Inside IONOS

Transkript

Zurück zur Episode

[00:00:00] Music.

00:00:06: Der Krieg in der Ukraine wird auch digital ausgetragen. Seit Wochen gibt es gezielte Cyberangriffe auf Militär, Medien und sogenannte kritische Infrastruktur

00:00:14: wie Kraftwerke oder auch Netzbetreiber. Die daraus folgende Anspannung der Sicherheitslage ist auch in Deutschland zu spüren.

00:00:20: Noch gilt hier die Alarmstufe Orange, das heißt, das BSI erkennt eine abstrakte Risikosituation, allerdings keine akute Gefährdungslage der Informationssicherheit.

00:00:30: Dennoch machen sich viele Unternehmen Gedanken über den weiteren Fortgang der Krise. Droht ein Cyberkrieg? Wie steht es mit der Cybersicherheit der kritischen Infrastruktur?

00:00:38: Wie kann man sich und sein Unternehmen gegen massive Hackerangriffe absichern? Wir wollen in dieser Podcast-Folge versuchen, das Thema einzuordnen und unter anderem diese Fragen klären.

00:00:46: Und dazu begrüße ich den Head of Tech-OPs Information Security Jochen Haller. Hallo Jochen! Hallo und danke, dass ich wieder da sein darf.

00:00:54: In der Presse ist schon seit einigen Wochen von einem möglicherweise drohenden Cyberkrieg die Rede. Was ist damit eigentlich gemeint?

00:01:00: Die meisten denken bei dem Begriff Cyberkrieg jetzt im Kontext der Ukraine-Krise natürlich an netzwerkbasierte Angriffe und DoS-Angriffe, Denial-of-Service, die

00:01:10: Verfügbarkeit von Systemen und Diensten beeinträchtigen, ist da so das erste, was in den Kopf kommt. Ist allerdings auch Tagesgeschäft, das heißt gerade Hoster wie wir im Technologiesektor sind auf sowas vorbereitet. Die Cyberangriffe können natürlich noch bis hin zu zielgerichteteren Angriffen gehen. Man denkt

00:01:27: da an Häcker, die Zugänge, Admin-Zugänge insbesondere, ausnutzen möchten, um sich zu spezifischen Zielen und nicht so breitbandig

00:01:36: wie bei DOS-Angriffen dann Zugriff verschaffen zu wollen. Du hast ja jetzt auch schon gesagt, dass wir als Hoster es eigentlich

00:01:43: zum Tagesgeschäft gehört, dass es Cyber-Angriffe gibt, aber beobachtet ihr gerade schon ein erhöhtes Aufkommen von solchen Cyberangriffen oder rechnet ihr kurzfristig damit? Rechnen natürlich, seit jetzt grob Anfang März wie die Krise sich konkreter manifestiert hat und der Einmarsch stattfand, rechnen wir natürlich mit

00:02:01: einem gehobeneren Risikopotenzial. Wir haben ja auch wie alle anderen die Beobachtungen unserer Systeme, Log-Sicherheitsevents intensiviert, aber tatsächlich beobachten wir

00:02:12: kaum eine Veränderung gegenüber dem Tagesgeschäft, weder auf Netzwerkebene, noch was zielgerichteteres Hacking angeht.

00:02:19: Und vielleicht jetzt noch mal anders gefragt, also wir als Cloud-Anbieter gehören ja auch zur kritischen Infrastruktur. Besteht denn für uns als Unternehmen eine besondere Gefahr?

00:02:26: Also, abstrakt würde ich mal sagen ja, weil man ist als kritischer Infrastruktur-Anbieter prominenter im Internet unterwegs, der Name hat eine andere Konnotation, man ist in Regierungslisten auch als ein solcher sogenannter Kritis-Betreiber geführt. Allerdings ich persönlich von meiner Perspektive her denke, dass

00:02:48: Infrastruktursektoren wie Strom, zum Beispiel, und Öl und Gas eher bedroht sind, aber, wie gesagt, auf einer abstrakten

00:02:55: Ebene. Es gibt da noch keine konkret sich manifestierenden Bedrohungsszenarien. Insbesondere Strom, Gas und so weiter sind eben nicht so gut, denke ich, auf die Cyberbedrohung

00:03:07: vorbereitet. Wir als Technologieanbieter, als Hoster auch im Internetsektor

00:03:12: von Kritis, für uns ist es, wie gesagt, Tagesgeschäft. Wir haben etablierte Maßnahmen, und andere Kritis-Sektoren könnten das eben nicht haben.

00:03:20: Das heißt, wir mussten auch die Sicherheitsmaßnahmen jetzt seit Beginn des Krieges auch nicht weiter verschärfen oder abändern?

00:03:26: Verschärfen, verbessern schon, aber das gehört ja zur Informationssicherheit dazu, kontinuierliche Verbesserung, man stellt sich auf die Angreifer ein und nicht umgekehrt. Allerdings mussten wir keine grundsätzlich neuen Maßnahmen erfinden. Insbesondere wenn man sich die Hinweise des BSIs anschaut, die federführend das Lagebild in Deutschland für die Ukraine-Krisensituation führen, da gibt es auch keine Empfehlungen, die grundsätzlich anders wären als das, was wir sonst tun Das heißt, so grundsätzliche Handlungsempfehlungen sind

00:03:56: patchen,

00:03:56: patchen, patchen. Wer meinen vorigen Podcast gehört hat, der kennt das Credo, weil Hacker sind im Allgemeinen durchaus faul, wenn es eine bekannte Schwachstelle gibt, die nicht gepatcht ist, dann gehe ich doch da rein und suche nicht eine neue. Was wir auch sehr intensiviert haben, ist das Beobachten von Systemverhalten, von sicherheitsrelevanten Events, Logins, zum Beispiel, in Control Panels, weil das Hinweise geben könnte auf Hackeraktivitäten.

00:04:20: Auch da hatten wir natürlich ein gewisses Lagebild über Sicherheitsevents in unserer Infrastruktur.

00:04:27: Wir tragen das nur häufiger zusammen und tun auch tägliche Lagebilder für das Management und für übergreifende Krisenorganisation in unserer Unternehmensgruppe dann zusammenführen.

00:04:38: Wie geht man mit russischen Hardware- oder Software-Herstellern um? Da ist ja jetzt ein aktuell bekanntes Beispiel der Antiviren-Software-Anbieter Kaspersky. Sind die jetzt alle plötzlich so eine Bedrohung für den Rest der Welt?

00:04:50: Ich sag mal, da geht man am besten risikoorientiert mit um.

00:04:54: Aktuell gibt es auch keinen Grund, in Panik zu geraten. Es gibt ja auch unterschiedliche Fälle, die es zu betrachten gilt. Du hattest ja jetzt Kaspersky erwähnt, das ist ein gewisser Extremfall. Gerade heute, wo wir aufnehmen, gabs auch eine Warnung vom BSI, die erste offizielle zu russischer Software, die ich kenne in Deutschland, dass man doch da weg

00:05:12: migrieren sollte. Das würde ich

00:05:13: teilen, da hier in dem Fall das Unternehmen selbst in Russland angesiedelt ist, das HQ ist dort. Die Führungspersönlichkeiten, auf die man Einfluss nehmen könnte, in einer politisch aufgeladenen Situation, sind auch in Russland. Insofern halte ich diese Empfehlung für durchaus gerechtfertigt,

00:05:32: aber, wie gesagt,

00:05:33: akut gibt's keine Bedrohung, das heißt, man kann eine Risikoanalyse machen, kann sich, zum Beispiel, überlegen, wohin will ich denn migrieren, welche Alternative ziehe ich denn in Betracht,

00:05:43: und kann den Plan dann mit gegebenem Speed umsetzen. Schwieriger wird es mit anderer Software, wo Unternehmen, zum Beispiel, in Europa oder in den USA angemeldet sind, angesiedelt sind, vielleicht nur gewisse Schlüsselpersonen einen russischen Bezug haben. Leben vielleicht gar nicht mehr in Russland oder Belarus selbst, also den Nationen, die

00:06:04: aktive Kombattanten sind, aber vielleicht

00:06:06: gibt es über Regierungsbezüge Möglichkeiten der Einflussnahme. Und das ist ganz, ganz schwieriges Terrain, da bleibt einem nichts anderes übrig, als sich einen persönlichen Risikosituation-

00:06:17: Überblick zu bilden, und Maßnahmen könnten dann, zum Beispiel, auch sein, Updates - Stichwort Sabotage -

00:06:23: das Update-Szenario als möglicher abstrakte Bedrohung, dass man sich da Testmaßnahmen, Beobachtungsmaßnahmen zu solchen

00:06:30: Updates überlegt und die dann zumindest temporär umsetzt, wenn man solche Software einsetzt.

00:06:35: Was meinst du genau mit Sabotage-Updates? Das ist ein Begriff, den wir verwenden, wenn ein

00:06:42: Update ein bewusst herbeigeführtes bösartiges Verhalten, zum Beispiel das Wipen von Daten, also Löschen von Daten durchführt. Das Szenario wäre dann wie folgt - In einer aufgeladenen politischen Extremsituation wird auf einen Softwarehersteller Einfluss genommen

00:06:57: und dann geht es um das Ziel der Schädigung kritischer Infrastruktur im Westen.

00:07:03: Das kann man am einfachsten durchführen, indem ein Software-Update am besten einer Software, die bereits mit erhöhten Privilegien läuft auf westlicher Infrastrukturen,

00:07:13: dann eine Shard-Situation, Datenlöschung und solche Dinge herbeiführt. Da dieses

00:07:19: Update dann von dem bisher vertrauenswürdigen Software-Anbieter kommt, läuft es typischerweise mit wenigen oder gar keinen Tests rein, und das wäre ein typisches Szenario, für das man sich eine Risikoanalyse überlegen könnte. Aber diese Risikoanalyse müsste man dann für sich als Privatperson machen oder als Unternehmen, oder wie sieht es aus? Das kann ja keinen Unternehmen

00:07:39: oder ein Software-Hersteller für dich übernehmen. Ganz genau, das hängt sehr, sehr stark von den Daten, den Informationen ab, auf die dieser Software-Zugriff hat. Je mehr, je wertvoller, desto wichtiger ist so eine Risikobetrachtung,

00:07:52: und natürlich sind eher Unternehmen in der Lage sowas durchzuführen, haben dann auch entweder eigene Sicherheitsleute wie meine Teams und mich

00:08:00: oder Dienstleister, die sowas tun können.

00:08:03: Privatpersonen, die können eigentlich nur den doch recht konkreten Empfehlungen zum Beispiel des BSI folgen und von konkreter werdenden Bedrohungen dann,

00:08:12: Stichwort Kaspersky, Abstand nehmen und sich Richtung eine Alternative umgucken. Aber tatsächlich, wenn es um das Thema Risiko und Betrachtungen geht, da sind hauptsächlich die Unternehmen gefragt, aber auch tatsächlich KMUs.

00:08:25: Man hört jetzt auch, dass Putin Russland komplett vom weltweiten Internet abtrennen will. Geht sowas denn überhaupt und wenn ja, was hätte das denn für Folgen?

00:08:33: Bedingt würde ich sagen, ja, kann man das machen, und wer die nähere Geschichte verfolgt hat, da gab es ja durchaus einige russische Gesetze, die sowas schon vorbereitet hatten. Gerade der Telekommunikationssektor

00:08:45: wurde gezwungen, eine Art Internet-

00:08:48: Abkapselung vorzubereiten und auch schon mal zu üben. Wir haben einen Präzedenzfall, wie weit es gehen kann. Das ist China mit der chinesischen Firewall zum Beispiel auch, und da sehen wir,

00:08:58: komplett wird das wahrscheinlich nie gehen. Es wird immer irgendwelche Übergangspunkte gegeben, aber die kann man sehr stark einschränken und in totalitäreren Staaten

00:09:07: werden die dann auch von der Regierung sehr, sehr stark kontrolliert und zensiert. In die Richtung kann das gehen

00:09:13: und ich sehe auch erste Schritte, dass sich Russland vom Gesamtinternet

00:09:18: abnabelt, zum Beispiel letzte Woche, also die Woche vor diese Aufnahme, wurde eine eigene sogenannte Certification-Authority für Webseiten

00:09:26: ins Leben gerufen. Der Westen hatte bisher für TLS-gesicherte Internetverbindungen, also für die Standard-Encryption, die jeder

00:09:34: Webbrowser kann, die Zertifikate geliefert. Zertifikate sind wie Milchtüten, die haben ein Ablaufdatum. Irgendwann laufen die aus und hier bereitet sich Russland darauf vor, eine Art Selbstversorgung mit Webseite-Zertifikaten einzurichten.

00:09:48: Es gab ja auch eine Attacke auf das Satellitennetzwerk Viasat, das unter anderem auch von der ukrainischen Armee genutzt wird,

00:09:55: und die NSA ist hier in die Untersuchung eingestiegen,

00:09:58: aber welche Gefahr besteht denn für das Satelliten-Internet, ist es denn allgemein gefährdet, also auch für westliche Länder so wie Deutschland?

00:10:05: Nein, das würde ich auf gar keinen Fall sagen, weil bisher schießt niemand auf Satelliten und es wird auch sehr, sehr wahrscheinlich keiner tun und genau deswegen geht man in solchen Krisensituationen eher Richtung eines satellitengestützten Internetzugangs.

00:10:19: Was in dem speziellen Fall passiert ist, aber da ist ganz, ganz viel Spekulation im Moment unterwegs, da die konkreten Erkenntnisse entweder noch gar nicht da sind oder nicht geteilt werden, da geht's eher in Richtung das gewisse Management-Schnittstellen nicht mehr funktionierten. Ob das jetzt an einem Cyber-Angriff lag oder ob

00:10:37: die in der Krisenregion lagen, das ist tatsächlich noch gar nicht so sehr geklärt. Aber es gibt gewisse Infrastrukturen,

00:10:44: wo inzwischen in den Medien auch Bilder kursieren, wo die Krise auch in der realen Welt sich manifestiert. Das ist ein bisschen mehr im täglichen Leben als ein Satellit, das sind, zum Beispiel, E-Ladesäulen für Autos in Russland auf der Autobahnstrecke Moskau-Petersburg

00:10:59: wurden, zum Beispiel, ukrainische Unterstützungsbotschaften angezeigt. Die Ladesäulen funktionierten nicht mehr und da stellte sich raus, dass da eine sogenannte Supplier-Attacke

00:11:10: stattgefunden hatte. Der russische Betreiber dieser Ladesäulen hatte einen ukrainischen Dienstleister, die hatten eine sogenannte

00:11:17: Backdoor, vermutlich einen Management-Zugang noch zu den Komponenten,

00:11:20: und die hatten dann die Ladesäulen lahmgelegt und ukrainische Unterstützerbotschaften eingespielt. Also, sowas gibt's dann eher. Satelliten, würde ich sagen, sind immer noch eine ziemlich gute Sache auch in Krisen.

00:11:33: Gab es denn weitere zielgerichtete Hacks? Da ist jetzt keiner zu Schaden gekommen außer dass jemand vielleicht nicht die Strecke ganz bis nach Moskau oder St. Petersburg geschafft hat, aber wo besteht denn da

00:11:42: Gefahr? Also, tatsächlich drängt sich da auch ein gewisser Vergleich zur realen Welt ein. Wenn zum Cyberkrieg in der virtuellen Welt aufgerufen wird, eine große Gefahr sind natürlich unbeabsichtigte

00:11:53: Kollateralschäden, da natürlich gegenüber Menschen, die einen Krieg überhaupt nicht unterstützen. Wir haben jetzt die Fälle, Ukraine ruft zum Cyberkrieg auf, Anonymous, ein recht lose konnektiertes

00:12:05: Hacker-Kollektiv, das weltweit arbeitet, macht ähnliche Dinge, alles gegen Russland und dadurch, dass hier sehr wahrscheinlich auch sogenannte Script-Kiddies,

00:12:15: also vielleicht nicht die Profi-Hacker am Werk sind, die man bräuchte, um tatsächlich was Zielgerichtetes zu tun in einem Konflikt,

00:12:22: kann es durchaus zu Kollateralschäden kommen. Bisher sind mir keine Fälle bekannt, aber wie entsteht dann so ein Kollateralschaden? Es klingt erstmal vermeintlich einfach, ein Strom-Erzeugnis, Kraftwerk, zum Beispiel, zu hacken, wenn da einige Systeme ungeschützt im Internet stehen. Was heißt dann hacken? En Detail ist tatsächlich gar nicht einfach. Es gibt

00:12:40: ja auch in der realen Welt Safeguards, um Systemversagen zu verhindern. Es ist nicht alles computergesteuert, deswegen muss man mit sehr viel Spezialwissen in so ein System einsteigen, um tatsächlich Schaden zu verursachen,

00:12:53: aber durch Zufall oder unbeabsichtigt kann sowas auch durch jemanden, der sich nicht damit auskennt, hervorgerufen werden und es kann dann auch zu Verletzungen bei Menschen führen. Gerade jetzt in der Ukraine-Krise gehen wir eher davon aus, dass es ein von Putin gewollter Krieg ist und wohl nicht das gesamte russische Volk dahinter steht. Dann will man auch nicht die russische Bevölkerung verletzen durch

00:13:19: unbeabsichtigte Kollateralschäden bei Hacks. Hast du konkrete Handlungsempfehlungen, wie man so seinen Eigenschutz stärken kann?

00:13:26: Was sind gute Abwehrstrategien? Tatsächlich greife ich dann das auf, was ich paar Minuten vorher schon gesagt habe und es deckt sich auch erstaunlicherweise in diesem Fall mit den BSI-Empfehlungen. Punkt 1, patchen, patchen, patchen. Ich kann es nicht oft genug sagen.

00:13:41: Hier in dem konkreten Fall, gerade wenn es Richtung Unternehmen, KMUs auch geht, die den Podcast vielleicht hören, Systemhärtung noch mal überdenken und schauen, dass die anderen grundsätzlichen technischen organisatorischen Sicherheitsmaßnahmen, die man haben sollte, dass die am Start sind. Dazu gehören, zum Beispiel, auch Mehrfaktor-

00:13:58: Authentifizierung bei kritischen Internetzugängen und solche Dinge. Die User Accounts werden zumeist als erstes gehackt,

00:14:06: aber dann auch sich ein Lagebild verschaffen, was geht denn in meiner

00:14:11: Infrastruktur eigentlich vor. Werde ich angegriffen, häufiger auf die Logs schauen, nicht nur auf Netzwerkdevices,

00:14:17: die man vielleicht hat für Internet-facing Services, aber auch Benutzerverwaltungen. Und dann, wenn man paar Schritte weiter denkt, ist man im Bereich Business Continuity und Notfallmanagement und da würde ich auch jedem ans Herz legen, zum Beispiel, ein Unternehmen, das selbst noch

00:14:32: Dienste betreibt, nicht bei IONOS hinter einer Global Scrubbing-Plattformen, zum Beispiel, geschützt ist, dann zu überlegen, was mache ich denn, wenn ich wirklich angegriffen werde, wenn ich einen großen DoS

00:14:43: bekomme und er geht nicht weg, wen kontaktiere ich denn? Mit welchem Dienstleister bekomme ich denn einen DDoS-Schutz schnell und unkompliziert an den Start.

00:14:52: Und natürlich würde ich da auch IONOS ans Herz legen. Was machen wir noch als Hoster, um eben den größtmöglichen Schutz für unsere Kunden zu gewährleisten?

00:15:01: Wir haben durchaus Maßnahmen auf den unterschiedlichsten Ebenen. Zum Beispiel bieten wir besagte Mehrfaktor-

00:15:07: Authentifizierung, 2FA, auch für die kritischen Zugänge an, zum Beispiel das Control-Panel, und intern, da sind auch meine Teams stark involviert, haben wir ein Lagebild, wo wir schauen, was passiert denn gerade, nicht nur an den Außengrenzen, auch an kritischen internen Privileged Account-Management Systemen heißen die, das in so Admin-Benutzer-Managementsysteme,

00:15:29: und reichen die Maßnahmen noch. Auch wir haben Notfallpläne, wir sind kritische

00:15:35: Infrastruktur. Das bedeutet, dass auch unabhängige Auditoren, unter anderem auch das BSI, sich für unsere technischen organisatorischen Maßnahmen interessieren, und ich sag mal, die helfen uns dann auch, Lücken zu entdecken, die wir nicht selbst schon gefunden haben.

00:15:49: Was wäre für die KMUs da deine konkrete Einschätzung? Können die zum Ziel von so großangelegten Cyberattacken werden?

00:15:56: Großangelegte Cyberattacken, gerade im Netzwerkbereich, die haben auch eine große Bandbreite, die zielen häufig nicht gegen nur eine einzelne IP, eine einzelne Präsenz im Internet, deswegen ein einzelner KMU wird da sicher nicht im Fokus sein, aber ist dadurch, dass er vielleicht in einem bestimmten Bereich,

00:16:14: in einem bestimmte IP-Range, also in einem bestimmten

00:16:16: Adressbereich zufällig angesiedelt ist, dann auch mal im Fokus, das heißt, als Beifang einer Angriffswelle, das ist durchaus realistisch. Genauso bei Logins, die im Internet

00:16:30: angeboten werden, die werden häufig auch nicht mehr gezielt dann mit Credential Stuffing, also ein Benutzername Passwort

00:16:36: Ausprobier-Attacken oder Bruteforce-Attacken gezielt angegriffen. Ein automatisierter Scan findet die, ein anderer Automat beginnt dann mit dem Angriff.

00:16:45: Das heißt, KMUs sind dann durchaus auch ohne das dedizierte Ziel zu sein einfach als Beifang mit dabei.

00:16:52: Wenn es jetzt aber trotzdem zum Angriff kommt, welche Erste-Hilfe-Maßnahmen sind dann erforderlich, beziehungsweise was würdest du empfehlen?

00:16:58: Meiner Meinung nach am besten wäre es natürlich, wenn man ein eigenes Incident-Management in einer angemessenen Form am Start hat. Incident-Management heißt, dass solche technischen Vorfälle dann in-house zumindest anfänglich behandelt werden können. Wer das nicht hat,

00:17:12: der muss gleich beim nächsten Schritt einsteigen. Tatsächlich empfehle ich dann eine einfache Kontaktliste für Notfallkontakte

00:17:18: vorrätig zu haben. Wenn ich Skills in so einem Fall nicht im Haus habe, dann beinhaltet diese Liste Firmen, Dienstleister, Consultants, die genauso was liefern können, wo man vorher auch mal gesprochen hat, dass die auch schnell am Start sein können.

00:17:32: Und wo kann ich mich über die aktuellen Entwicklungen oder die Bedrohungslage informieren im Internet? Jetzt konkret bei der Ukraine-Krise würde ich für Deutschland tatsächlich das

00:17:41: BSI empfehlen. Das BSI gibt auch Möglichkeiten, dass man sich auf Newsletter und Lagebildupdates

00:17:49: subskribieren kann. Die sind inzwischen recht gut geworden und da bekommt man im deutschen Sprachraum, denke ich, eine Menge gute Informationen. Alle größeren Tech-Outlets, Heise, Golem und so weiter, führen da auch regelmäßige

00:18:03: Updates. Ich kann auch wie immer nur empfehlen, sich ein bisschen breiter aufzustellen, nicht nur die Informationen aus einer Quelle zu beziehen, sondern zu diversifizieren, und wenn wir Hörer in anderen Ländern, von Österreich bis

00:18:16: Spanien oder USA tatsächlich haben - Das BSI gibt es auch in unterschiedlichsten Ausprägungen in anderen Ländern und dann ist eben die lokale Instanz so ein erster Anprungspunkt.

00:18:27: Danke fürs Gespräch, Jochen.

00:18:28: Danke, dass ich mal wieder da sein konnte. Ich hoffe, wir konnten Ihre wichtigsten Fragen klären und Sie konnten auch hilfreiche Sicherheitsempfehlungen für sich mitnehmen. In den Shownotes finden Sie den Link zur Webseite des BSI,

00:18:38: eine Übersichtsseite zum Sicherheitsnetz von IONOS und mit westandwithukraine.eu eine Seite mit Hilfsangeboten, die unsere Kollegen von CM4all ins Leben gerufen haben.

00:18:48: Wir freuen uns natürlich wie immer über Kommentare, Fragen und Anregungen. Sie erreichen uns unter podcast@ionos.com

00:18:53: und auf unseren Social-Media-Kanälen. Auf Twitter finden Sie uns unter @ionos_de, auf Facebook und Instagram unter IONOS Deutschland

00:19:03: und auf LinkedIn einfach unter IONOS. Danke fürs Zuhören und bis zum nächsten Mal.