Sicherheit

IT-Sicherheitsstrategien für digitale Infrastrukturen

Meldungen über Sicherheitslücken in der IT gehören zum täglichen Brot von Mitarbeitern in den IT-Security-Abteilungen in Unternehmen wie Behörden. Was tun? Steffen Ullrich ist Sicherheitsforscher beim deutschen IT-Security-Hersteller genua. Im Interview mit it security-Herausgeber Ulrich Parthier äußert er sich zum Dilemma und zeigt Lösungsansätze auf. (Bildquelle: genua GmbH)

Ulrich Parthier: Solarwinds, Proxylogon, Log4Shell, 2021 war erneut äußerst herausfordernd für IT-Verantwortliche. Wie bewerten Sie das vergangene Jahr?

Steffen Ullrich: Es war ein unruhiges Jahr, in welchem wir erleben mussten, wie fragil und anfällig geschäftskritische Infrastrukturen gegen Cyber-Angriffe über vertrauensvoll eingesetzte Fremdsoftware sind. Bei Solarwinds handelte es sich um eine Backdoor in kritischen Netzkomponenten, die durch einen staatlichen Angreifer platziert wurde. Proxylogon war eine Lücke in der kommerziellen Software MS Exchange, Log4Shell eine Schwachstelle in einer von vielen, auch kommerziellen, Projekten eingesetzten Open-Source-Bibliothek. Alle diese Lücken ermöglichten einem Angreifer die Kompromittierung der internen Firmeninfrastruktur.

Ulrich Parthier: Wie schätzen Sie als IT-Sicherheitsforscher perspektivisch die weitere Risikoentwicklung ein?

Steffen Ullrich: Die Probleme werden noch deutlich wachsen, sowohl von der Menge als auch der Kritikalität. Mit der zunehmenden Digitalisierung von Geschäftsprozessen geht eine starke Erhöhung von Komplexität einher: vielfältigere Software, Dienste und Hardware mit mehr Features, stärker vernetzt über Standorte, Clouds und Home Office hinweg. Dies bewirkt eine abnehmende Kontrolle und Beherrschbarkeit der Infrastrukturen und entsprechend steigende Fragilität. Gleichzeitig wachsen die Abhängigkeiten von einer korrekten Funktion digitalisierter Geschäftsprozesse und die Anforderungen an Verfügbarkeit, Zuverlässigkeit und Datensicherheit.

Ulrich Parthier: Ein zunehmendes Problem sind Supply-Chain-Angriffe. Woran liegt das?

Steffen Ullrich: Der größte Teil der heutigen Infrastrukturen beinhaltet Komponenten aus einer Vielfalt von Quellen. Bei Software sind es teilweise Open-Source- und teilweise Closed- Source-Komponenten, die selber wiederum aus weiteren Komponenten aufgebaut sind. Das Netz an Abhängigkeiten ist oft unüberschaubar, komplex und fragil. Die Qualität der einzelnen Komponenten ist sehr unterschiedlich und man muss von bestehenden Sicherheitslücken ausgehen, die evtl. auch schon von Angreifern ausgenutzt werden. Ein einfaches Patchen bei erkannten Lücken ist nicht möglich, weil gepatchte Versionen von Komponenten sich nicht unbedingt genauso verhalten wie die vorherigen Versionen. Wenn es denn überhaupt Patches gibt, weil oftmals tief im Inneren Komponenten stecken, die schon lange nicht mehr gepflegt werden. Und das ist nur die Problematik der Bugs. Daneben gibt es durchaus auch gezielt eingebaute und gut versteckte Backdoors. Auch hier werden die Probleme nur größer.

Das vollständige Interview ist auf it-daily.net frei zugänglich. Folgende Fragen werden beantwortet:

  • Wie können IT-Verantwortliche mit Unsicherheit wie versteckter Backdoors umgehen?
  • Was hindert uns daran, mehr proaktiven Schutz zu erreichen? Haben wir zu viele „IT-Verwalter“ anstelle von Strategen und Visionären?
  • Was ist der richtige Weg, um aus einer primär reaktiven, getriebenen Rolle zurück in eine gestaltende, kontrollierende Rolle zu gelangen?
  • Wie kann Zero Trust für mehr Schutz sorgen?
  • Helfen Ansätze wie Konsolidierungen, Zertifizierungen oder eine Reduktion von Features, um die Angriffsfläche zu verringern?
  • Was sind aktuell die interessantesten Forschungsansätze, um die IT sicherer zu machen?

    Link zum vollständigen Interview: https://www.it-daily.net/it-sicherheit/cloud-security/32870-it-sicherheitsstrategien-fuer-digitale-infrastrukturen

Über die IT Verlag für Informationstechnik GmbH

Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen der Enterprise IT rundet der Verlag sein Angebot zu News aus der IT-Welt ab.

www.it-daily.net

Firmenkontakt und Herausgeber der Meldung:

IT Verlag für Informationstechnik GmbH
Ludwig-Ganghofer-Str. 51
83624 Otterfing
Telefon: +49 (8104) 649426
Telefax: +49 (8104) 6494-22
https://www.it-daily.net

Ansprechpartner:
Lars Becker
Redaktion it-daily.net
E-Mail: becker@it-verlag.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel