Würden Sie sich und die Laokoon SecurITy kurz vorstellen?

Ich bin Moritz Samrock, zertifizierter Penetrationstester und nehme bei Laokoon SecurITy die Rolle des Chief Business Development Officer wahr.

Zu meinen Hauptaufgaben gehört die kontinuierliche Weiterentwicklung des Produktportfolios. Laokoon SecurITy existiert seit 2016 und ist eine auf offensive Maßnahmen spezialisierte Cybersecurity-Beratung. Wir bieten in erster Linie IT-Security Assessments. Dazu gehören Maßnahmen zur Basisabsicherung wie Netzwerk- und Applikations-Penetrationstests und Code Reviews, bei denen wir bestehende Applikationen und Infrastrukturen auf Schwachstellen und Fehlkonfigurationen untersuchen und in Zusammenarbeit mit dem Kunden die entdeckten Risiken absichern und beseitigen.

Darauf aufbauend führen wir Maßnahmen wie Red- und Purple-Teaming sowie Assumed Breach-Kampagnen durch und unterstützen bei forensischen Analysen von Malware im Rahmen von Incident Response. Beim Red- und Purple-Teaming agieren wir wie professionelle Angreifer und analysieren, inwieweit die getroffenen IT-Sicherheits-Maßnahmen zunächst zu einer erfolgreichen Erkennung des laufenden Angriffs führen und anschließend die Verteidiger in die Lage versetzen, den Angriff zu unterbinden. Bei einer Assumed Breach-Kampagne simulieren wir einen bereits erfolgten Hackerangriff, beispielsweise durch eine Phishingmail mit einem Trojaner im Anhang, und analysieren ebenfalls die Wirksamkeit der etablierten IT-Sicherheits Maßnahmen, um einerseits die Verteidiger zu sensibilisieren, als auch die theoretischen IT-Sicherheitskonzepte mit praktischen Erfahrungen anzureichern. Da solche Maßnahmen unter Umständen nicht in produktiven Umgebungen durchgeführt werden können, stellen wir auch Testumgebungen, sogenannten Cyber-Ranges bereit, in denen sich Angreifer und Verteidiger ohne Schaden anzurichten austoben können. Das Stichwort ist hier „Train as you fight“. Hier können die Verteidiger trainieren und sich auch Fehler erlauben, was in einem realen Szenario eines Hackerangriffs fatale Folgen haben könnte. So sind die Unternehmen bestens gewappnet für mit hoher Wahrscheinlichkeit eintretende IT-Sicherheitsvorfälle.

 

Die Frage ist nicht ob ein Hackerangriff passiert, sondern wann, ob er erkannt wird und wie effizient die Reaktionen darauf sind. Außerdem bieten wir gezielte und kundenindividuelle Weiterbildungen, Schulungen und Trainings an und beraten rund um die Themen sichere Softwareentwicklung und hochsichere Cloud- und Infrastruktur-Lösungen, wo wir unsere Erfahrungen als Angreifer direkt in den Aufbau neuer Produkte, Infrastrukturen oder Systeme einfließen lassen. Wir behalten uns bewusst eine große Flexibilität in unseren angebotenen Services bei, da jeder Kunde in großem Maße einzigartig ist und entsprechend individuelle Anforderungen mit sich bringt.

Zu unseren Kunden gehören neben Finanzinstituten und KRITIS auch etablierte Mittelständische Unternehmen und IT-Systemhäuser, welche die Erfahrungen, die sie in unserer Zusammenarbeit sammeln, direkt anwenden können, um die eigenen Kunden noch besser abzusichern. Unsere Hacker sind Experten mit umfassender Erfahrung in der Durchführung anspruchsvoller IT-Sicherheitsanalysen und dem Aufbau von hochsicheren IT-Infrastrukturen. Die Expertise unserer Mitarbeitenden und unsere gemeinsame Leidenschaft für IT-Sicherheit und Hacken fördern wir als Arbeitgeber durchgehend, indem wir mindestens 20% der Arbeitszeit und das Budget für Weiterbildung und Zertifizierungen, die Teilnahme an CTF-Events und Konferenzen sowie Forschung zur freien Verfügung stellen. So stellen wir sicher, dass unsere Ergebnisse nicht „Schema-F“ sind, sondern die fachliche Begeisterung unserer Mitarbeitenden widerspiegeln.

Welches sind die häufigsten Schwachstellen, die Sie bei Ihren Pentests finden?

Grundsätzlich decken sich unsere Findings bei der Untersuchung von Applikationen mit den OWASP Top 10. Besonders häufig treten dabei Schwachstellen aus der Kategorie 6 – „Vulnerable and Outdated Components“ – sowie Kategorie 5 – „Security Misconfigurations“ – auf. Immer wieder wird aber deutlich, dass auch die Kategorie 9 – „Security Logging and Monitoring Failures“ – eine tragende Rolle bei, aus unserer Sicht „erfolgreichen“, Analysen spielt. Injections aller Art, sprich die Verarbeitung von Nutzereingaben auf von den Entwicklern unbeabsichtigte Weise, sind ebenfalls öfter möglich, als man glauben würde. Bei Netzwerk-Penetrationstests treffen wir in erster Linie auf Klassiker wie Default- /Trivial-Passwörter (insbesondere bei VoIP-Anlagen, aber auch bei Netzwerk- und Sicherheitskomponenten), veraltete Systeme, Klartextprotokolle wie HTTP und Telnet, aber auch diverse Konfigurations- und Design-Fehler in der Nutzer- /Domainverwaltung, der Netzwerksegmentierung oder den Firewall-Regeln.

Welche Tipps haben Sie für KMU, um sich proaktiv vor Cyberangriffen besser schützen zu können?

Zertifizierungen sowie strukturierte und dokumentierte Prozesslandschaften sind ein guter Anfang. Besser ist es allerdings das Team regelmäßig aktiv in die Lage zu versetzen, die eigenen Systeme und Systemkonfigurationen hinterfragen und ggf. (wenn auch simuliert) verteidigen zu müssen. IT-Sicherheitsmaßnahmen sind nicht selten wirkungslos, wenn man es versäumt, die erforderlich Zeit für die richtige Konfiguration zu investieren und sie darüber hinaus nie in Aktion sieht. Weiterhin ist es eine Sache, Angreifer zu entdecken – mit gezielten Maßnahmen die Konsequenzen eines Angriffs einzudämmen und ggf. sogar unbefugte Eindringlinge aus den Systemen zu entfernen, versetzt die Verteidiger in eine extreme Stresssituation, was proaktiv trainiert werden muss. Ein recht pessimistischer, aber leider häufig zutreffender Ansatz ist hier der „Assumed Breach“. Es ist demnach davon auszugehen, dass sich ein Angreifer bereits in Ihrem Netzwerk befindet oder einen Weg (z.B. via Phishing/schadhafte E-Mail-Anhänge) kennt, sich Zugriff zu Ihrem Netzwerk zu verschaffen. Die Frage ist dann nicht länger, wie kann ich einen Angreifer am Eindringen hindern, sondern wie kann ich den Abfluss sensibler Daten, das Verschlüsseln meiner Datenträger und Backups oder sonstige existenzielle Bedrohungen abwenden.

Unsere Tipps daher sind:

  • Seien Sie sich bewusst, welche Assets im Unternehmen eingesetzt werden und
    halten Sie dieses Bewusstsein stets aktuell. Dabei stellt sich insbesondere die
    Frage, wo diese Assets eingesetzt werden und welche Gefahren aus dem
    tatsächlichen Einsatzort entstehen.
 
  •  Etablieren Sie technische, organisatorische und personelle IT-Sicherheitsmaßnahmen nicht nur, analysieren Sie auch regelmäßig deren
    Umsetzung und vor allem Wirksamkeit.
 
  • Erstellen Sie regelmäßige Backups, speichern sie die Backups unabhängig vom
    Unternehmensnetzwerk und prüfen sie regelmäßig, ob das Aufspielen von Backups funktioniert.
 
  • Hinterfragen Sie Ihre Reaktion auf Auffälligkeiten, Alarme und
    Handlungsoptionen, die Ihnen im Falle einer Kompromittierung zur Verfügung
    stehen.
 
  • Trainieren Sie Ihre Verteidiger. Ob Sie ein gesondertes „Blue Team“ haben oder
    nicht spielt hierbei keine Rolle. Diejenigen, die mit dem Betrieb Ihrer IT-Infrastruktur betraut sind sowie jene, die bei der Behandlung eines Zwischenfalls
    involviert sind, dürfen sich nicht im Ernstfall das erste Mal in dieser Stresssituation
    befinden.
 
  • Verlassen Sie sich nicht auf Zertifizierungen, Audits und die Ergebnisse von
    automatisierten Schwachstellenscannern. Diese decken eine Säule der IT-Sicherheit ab, lassen jedoch nicht selten genug Spielraum für echte Angriffe.
 
  • Steigern Sie das grundsätzliche Bewusstsein für die Relevanz von IT-Sicherheit
    und schaffen Sie ein Umfeld, dass die Anwendung der eigenen Richtlinien fördert.
     a. Fördern Sie die Nutzung sicherer Passwörter mit der Etablierung von
    Passwort-Managern.
    b. Fördern Sie die sichere Bürokommunikation durch die die Einführung von
    sicheren Signaturen und Verschlüsselung.
    c. Unterbinden Sie so weit wie möglich die private Nutzung von beruflicher IT
    und sensibilisieren Sie im Umgang mit Wechseldatenträgern.
    d. Fördern Sie das Bewusstsein für die Gefahren, die durch Phishingmails
    entstehen können und trainieren Sie Ihre Mitarbeitenden in der Erkennung
    solcher.
 
  • Seien Sie sich bewusst, dass Betriebsblindheit ein Risiko ist und holen Sie sich
    daher aktiv Unterstützung und den Blick von außerhalb, beispielsweise durch
    Dienstleister.
 
  • Zu guter Letzt: Speichern Sie Ihre Notfallkontakte und Ihre IT-Notfallpläne auch offline und unabhängig vom Unternehmensnetzwerk, um im Falle des Zugriffsverlusts dennoch agieren zu können.

 

 

Twitter| LinkedIn