Technisches Consulting: die neue Dienstleistung der SySS

Oft wird IT-Sicherheit erst in einem fortgeschrittenen Stadium eines Projekts oder nach einem konkreten Anlass zum Thema. Bedeutend effizienter ist es aber, die Sicherheitsaspekte bereits während der Konzeption zu beleuchten. Dem trägt die SySS mit der neuen Dienstleistung „Technisches Consulting“ Rechnung. Technisches Consulting bedeutet: kompetente Beratung in allen Projektphasen. Zu Projektbeginn steht die Konzeption des grundlegenden Sicherheitsdesigns im Fokus, während der Umsetzung der Abgleich von Ist- und Soll-Zustand, und zum Abschluss eines Projekts bzw. nach einem Penetrationstest die Planung der Fehlerbehebung sowie die Entwicklung von Verbesserungsmöglichkeiten. Technisches Consulting durch die SySS heißt außerdem: Vermittlung von Methodenkompetenz, damit Kunden künftige Themen selbst besser einschätzen und bearbeiten können.

Technisches Consulting: Beratung zu Beginn

IT ist in allen Unternehmen, Behörden und Institutionen tief verwurzelt. In jedem Projekt muss Informationssicherheit zumindest mitberücksichtigt werden, in vielen ist sie eine explizite Anforderung. Unabhängig davon, ob es darum geht, ein Netzwerk zu entwerfen, eine Software zu programmieren oder ein Hardwareprodukt umzusetzen: Kompetente Beratung zu Fragen der IT-Sicherheit von Anfang an verhindert entscheidende Fehler im grundlegenden Design und spart langfristig hohe Kosten, die bei einer nachträglichen Überarbeitung fällig werden könnten.

Beispiel: Netzwerkaufbau, Netzwerkumbau und Netzwerkstrukturierung

Analog zu Software und anderen Komponenten in der IT ändern sich auch die Anforderungen an Netzwerke in regelmäßigen, wenn auch in der Regel vergleichsweise größeren Abständen. Dies gilt für vollständig neue Netzwerke, die von Grund auf entwickelt werden, genauso wie für bestehende Netzwerke, die umgebaut oder restrukturiert werden sollen. Häufig sind Netzwerke historisch gewachsen und müssen auf ihre Verteidigungsfähigkeit überprüft werden. Zudem erfordern Änderungen an einer Netzwerkstruktur meist einen relativ hohen Aufwand und Fehler sind nur schwer zu korrigieren. Zusätzlich ist es oft unumgänglich, solche Änderungen im laufenden Betrieb umzusetzen, was Administratorinnen und Administratoren vor große Herausforderungen stellt. Um unnötigen Arbeitsaufwand oder hohe Folgekosten zu vermeiden, ist es entsprechend ratsam, die Anforderungen und alle relevanten Szenarien im Voraus präzise zu definieren und dabei auch den Aspekt der Informationssicherheit zu berücksichtigen.

Beim Aufbau bzw. der Überarbeitung eines Netzwerks beraten die technischen Consultants der SySS unter anderem zu diesen Aspekten der IT-Sicherheit:

• Netzwerkstruktur
• Abgrenzung von Abteilungen, Standorten, Tochterfirmen usw.
• Kommunikationsbeziehungen
• Abschottung kritischer Systeme
• Allgemeine Separierung und Segmentierung

Die technischen Consultants der SySS analysieren gemeinsam mit dem Kunden das geplante oder bereits existierende Netzwerk und entwickeln Maßnahmen, um die Netzwerkstruktur gegen Angriffe zu härten. Themen wie eine Ausbreitung potenzieller Angreifer sowie das Eindämmen von Ransomware und ähnlicher Schadsoftware stehen ebenfalls im Zentrum der Beratung.

Technisches Consulting: Begleitung während der Umsetzung

Während der Umsetzung eines Projekts ist es hilfreich, bereits externe Begleitung zu haben bzw. zusätzlich noch externe Expertinnen oder Experten hinzuzuziehen. Der Blick ‚von außen‘ gewährleistet einen regelmäßigen Abgleich, ob die Pläne noch stimmen und korrekt umgesetzt werden. Hinzu kommt, dass sich Anforderungen im Laufe eines Projekts regelmäßig ändern. Auch solche Entwicklungen müssen ständig aus der Perspektive der IT-Sicherheit auf eine potenzielle Notwendigkeit von Anpassungen geprüft werden.

Beispiel: Windows-Netzwerke/Active Directory

Jede Windows-Administratorin und jeder Windows-Administrator weiß, wie komplex und umfangreich ein Firmennetzwerk werden kann. Allein der Dschungel aus Forests, Domains, Gruppen und Benutzern und den zugehörigen Beziehungen führt oft mittel- bis langfristig zu einem Gewirr an Konstellationen. Dabei gerät das Thema Informationsicherheit schnell in den Hintergrund und spätestens nach einigen Jahren ist es kaum mehr möglich, den Überblick zu wahren.

Die technischen Consultants der SySS begleiten die Neuplanung, Migration oder Überarbeitung von Windows-Umgebungen und zeigen effektive Härtungsmaßnahmen auf. Die Begleitung der Projektumsetzung umfasst unter anderem folgende Komponenten:

• Abgrenzungen: Forests, Domains und deren Vertrauensstellungen (Trusts)
• Berechtigungskonzept: Aufteilung hochprivilegierter Benutzer, Prinzip der minimalen Rechte (Principle of Least Privilege)
• Härtungsmaßnahmen: Verwendung der von Microsoft integrierten Schutzmaßnahmen, darunter beispielsweise LAPS oder Managed Service Accounts
• Exchange/Outlook/Office: Möglichst sichere Anbindung weiterer Microsoft-Applikationen über das Active Directory
• Aufbau eines neuen („grünen“) Netzes mit schrittweiser Migration
• Multi-Tier-Modelle

Angesichts komplexer Netzwerkstrukturen ist eines klar: Ein Idealzustand, wie ihn beispielsweise Microsoft im Active Directory-Verwaltungsebenenmodell als Multi-Tier-Umgebung beschreibt und wie er als Enhanced Security Administrative Environment (ESAE) umgesetzt werden kann, ist nicht mit wenigen Konfigurationsparametern zu erreichen. Vielmehr muss ein Konzept zur schrittweisen Annäherung an den Idealzustand erarbeitet werden. Es ist erforderlich, dass dieses Konzept zum Unternehmen/zur Organisation passt und erreichbare Zwischenziele beinhaltet. Gleichzeitig muss es die Rahmenbedingungen des Arbeitsalltags berücksichtigen und Akzeptanz finden, um realisierbar zu sein. Nur so lässt sich die Sicherheit des Unternehmensnetzwerks effektiv verbessern.

Die Dienstleistung Technisches Consulting umfasst diesbezüglich folgende Kompetenzen:

• Analyse der bestehenden Active Directory-Struktur
• Erarbeitung eines erreichbaren Projektziels
• Definition eines Zeitplans mit Zwischenzielen
• Unterstützung bei der Umsetzung beispielsweise in Form von Workshops, Reviews und Präsentationen

Beispiel: Softwareentwicklung

Eine Software ist etwas Lebendiges und wird im Rahmen ihres „Lebens“ oft weitreichenden Anpassungen unterzogen. Im Idealfall wird das Thema IT-Sicherheit dabei immer mitberücksichtigt. Dennoch zeigt die Realität, dass Deadlines und andere Projekte oft eine höhere Priorität haben und die daraus resultierende Vernachlässigung der Sicherheit erst verzögert auf der Agenda erscheint.

Die technischen Consultants der SySS analysieren gemeinsam mit den Architekten und Entwicklern das Softwarekonzept oder die bereits implementierte Software hinsichtlich ihrer Sicherheit. Der Fokus liegt dabei auf dem Sicherheitsdesign sowie auf besonders exponierten Komponenten wie beispielsweise Schnittstellen. Alternativ kann technisches Consulting auch Unterstützung bei der Behebung konkreter Schwachstellen bedeuten, die zum Beispiel im Rahmen eines Penetrationstests aufgedeckt wurden.

Die technischen Consultants der SySS begleiten folgende Themen mit ihrer Expertise:

• Softwaredesign
• Authentifizierung und Autorisierung
• Verarbeitung von eingehenden Daten (Parameter, hochgeladene Dateien usw.)
• Anbindung an Schnittstellen
• Kryptografie (Umgang mit Zertifikaten oder Passwörtern, Verschlüsselung von Daten usw.)

Technisches Consulting: Unterstützung nach dem Abschluss bzw. nach dem Penetrationstest

Mit technischem Consulting unterstützt die SySS bei der Nachverfolgung eines Penetrationstests und seiner Funde, beim allgemeinen Schwachstellenmanagement, bei der Planung der Fehlerbehebung und der Konzeption eines sichereren Netzwerks oder Produkts sowie bei der Priorisierung der Fehlerbehebung oder bei der Projektplanung.

Beispiel: Netzwerkmonitoring, Incident Management und Disaster Recovery

Ein kompletter oder auch ein teilweiser Ausfall eines Netzwerks ist für die meisten Unternehmen und Organisationen mittlerweile kritisch und kann hohe Kosten verursachen. Damit ein Netzwerk nachhaltig so sicher wie möglich betrieben werden kann, sollten sowohl technische als auch organisatorische Maßnahmen getroffen werden. Dazu gehören ein gut strukturiertes und gezielt verteidigungsfähig aufgebautes Netzwerk, ein aktives und kontinuierliches Monitoring auf verdächtiges Verhalten, geplante und getestete Prozesse zur Abwehr von Angriffen und nicht zuletzt eine gute Dokumentation sowie sinnvolle Priorisierungen. Für den Fall eines Incidents sollte eine komplette Wiederherstellung aller unternehmenskritischen Daten und Systeme bereits im Voraus einmal geplant und durchgeführt worden sein.

Die technischen Consultants der SySS unterstützen in folgenden Bereichen:

• Incident Management: Was ist im Ernstfall zu tun? Welche Prozesse sollten etabliert sein?
• Kritikalitätsbetrachtungen und Prioritäten: Wie hängen die Systeme voneinander ab? Wie muss bei der Wiederherstellung vorgegangen werden?
• Disaster Recovery: Wie sind das Backupkonzept und die Prozesse für den Ernstfall aufzubauen? Wie können die Backups abgesichert und vor vorsätzlicher Zerstörung geschützt werden (z. B. durch Emotet und Cryptotrojaner/Ransomware)?
• Defensible Networks: Wie ist das Netzwerk zu gestalten, damit Angriffe einfach erkannt und effizient einschränkt und abgewehrt werden können?
• Monitoring und Alerting: Wie können Angreifer zuverlässig aufgespürt werden?

Der SySS-Consultant kann bei all dem die Rolle des Manager on Duty einnehmen. Auch technische Tests wie Datensammlungen im Netzwerk zur Feststellung der Auswertbarkeit oder Überprüfungen der Erkennungsmechanismen in Zusammenarbeit mit dem Red Team der SySS können auf der Agenda eines technischen Consultings stehen.

Beispiel: Threat und Risk Assessment

Das Ziel einer Risikobewertung besteht darin, vorhandene Risiken in der IT-Landschaft aufzuzeigen und im Kontext des Unternehmens/der Organisation zu evaluieren. Dabei geht es weniger um die Einschätzung einer einzelnen konkreten Schwachstelle, sondern vielmehr um ein ganzheitliches Bild der gesamten IT-Landschaft oder eines klar umrissenen Teilbereichs davon. Im Idealfall wird diese Beurteilung dann regelmäßig fortgeschrieben und die Veränderung der Lagebewertung wird mitberücksichtigt. Die verwendeten Metriken hängen dabei von der Zielgruppe ab: Finanzielle Bewertungen sehen anders aus als bspw. Maßnahmenkataloge in der IT-Planung.

Die technischen Consultants erarbeiten Bewertungen der Risiken, eine Priorisierung ihrer Aufhebung und einen Katalog von Maßnahmen, die zur Behebung oder Verringerung der Schwachstellen empfohlen werden. Auch die Erstellung von Prüfplänen zählt zur Dienstleistung "Technisches Consulting".

Konkret unterstützt die SySS in diesen Bereichen:

• Erhebung eines Netzwerkplans, der IT-Landschaft und der bestehenden Verteidigungsmechanismen
• Evaluierung der Prozesslandschaft
• Auswertung von Kritikalitätseinschätzungen von Prozessen und Systemabhängigkeiten
• Analyse potenzieller Angriffsmöglichkeiten und ihrer Auswirkungen (Threat Modeling)
• Erstellung einer Prioritätenliste und Gesamteinschätzung
• Überprüfung der vorgeschlagenen Maßnahmen auf ihre Umsetzbarkeit

Vulnerability Management

Unternehmen, Behörden und Institutionen erhalten aus unterschiedlichen Quellen Informationen über IT-Schwachstellen. Die Erkenntnisse, die Penetrationstests, Red Team-Projekte, Threat Intelligence, Advisories der Hersteller oder von IT-Sicherheitsdienstleistern o.Ä. liefern, müssen individuell bewertet werden – was in einem Unternehmen belanglos sein kann, mag in einem anderen existenzbedrohend werden. Zu berücksichtigten sind beispielsweise die Kritikalität der jeweils verwendeten Daten, aber auch die Bedeutung des Systems für kritische Prozesse im Unternehmen und gegebenenfalls die Kombination mehrerer Schwachstellen.

Die technischen Consultants der SySS nehmen eine zuverlässige technische Bewertung der Schwachstellen vor und analysieren einzelne Risiken. Alternativ übernehmen sie den Gesamtprozess, der dann auch die Nachverfolgung von Schwachstellen einschließt. Das Ziel hier ist klar: Kritische Schwachstellen sind möglichst schnell zu mitigieren oder zu beheben.

Das technische Consulting der SySS unterstützt sowohl beim Aufbau entsprechender Prozesse und Regularien als auch bei der konkreten Bearbeitung der Aufgaben. Neben den technischen Aspekten werden dabei diese organisatorischen Fragen geklärt:

• Wie sind die Schwachstellen zu priorisieren? Welche Systeme und Prozesse sind betroffen bzw. welche Abhängigkeiten bestehen?
• Wie sind die Schwachstellen im konkreten Fall zu bewerten?
• Welche Prozesse sollten für die Zukunft etabliert werden?
• Wie sollen die Schwachstellen nachverfolgt werden?

Technisches Consulting und Penetrationstests

Um Interessenskonflikte zu vermeiden und eine Abgrenzung zwischen Beratung und Penetrationstests zu gewährleisten, verpflichtet sich die SySS diesen Regeln:

• Penetrationstests und Beratung dürfen innerhalb desselben Projekts nur von unterschiedlichen Personen durchgeführt werden.
• Die SySS bindet sich an keine Hersteller oder Händler von Produkten, für Empfehlungen erhalten die technischen Consultants keine Provisionen oder Vergütungen. Auch sprechen die Beraterinnen und Berater im Regelfall keine Produktempfehlungen aus, sondern entwerfen Anforderungskataloge und prüfen, wie sich diese umsetzen lassen.
• Je nach Umfang des Projekts kann zur Wahrung der Neutralität ein abschließender Penetrationstest durch ein anderes Unternehmen sinnvoll sein. Dies wird im Einzelfall besprochen.

Mit der neuen Dienstleistung „Technisches Consulting“ bietet die SySS kompetente Beratung für IT-Projekte von Beginn an, Frei nach dem Motto: von der Beratung zur Resistenz!