Admin

Bis im Jahr 2030 fehlen laut einer Studie von ICT-Berufsbildung in der Schweiz rund 120’000 zusätzliche ICT-Fachkräfte. Welche Konsequenzen hat das für die IT-Security?

Serge Frech: Die Anzahl an Cyberangriffen ist in den letzten Jahren deutlich gestiegen. Das Thema Cybersecurity hat mit der Digitalisierungswelle während der Coronapandemie an Bedeutung gewonnen. Somit nimmt auch die Nachfrage nach spezialisierten Fachkräften weiter zu – und zwar schneller als die Wirtschaft und Verwaltungen ausbilden können.

Sarah Hauser: Daraus ergeben sich drei Möglichkeiten, zu reagieren: Die Firmen können sich gegenseitig mit noch höheren Löhnen überbieten, um an Fachkräfte zu gelangen. Sie können aber auch IT-Expert:innen einstellen und in spezifische Kurse oder Ausbildungen schicken – oder selbst Expert:innen mit internen, mehrmonatigen Programmen ausbilden. Wir beobachten, dass alle drei Optionen in der Wirtschaft genutzt werden. Entsprechend ist auch die Nachfrage für unser 2018 lanciertes Bachelor-Studium in «Information & Cyber Security» gross. Aktuell zählen wir über 300 Studierende.

Die Vielfalt der Informatik ist sehr attraktiv für Frauen, dasselbe gilt für das moderne und agile Arbeitsumfeld mit flexiblen Arbeitszeitmodellen.

Prof. Sarah Hauser, Vizedirektorin am Departement Informatik an der Hochschule Luzern (HSLU)

Fehlen die Fachkräfte, die präventive Massnahmen ergreifen und Angriffe abwehren können, steigt das Risiko für Cyberangriffe.

Serge Frech, Geschäftsführer ICT-Berufsbildung Schweiz

Text von erstaunlich hoher Qualität erzeugen

• Anschreiben/E-Mails
• Zusammenfassungen
• Übersetzungen
• Aufsätze
• Vergleiche
• Geschichten
• Gedichte
• Verschiedene Schreibstile

Programmcode

• Erzeugen
• Prüfen
• Analysieren

Der grosse Nutzen der KI wurde schon früh von der IT-Security-Branche erkannt und es wurde viel investiert, um die riesigen Datenmengen sinnvoll zu verarbeiten. Zscaler zum Beispiel (PDF) hat schon seit 2018 KI-Technologien im Einsatz. Check Point wiederum nutzt über 40 KI Systeme, um seine Lösungen noch sicherer zu machen und so die User besser zu schützen. Vectra setzt voll und ganz auf KI (PDF), damit die vielen NDR-Events runtergebrochen werden auf die wichtigsten Alarme.

Ich denke, KI ist nahezu ein Standard geworden für fast alle Hersteller und wir werden noch mehr in Zukunft davon profitieren. Aber nun zum eigentlichen Thema:

Wie bei jeder neuen Technologie bietet sie immense Vorteile, doch im Laufe der Zeit zeigen sich auch Risiken. Aus meiner Sicht sind die folgenden Risiken erwähnenswert:

• Erstellung von Spam- und Phishing-Mails
  Da ChatGPT in der Lage ist, menschenähnlichen Text zu generieren, könnten Kriminelle versuchen, diese Technologie für betrügerische Zwecke einzusetzen. Spam-Mails könnten verwendet werden, um unerwünschte Werbung oder betrügerische Inhalte zu verbreiten. Das Erstellen von fehlerfreien Phishing-Mails mit einem kopierten Schreibstil könnte so kaum mehr erkannt werden. Xorlab hat dazu einen lesenswerten Blogartikel geschrieben.
• Erstellen und Verbesserung von Schadsoftware
  Kriminelle könnten versuchen, ChatGPT einzusetzen, um bösartige Programme und Malware zu entwickeln. Dies könnte dazu führen, dass die Schadsoftware effektiver und neue Wege finden würde, um Sicherheitsmechanismen zu umgehen. Check Point Research hat dazu einen interessanten Blogartikel geschrieben.
• Echtzeit-Chats
  In Fällen erfolgreicher Phishing-Angriffe landet das Opfer auf einer betrügerischen Website, auf welcher der Angreifer mithilfe von Echtzeit-Chats das Opfer gezielt in die Irre führen könnte. Durch geschickte Manipulation könnte der Angreifer versuchen, das Opfer dazu zu bringen, persönliche Zugangsdaten preiszugeben. Diese gefährliche Taktik würde es Kriminellen ermöglichen, sensible Informationen wie Passwörter oder Kreditkartennummern zu erlangen.
• Data Leaks
  ChatGPT ist ein Software-as-a-Service (SaaS) und man muss sich mit einer gültigen E-Mails-Adresse registrieren und ein Passwort setzen. Jetzt kann man sich natürlich fragen: Ein Cloud Service, für den man nichts bezahlt und es wird ja auch keine Werbung geschaltet – womit verdient denn OpenAI sein Geld?

Vermutlich zielt OpenAI darauf ab, die Akzeptanz von ChatGPT zu steigern und Nutzer abhängig zu machen. Auch wird sein Dienst durch die Nutzung der Menschen immer besser und OpenAI kann dann von Drittfirmen wie z.B. Microsoft mehr Geld für seine Lösung verlangen.

Generell gilt immer: Wenn man für etwas nichts bezahlt, dann zahlt man mit seinen Daten.

Es ist aus meiner Sicht sehr wichtig, bei der Nutzung von ChatGPT keine Namen, Kundendaten, datenschutzrelevante oder geheime Unternehmensinformationen, wie zum Beispiel Code oder Umsatzzahlen, zu verwenden, da man nicht genau weiss, wer darauf Zugriff hat oder haben wird. Kürzlich tauchten über 100’000 ChatGPT Logins im Darkweb auf.

Mein Tipp: Jetzt wäre es an der Zeit, seine «History» zu löschen.

Ein weiterer bekannt gewordener Vorfall ereignete sich bei einem Samsung-Mitarbeitenden, der ChatGPT zur Code-Optimierung genutzt hat und so unabsichtlich sensitiven Code veröffentlicht hat.

ChatGPT könnte auch zur Verbreitung von Fake News, Propaganda und Hassnachrichten verwendet werden. Kriminelle oder bösartige Akteure könnten die Technologie nutzen, um manipulative Inhalte zu erstellen, die Desinformation verbreiten oder Hass schüren würden.

Darüber hinaus bestünde die Möglichkeit, dass ChatGPT für automatisierte Bewertungen von Produkten oder Dienstleistungen eingesetzt werden würde. Dies könnte dazu führen, dass gefälschte oder manipulierte Bewertungen erstellt würden, um den Ruf eines Produkts zu verbessern oder die Konkurrenz zu schädigen.

Auch ist ein bekanntes Problem von ChatGPT, dass, wenn es etwas nicht genau «weiss», trotzdem etwas behauptet wird, natürlich ohne Quellenangaben. Dieser Vorgang wird auch als «Halluzinieren» bezeichnet. Im Tagesanzeiger ist dazu ein guter Artikel erschienen.

Es ist in Zukunft ratsam, stets eine kritische Haltung einzunehmen und Informationen aus verschiedenen Quellen zu prüfen.

Die erste Reaktion ist es, ChatGPT bei so vielen Risiken komplett zu sperren (z.B. mit der Fortinet-Methode). Was aus meiner Sicht nicht viel bringt, da es unterdessen hunderte ähnlicher KI-Dienste gibt. Auch ist es immer möglich, private Geräte zu verwenden und so hat man als Unternehmen eigentlich nichts gewonnen. Die Mitarbeitenden sind allgemein für ihre Kreativität bekannt.

Eine weitere Möglichkeit ist die Sensibilisierung der User mittels Coaching-Seiten (z.B. mittels der Zscaler-Methode). Ich denke, es ist auf jeden Fall wichtig, die Mitarbeitenden aufzuklären, was passieren könnte und welches die Risiken sind.

Ja, es gibt Risiken, aber diese kann man kaum ausschliesslich mit technischen Mitteln in den Griff kriegen. Es wäre besser, jetzt schon die Mitarbeitenden einzubeziehen, da Microsoft in der nächsten Windows-Version seinen Microsoft-365-«Co-Piloten» flächendeckend integrieren wird.

Beispiel: Microsoft integriert bereits ChatGPT in Microsoft 365

ChatGPT Tutorial – Ein Crashkurs zu ChatGPT für Anfänger (Video)

Xorlab, die auf KI basierte E-Mail Anti-Phishing-Lösung

Zscaler, seit 2018 auf KI setzend

Check Point, verwendet über 40 KI Engines

Vectra, KI ist das Herzstück der Lösung

Eine der grundlegenden Sicherheitsmassnahmen in der Cloud ist die Implementierung von Firewalls. Firewalls schützen Netzwerke, indem sie den Datenverkehr filtern und den Zugriff auf Netzwerkressourcen einschränken. Die Firewall-Orchestrierung ist jedoch eine komplexe Aufgabe, insbesondere in der Cloud. Hier kommen Tools wie AlgoSec Firewall Analyzer (AFA) ins Spiel, um diese Aufgabe zu erleichtern.

Vielen dürften die Begriffe AlgoSec und Tufin ein Begriff sein, dieser Artikel fokussiert auf AlgoSec. Jedoch kann auch Tufin viele der Hersteller abdecken, die auch von AlgoSec unterstützt werden. Denjenigen, welchen AlgoSec oder Tufin bereits ein Begriff ist, sind bestimmt schon die gängigen Funktionen zum Einbinden von Firewalls und deren Analyse bekannt. Das funktioniert bei On-Premise sehr einfach, indem das Management (Check Point Smart Console, Palo Alto Panorama, Forti Manager etc.) AlgoSec angehängt wird und damit die darin verwalteten Firewalls analysiert werden können. Vorteil von diesen Managements ist, dass hier auch direkt die in der Cloud laufenden Firewalls eingebunden werden können. Was ist aber mit Firewalls, die kein dediziertes Management haben? Und die Clouds selbst?

In der Praxis sieht man nur sehr selten eine Einbindung von Firewalls aus der Cloud, welche auch wirklich «nur» als Cloud Firewalls zählen. Ich nehme hier mal Zscaler als Beispiel, denn seit Version A32.50 kann dies ebenfalls mit AFA eingebunden und in die Analyse eingeschlossen werden. Ja, die Anzeige der Policy ist noch nicht so übersichtlich, wie es bei anderen Firewalls der Fall ist. Es ist eher noch «zweckmässig».

Allerdings erfüllt diese Übersicht bereits ihren Zweck, die Analyse durchleuchtet wie gewohnt die Policy und stuft deren Risiken ein, zeigt nicht verwendete Rules, kann Changes dokumentieren uvm.

In den oberen Abschnitten haben wir uns um Firewalls in der Cloud gekümmert, was aber, wenn ich die Cloud selbst orchestrieren will? Ich möchte die Security Groups von AWS steuern oder Netzwerk-ACL? Ich kann AWS «direkt» an AlgoSec AFA anschliessen und so dessen Security Groups und ACLs überwachen und analysieren lassen. Dazu gebe ich lediglich den AWS Access Key für meine ID ein.

Die Sicherheit in Amazon Web Services funktioniert, wie die meisten öffentlichen Clouds, nach einem Modell der geteilten Zuständigkeit. AWS erklärt: «Wenn Sie Computersysteme und Daten in die Cloud verlagern, werden die Sicherheitsverantwortlichkeiten zwischen Ihnen und Ihrem Cloud-Service-Anbieter geteilt. In diesem Fall ist AWS für die Sicherung der zugrunde liegenden Infrastruktur verantwortlich, die die Cloud unterstützt, und Sie sind für alles verantwortlich, was Sie in die Cloud stellen oder mit der Cloud verbinden.»

Kann ich dies also mit AlgoSec überwachen und bewerten lassen, spare ich es mir zum Teil, mir Gedanken über meine Hälfte der Verantwortung zu machen.

Ich gehe hier nicht weiter ins Detail. Es könnte für einen zweiten technischeren Teil interessant sein

Nicht Orchestrierung in der Cloud, sondern aus der Cloud. Will heissen: Ich deploye den AlgoSec AFA in Azure oder AWS. Natürlich besteht auch diese Möglichkeit.

Dazu gehe ich in die Download-Sektion von AlgoSec, wähle «AWS Amazon Machine Image (AMI)» und gebe meine Daten ein.

AlgoSec «schickt» das Image an AWS, von wo wir das AMI deployen können.

Mit Orchestrierung in der Cloud oder aus der Cloud lassen sich viele weitere Use Cases abdecken und besonders die Möglichkeit, auch die Security Groups und damit die VPC(s) zu überwachen, bietet einen brauchbaren Mehrwert.

Trotz der vielen Vorteile von AlgoSec Firewall Analyzer und deren Cloud-Funktionen gibt es auch einige Aspekte, die kritisch hinterfragt werden sollten. Eine dieser Fragen betrifft die Integration mit anderen Sicherheitstools und -lösungen. Obwohl AlgoSec Firewall Analyzer eine umfassende Firewall-Orchestrierungslösung ist, ist es kein Alleskönner. Es ist wichtig sicherzustellen, dass das Tool in das vorhandene Sicherheitsökosystem integriert werden kann und sich nahtlos mit anderen Lösungen wie SIEM-Systemen und Netzwerk-Monitoring-Tools integrieren lässt. Zudem muss an dieser Stelle erwähnt sein, dass eine Integration in Google Cloud zum jetzigen Zeitpunkt nicht möglich ist.

Zusammenfassend kann gesagt werden, dass AlgoSec Firewall Analyzer ein leistungsstarkes Tool für die Firewall-Orchestrierung in der Cloud ist. Es bietet eine umfassende Sicht auf die Firewall-Regeln, Automatisierung von Änderungen und Compliance-Unterstützung. Trotzdem sollte sorgfältig die Prüfung, ob die Integration in das bestehende Sicherheitsökosystem möglich ist, nicht vernachlässigt werden.

Der digitale Fortschritt und die hybriden IT-Umgebungen stellen IT-Experten weltweit vor neue Herausforderungen. Abhilfe verspricht Zero Trust. Doch was ist nun Zero Trust genau und wie lässt sich das in Unternehmen umsetzen? Traditionell haben alle Unternehmen auf Firewalls als wichtigster Netzwerkschutz gesetzt. Dabei galt der Ansatz, dass der Angreifer immer über den Perimeter (resp. die Firewall) kommen wird.

Es galt auch, dass sämtliche Nutzer und Anwendungen innerhalb der eigenen Domäne als vertrauenswürdig eingestuft werden. Diesen Ansatz gilt es zu überdenken. Er bringt bei heutiger Bedrohungslage keinen ausreichenden Schutz, da die Daten immer seltener im eigenen Rechenzentrum liegen, sondern oft über verschiedene Cloud-Umgebungen verteilt sind.

Der neue Perimeter ist der Endpoint!

Gehen Sie davon aus, dass nicht alle Sicherheitsvorgaben eingehalten wurden und dass die Angreifer bereits in Ihrer Domäne sind, resp. sich bereits auf Ihren Systemen eingenistet haben.

«Assume Breach – you are under Attack» ist eine Denkweise, mit der neue IT-Architekturen und Security-Designs sowie die Abwehrsysteme der Zukunft übereinstimmen sollten.

Zero Trust soll Ihr Unternehmen wirkungsvoll schützen. Zero Trust geht davon aus, dass das Vertrauen in Anwendungen, Dienste, Identitäten und Netzwerke jedes Mal neu geprüft und gegebenenfalls eingeschränkt werden muss. Interne als auch externe Zugriffe gelten immer als unsicher und wahrscheinlich bereits als kompromittiert.

Zero Trust beruht auf:

• • Richtlinien (wie das Prinzip des Least Privilege)
  • IT-Architekturen (wie Mikrosegmentierung)
  • Technologien (wie Endpoint-Überwachung oder Analyse des User-Verhaltens)

Zero Trust wird als Marketing-Schlagwort missbraucht. Anbieter stiften beträchtliche Verwirrung, indem sie den Begriff zu Marketingzwecken wahllos auf alles anwenden, was mit Sicherheit zu tun hat (Gartner, 2019).

Zero Trust kann man nicht kaufen, es ist kein fertiges Produkt und keine fixfertige Lösung.

Wenn es um Zero Trust geht, werden oft auch die Begriffe ZTNA oder SASE verwendet. Was ist da der Unterschied?

Zero Trust Network Access (ZTNA) ist die Technologie, die Unternehmen die Implementierung eines Zero-Trust-Sicherheitsmodells ermöglicht. Zero Trust ist ein IT-Sicherheitsmodell, das davon ausgeht, dass Bedrohungen sowohl innerhalb als auch ausserhalb eines Netzwerks vorhanden sind. Dabei wird keinem Akteur, der auf Ressourcen zugreifen möchte, vertraut. Jeder einzelne Zugriff erfordert eine Authentifizierung.

Die Gartner-Definition von Secure Access Service Edge (SASE) ist eine Lösung mit voller WAN-Funktionalität und umfassenden Netzwerk-Security-Features (wie Secure Web Gateway, Cloud Access Security Broker, Firewall as a Service und ZTNA), um Secure-Access-Bedürfnisse des digitalen Business zu unterstützen.

SASE ist eine Kombination von SD-WAN-Anbindung und «Security Service Edge» (SSE). SASE ist somit eine Erweiterung vom ZTNA mit Fokus auf die Cloud.

Die Impacts oder Motivationen, ein Zero-Trust-Konzept umzusetzen, kommen aus Businessanforderungen:

• • Hybrid Cloud und X-as-a-Service
  • Wachsende Remote-Useranzahl, BYOD und Modern Workplace
  • Digitale Transformation
  • Ransomware-Angriff / Abwehr
  • Compliance
  • Business Continuity
  • Cyberversicherung
  • etc.

Zero Trust muss richtig umgesetzt werden, wobei Sie das Konzept nicht von Anfang an auf die ganze Unternehmung anwenden müssen – gehen Sie schrittweise vor und starten Sie mit den kritischen Daten und Assets. Wichtig ist auch ein Top-Down-Ansatz. So konzentriert sich die Einführung auf die geschäftsrelevanten Mehrwerte.

Zero Tust umfasst folgende Säulen:

• • Identitäten
  • Geräte
  • Netzwerke
  • Applikationen und Workloads
  • Daten
  • Visibilität und Analytics
  • Automatisierung und Orchestrierung
  • Governance

Bei Zero Trust konzentrieren wir uns nicht auf die Attack Surface, sondern wir bestimmen, was wir schützen müssen, die sogenannte Protect Surface, welche die kritischen und schützenswerten …

• • Daten: Welche Daten müssen geschützt werden?
  • Anwendungen: Welche Anwendungen nutzen sensible Informationen?
  • Assets: Welche Assets sind besonders sensibel?
  • Services: Welche Services können missbraucht werden, um den normalen Betrieb zu stören?

… in der IT, IoT und OT umfasst.

Da viele Unternehmen bereits Teile von der Zero-Trust-Strategie umgesetzt haben, macht es Sinn, bevor Sie mit der Umsetzung, respektive Weiterentwicklung beginnen, eine Standortbestimmung durchzuführen (ein sogenanntes Maturity Assessment).  Darauffolgend sollten Sie bestimmen, welches Security Level Sie bei welchen den obengenannten Säulen erreichen wollen oder müssen. Dieses Level kann je nach Art Ihrer Unternehmung unterschiedlich definiert werden (beispielsweise beim Verkehr, in der Industrie, Medizin, im Gesundheitswesen, bei Behörden etc.).

Anbei die Reihenfolge für eine erfolgreiche Realisierung/Weiterentwicklung von Zero Trust:

1. Beginnen Sie mit einer Discovery: Klassifizierung von Daten und einer Inventarisierung von Geräten.
2. Zentralisieren Sie das Identitäts- und Zugriffsmanagement.
   • Implementieren Sie Identity Access Management (IAM), Multi-Faktor-Authentifizierung (MFA), Single Sign-On (SSO) und Privilege Access Management (PAM)
3. Implementieren Sie Geräte-Sicherheit im IT-, IoT- und OT-Umfeld
   • Endpoint Detection and Response
   • Automatisiertes Vulnerability- und Patch-Management
   • etc.
4. Realisieren Sie Zero Trust Access zu Applikationen und Workloads
   • Ersetzen Sie Virtual Private Networks mit ZTNA – hierzu hat mein Kollege einen Blogbeitrag geschrieben: www.avantec.ch/zero-trust-network-architecture-ztna-ist-ein-konzept-und-kein-produkt/
5. Implementieren Sie Zero Trust im Netzwerk
   • Segmentierung (Macro, Micro, Nano)
   • Network Detection and Response
   • DNS Security
   • etc.
6. Verbessern Sie die Visibilität und Analytics, denn Sie gehen von einem Verstoss aus (Assume Breach).
7. Realisieren Sie Automatisierung und Orchestrierung.

Governance begleitet das Projekt stetig, daher ist es wichtig, dass Sie frühzeitig Governance, Risk & Compliance (GRC)  Consultants und Auditoren mit einbeziehen. Die Umsetzung von Zero Trust kann mehrere Jahre in Anspruch nehmen und ist eine kontinuierliche, fortwährende Reise.

Eines der Missverständnisse ist die Frage, was Zero Trust eigentlich ist. Zero Trust ist nicht nur ein Produkt oder eine Plattform, sondern ein Sicherheitsmodell, welches auf dem Konzept, dass das Vertrauen in Anwendungen, Dienste, Identitäten und Netzwerke jedes Mal neu geprüft und gegebenenfalls eingeschränkt werden muss, basiert. Interne als auch externe Zugriffe gelten immer als unsicher und wahrscheinlich bereits als kompromittiert. Also basiert es auf «never trust», «always verify» und «assuming breach». Zero Trust beinhaltet technologische und nicht-technologische Teile.

Der Versuch, Zero Trust als Produkt zu kaufen, führt zum Scheitern eines Zero-Trust-Projektes. Unternehmen müssen eine ganzheitliche Strategie entwickeln, um zu einer Zero-Trust Architektur zu gelangen, die mehr als nur Technologie und Schlagworte umfasst. Es empfiehlt sich, einen erfahrenen Partner beizuziehen, der bei der Ausarbeitung der für Sie geeigneten Strategie unterstützt und Sie während dem Projekt begleitet.

Führen Sie das Zero-Trust-Konzept schrittweise ein aber berücksichtigen Sie dafür die richtige Reihenfolge. Versuchen Sie die «Low Hanging Fruits» zuerst zu ernten. Ein Top-Down-Ansatz ist wichtig. So konzentriert sich die Einführung auf die geschäftsrelevanten Mehrwerte. Ob und in wie weit dieses Sicherheitskonzept umgesetzt werden soll, müssen Unternehmen schlussendlich selbst entscheiden. Es ist eine kontinuierliche und fortwährende Reise.