Ransomware-Angriffen. Die Täter drohen hier nach der Verschlüsselung der Daten damit, ausgewählte Daten zu veröffentlichen, wenn das Unternehmen den Schlüssel nicht kauft, um dem Unternehmen Schaden zuzufügen. Das bedeutet, die Täter haben einen Weg gefunden, Hackererfolge zu monetarisieren. Kurz gesagt: Hacker knacken Systeme, verschlüsseln die Daten und stellen hinterher eine Lösegeldforderung. Und hier zeigt es sich oft, dass Täter mit verblüffend einfachen Techniken erfolgreich in die Unternehmen kommen.
Pentest Blog: Worauf lässt sich der oftmals einfach zu erzielende Erfolg dieser Angriffe zurückführen?
Sebastian Schreiber: Das liegt daran, dass auch Unternehmen, die schon IT Security betreiben (Firewalls, Virenscanner etc.), oft noch offene Flanken haben. Es werden immer wieder, aus ganz unterschiedlichen Gründen, zentrale IT-Sicherheitsmechanismen vergessen – das ist gefundenes Fressen für die Ransomware-Gangs. Retrospektiv betrachtet stellen wir immer wieder fest, dass unsere Consultants das auch herausgefunden hätten, möglicherweise schon im ersten Vierteltag eines Projekts. Daher gilt: Unternehmen müssen mehr in IT Security investieren!
Pentest Blog: Unterscheiden sich die heutigen Ransomware-Angriffe denn von denjenigen der letzten Jahre?
Sebastian Schreiber: Ja, das Interesse der Täter ist mittlerweile klar finanziell motiviert: Früher waren die Leaks für die Täter mit Jagdtrophäen vergleichbar, heute überwiegt die wirtschaftliche Komponente eindeutig. Da ist ein klarer Trend hin zur Professionalisierung und Spezialisierung erkennbar: Die Angriffe sind zwar dieselben wie vor zehn Jahren, aber die Täter agieren jetzt wie Franchise-Unternehmen. Sie nutzen Arbeitsteilung, haben einen Customer Support und eine richtige Human Resources (HR)-Abteilung. Sie werden dadurch natürlich viel effizienter und können ihr „Cybercrime-as-a-Service“-Modell günstiger anbieten.
Pentest Blog: Was glauben Sie, wird 2024 das wichtigste Thema innerhalb der IT-Sicherheit werden?
Sebastian Schreiber: Dieses Jahr wird KI ein großes Thema sein, denn mittlerweile kann man einer KI, ähnlich wie bei ChatGPT, Angriffe füttern und die KI kann daraus neue Angriffe bauen. Ich erwarte eine Vielzahl von neuen Angriffstechniken und auch eine Beschleunigung.
Pentest Blog: Wie haben Sie und die SySS vor, dem zu begegnen?
Sebastian Schreiber: Unser Rezept ist nach wie vor: Durchführung von Penetrationstests, Beheben der Schwachstellen und daraus lernen. Diese drei Dinge sind die Blaupause sowohl für kleine als auch für große Unternehmen, wenn sie nicht gehackt werden möchten. Deswegen boomt unsere Branche so sehr. Pentests müssen auch weiterhin zunehmen, da Schwachstellen und Angriffe ja auch immer bekannter werden.
Pentest Blog: Fördern dahingehend Richtlinien wie die NIS 2 ein Umdenken in den Unternehmen, hin zu mehr IT-Sicherheit?
Sebastian Schreiber: Gesetzliche Beschlüsse auf europäischer Ebene zwingen nun auch kleinere und mittlere Unternehmen, sich mit Cybersicherheit zu beschäftigen. Wir bei der SySS merken hier auf jeden Fall schon einen Anstieg der Pentests bei eher kleinen Unternehmen, die oft sehr spannend sind und die wir natürlich auch gerne bedienen. Dahingegen war das etwas, worüber sich früher eigentlich nur die großen DAX-Player Gedanken gemacht haben.
Pentest Blog: Helfen solche Maßnahmen auch auf der Ebene von staatlichen Institutionen und Akteuren, in Zeiten zunehmender Cyberkriegsführung und der „weltweit größten Cyberattacke auf Telekommunikations-Infrastruktur“ im Dezember letzten Jahres?
Sebastian Schreiber: Höhere Schutzwälle aufzubauen, hilft gleichermaßen gegen Gelegenheitstäter, aber auch gegen staatliches Hacking. Eine resilientere IT muss auch hier das Ziel sein!
Pentest Blog: Spielen neben dem Penetrationstest als wichtigstem Instrument auch präventive Maßnahmen wie z. B. Phishing-Simulationen eine wichtige Rolle?
Sebastian Schreiber: Klares „Ja!“. Phishing und Spam nutzt auch jetzt schon KI, im Gegensatz zu früher schlecht gemachten Phishing- und Spam-E-Mails sind sie heute ohne Weiteres nicht zu unterscheiden. Zukünftige Phishing-E-Mails nehmen Bezug auf etwas real Existierendes und sorgen dafür, dass wir den Eindruck haben, dass sich die Phishing-E-Mail unmittelbar an mich wendet. Ich nehme die Mail dann ernst und bearbeite sie dementsprechend. Da müssen wir einen schärferen Blick auf eingehende Mails haben. Und das kommunizieren wir in unseren Phishing-Assessments sowie in unseren Schulungen.
Pentest Blog: Wie haben Sie vor, sowohl IT-Sicherheit umfänglich zu betrachten als auch spontan auf neue Herausforderungen zu reagieren? Wie reagiert die SySS konkret auf die heutigen Anforderungen und Problematiken bez. Cybersicherheit?
Sebastian Schreiber: Ich bin mir sicher, dass aufkommende KI-Angriffe dazu führen werden, dass Unternehmen noch stärker unter Beschuss sind und damit auch mehr Pentests bei uns nachgefragt werden. Wir müssen dann natürlich in der Lage sein, da mitzuhalten. Optimalerweise müssen wir im Voraus Angriffe, die es jetzt noch gar nicht gibt, bedenken und eine resilientere Infrastruktur vorschlagen. Wir müssen unseren Kunden dabei helfen, ihre Infrastrukturen gegen zukünftige Exploits und Angriffe zu härten. Ich sehe die SySS nach wie vor als hochspezialisiertes Unternehmen in einer Nische der IT-Sicherheitsbranche. Wir können offensive Sicherheit und Incident Response – und das besser als jeder andere. Ich bin bereit, in unserer kleinen Branche viel zu investieren. Da will ich der Beste sein, da will ich Avantgarde sein, da will ich Markt- und Technologieführer sein!
Pentest Blog: Sie haben bereits 2009 die Berufsethik für Penetrationstester formuliert. Sind die Werte für Sie weiterhin aktuell?
Sebastian Schreiber: Ja, natürlich! Ich möchte keinesfalls Produkte verkaufen, denn das würde unsere Dienstleistung verwässern und auch unsere Objektivität trüben. Unsere Penetrationstests müssen lauter und unabhängig sein. Bei unseren Beratungsgesprächen nehmen wir immer die Interessen der Kunden wahr, wir wollen aber auch, dass dies offensichtlich ist, dass es also nicht zu Interessenskonflikten kommt. Nur so können wir unsere Qualitätsversprechen einlösen.
Pentest Blog: Wie stellt die SySS den Qualitätsanspruch und die Fertigkeiten ihrer IT Security Consultants auch in Zeiten der schnellen digitalen Entwicklung sicher?
Sebastian Schreiber: Wir führen in unserem eigenen Labor Forschungsprojekte durch, testen z. B. Software, Hardware und Funkkommunikation als Grundlagenforschung, um Schwachstellen zu finden, aber auch, um unsere eigenen Tools zu schärfen und Skills aufzubauen. Die SySS-Mitarbeiterinnen und -Mitarbeiter besuchen regelmäßig Schulungen und wir bieten auch selbst viele Schulungen am Markt an. Aber auch für die Ausbildung unserer jungen neuen Mitarbeiterinnen und Mitarbeiter stellen wir im Rahmen unseres Einarbeitungsprogramms mit Vollzeittutoren sicher, dass sie gut eingearbeitet werden. Wir scheuen da keine Investitionen, da wir immer ganz oben mitspielen wollen. Und das können wir uns leisten.
Pentest Blog: Welche konkreten Ziele möchten Sie dieses Jahr mit der SySS erreichen?
Sebastian Schreiber: Mein Ziel für 2024 sind zufriedene Kunden, zufriedene Mitarbeiterinnen und Mitarbeiter und ein kleines Wachstum. Und ich will unsere Skills zum Beispiel im Bereich Red Teaming verbessern. Ich möchte auch gerne weitere Rahmenvertragskunden gewinnen. Aber unabhängig von den Zahlen, die ich mir jeden Tag anschaue: Was mich persönlich wirklich freut, ist, wenn wir von den Kunden echten Dank bekommen. Ich freue mich dann natürlich auf das Reisen, viele spannende Menschen zu treffen und noch mehr als im letzten Jahr eine hochwertige menschliche Kommunikation zu pflegen, die nach wie vor an einem Tisch stattfindet – nicht in einem Zoom-Raum. Ich möchte außerdem meinen Kunden wieder mehr Besuche anbieten.
Pentest Blog: Welche drei Tipps können Sie abschließend unseren Leser:innen mit auf den Weg geben, die sie gleich umsetzen können, um ihre IT-Sicherheit zu verbessern?
Sebastian Schreiber:
Pentest Blog: Vielen Dank, Herr Schreiber, für das aufschlussreiche Gespräch, und ein erfolgreiches Jahr 2024!
08.10.2024
- 09.10.2024
Hack1/Hack2: Hacking Workshop
10.10.2024
- 11.10.2024
Hack1/Hack2: Hacking Workshop
15.10.2024
Awe2: Phishing Awareness
15.10.2024
- 16.10.2024
Hack7: Sicherheit und Einfallstore bei Webapplikationen
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer