Thomas Tschersich über Echtzeit und IT Sicherheit
Gastbeitrag Security

Wenn Echtzeit bedeutet: In einer Sekunde bist du tot

Thomas Tschersich, IT-Sicherheits-Chef der Deutschen Telekom, über drohende Angriffsszenarien der nahen Zukunft, Versäumnisse der Vergangenheit und „elementare Hausaufgaben“ der Gegenwart.
Autor: Thomas Tschersich
Fotos: iStockphoto
Vita

Thomas Tschersich, Dipl.-Ing. für elektrische Energietechnik, ist seit 2017 Leiter des Bereiches Internal Security & Cyber Defense der Telekom Security. Schon zuvor führte er die Funktion des Chief Security Officers der Deutschen Telekom Gruppe aus. Er ist Mitglied im Cybersicherheitsrat, im UP-KRITIS-Rat und Vorsitzender des Lenkungsausschusses Sicherheit bei BITKOM.
Um es gleich vorwegzusagen: Es gibt heute nur zwei Arten von Unternehmen – diejenigen, die wissen, dass sie gehackt worden sind, und diejenigen, die es noch nicht wissen. Punkt, aus. Dazwischen ist nichts. Das gilt auch für jeden Privatkunden. Denn die zunehmende Komplexität unserer Systeme macht es Angreifern sehr leicht. Zumal die allermeisten Opfer noch nicht einmal ihre elementarsten Hausaufgaben machen. Deshalb basieren etwa 95 Prozent aller heute erfolgreichen Angriffe darauf, dass Softwareupdates nicht oder zu spät eingespielt werden oder ein System schlecht konfiguriert ist. So viel zum Lagebild der deutschen Unternehmenslandschaft. Und dabei geht es nicht nur um das Betriebssystem, sondern in Firmen mitunter um mehrere Hundert Programme, die aktuell gehalten und gepflegt werden müssen. Blieben uns nach Bekanntwerden einer Schwachstelle vor einigen Jahren noch Monate, um ein Update aufzuspielen, reden wir heute von wenigen Stunden. Länger brauchen ein sogenanntes Reverse Engineering, über das Hacker herausfinden, welche Schwachstelle konkret via Update geschlossen wird, und das Programmieren eines entsprechenden Angriffswerkzeugs heute nicht mehr. Und wenn die Entwicklung so weitergeht, werden wir in den nächsten fünf Jahren erleben, dass zeitgleich mit der Veröffentlichung auch voll automatisiert die Angriffe stattfinden. Spätestens dann heißt es: „Willkommen in der Echtzeit! In einer Sekunde bist du tot."
Das heißt, so schnell, wie wir von der Bedrohungsseite her Echtzeitszenarien ansteuern, müssen wir auch unsere Reaktionsfähigkeit aufstellen. Da gibt es auch für Unternehmen keine Ausrede mehr. Denn statistisch nachweisbar passieren mehr Softwareausfälle dadurch, dass KEINE Updates eingespielt worden sind, als umgekehrt. Und darüber hinaus bieten simple, aber clevere Strategien beim Ausrollen der Updates längst drastisch reduzierte Testzeiträume, um das viel zitierte Rennen „Hase gegen Igel“ – und das findet heute schon in Echtzeit statt – zu gewinnen.

Echtzeit heisst Automatisierung 

Diese Entwicklung macht eins deutlich: Ich muss meinen Schutzschild, den ich über mein Unternehmen gespannt habe, permanent anpassen. Objektive Sicherheit ist immer nur eine Momentaufnahme, als Status quo nie nachhaltig. Vielmehr funktioniert Security im Sinne der Aufwände, die ich betreiben muss, um meine Mitarbeiter und ihre Devices, meine Prozesse, Daten, Geschäftsgeheimnisse und Kunden zu schützen, ein Perpetuum mobile. Und Zeitdruck, unter dem wir es in Bewegung halten müssen, besteht immer. Das fängt bei der Erkennung eines Angriffs an. Deshalb investieren wir im Securitykontext sehr viel in Automatisierung. Denn Echtzeit heißt nichts anderes als Automatisierung – um Angriffe mit meiner Sensorik vollautomatisch in dem Moment zu erkennen, wo sie Anlauf nehmen, und im Idealfall automatisch Gegenmaßnahmen umzusetzen. In diesem Sinne bedeutet Echtzeit: Ich muss eine Analytik haben, die Sensordaten in Echtzeit auswertet, und verfüge über eine Reaktionsfähigkeit, die mir hilft, die Sensordaten durch Analytik in eine Reaktion umzuwandeln. Sofort. Ein sehr gutes Beispiel dafür, weil sie hohe Ansprüche an uns stellen, sind sogenannte APT-Angriffe, Advanced Persistant Threads. Also neue, unbekannte Angriffsmuster, die mich mit einer Schadsoftware infizieren möchten. Beispielsweise über die Schwachstelle meines PDF-Readers, der nicht gepatcht ist. Das kann ich erkennen, indem ich ein Dokument quasi schon beim Transport in einem Computer virtuell öffne und eine verhaltensbasierende Analyse durchführe. Verhält es sich so, dass es offenbar auf dem Betriebssystem Veränderungen vornehmen möchte, dann ist es mutmaßlich böse und ich würde es blockieren. Damit hätte ich in diesem Fall gewissermaßen die Schadwirkung schon in Echtzeit analysiert, aber zum Preis einer schlechten User Experience. 
Denn das Aus-dem-Verkehr-Ziehen eines Dokuments bzw. von allem, was sich ein Anwender aus dem Internet runterlädt, dauert einige wenige Sekunden. Einen solchen Preis wollen wir aber in der Regel nicht zahlen. Deshalb lassen wir die Dokumente heute beim Adressaten ankommen und analysieren parallel. Folglich bin ich nicht mehr in Echtzeit unterwegs und stelle möglicherweise erst Sekunden später eine Schadfunktion fest. Damit habe ich allerdings ihr Muster und kann alle nachfolgenden in Echtzeit blocken. Das heißt, beim ersten verliere ich die Analysezeit, die ich gebraucht habe, doch beim zweiten, dritten, vierten und fünften kann ich schon in Echtzeit On-the-fly erkennen: Den blocke ich einfach, der kommt gar nicht mehr durch. Dann gilt es, sich um den einen zu kümmern, der durchgekommen ist, den ich im Nachgang reparieren oder in Quarantäne setzen muss. Das beschreibt beispielhaft eine Strategie, wie Analyse beim ersten Mal nur nahe Echtzeit arbeitet, sie beim zweiten, dritten, vierten und fünften Fall aber dann doch in Echtzeit wirkt. 

Predictive Profiling - Die hohe Schule der Cyber Defense

Heute helfen uns Machine-Learning-Algorithmen schon sehr dabei, ein Predictive Profiling zu machen. Also beispielsweise aus Verkehrsdaten, Verkehrsaufkommen und aus Verhaltensinformationen vorherzusagen, was mutmaßlich – wenn es nach dem Wunsch des Hackers geht – gleich passieren wird. Damit erreiche ich ein Stück weit dann wirklich das Echtzeitfenster, um den Angriff zu blocken, bevor er tatsächlich stattgefunden hat. Auf diese Art präventiv vorbereitet zu sein und womöglich im Vorfeld sagen zu können, „Da braut sich was zusammen“, darum kümmert sich ein Monitoringcenter. Es geht darum, im Zuge von Managed Cyber Defense Services proaktiv Datenquellen zu erschließen, miteinander zu korrelieren und daraus Angriffe – möglichst in Echtzeit – vorhersagen zu können.
Ein von technologischer Seite simples, aber massives Problem im Vergleich dazu sind Geräte, die ich „Fire-and- forget Devices“ nenne. Sie machen unser häusliches privates Umfeld zum Aufmarschplatz für Cyberangreifer. Bei vernetzten Babyphones etwa kümmert sich praktisch niemand um das Thema Sicherheit. Es interessiert auch keinen. Updates? – Fehlanzeige! Massenhaft stehen sie bei den Verbrauchern zu Hause, sind von Angreifern leicht zu hacken, um damit Angriffe gegen Dritte zu fahren. Und wenn Hunderte von Babyphones Ihre Website anfragen, kann das blitzschnell zu einer Überlastung führen, die eine Unternehmenswebsite für Stunden unerreichbar macht. Das ist für mich die Schattenseite einer Digitalisierung ohne Wenn und Aber. Oder man könnte auch sagen: 
"Digitalisierung intelligent gemacht heißt, ich setze mich vorher mit den Risiken auseinander und überlege, wie ich was intelligent vernetzen kann."
Thomas Tschersich, Leiter Group Security Deutsche Telekom

Digitalisierung ohne Sinn und Verstand. Denn das führt dazu, dass Kühlschränke Spams versenden oder Babyphones Angriffe gegen Infrastrukturen fahren. Zu sagen, ich mache keine Digitalisierung mehr, weil die Angriffsfläche zu groß wird, kann keine Lösung sein. Digitalisierung intelligent gemacht heißt: Ich setze mich vorher mit den Risiken auseinander und überlege, wie ich was – dort, wo es Sinn macht – intelligent vernetzen kann. Quasi die Umsetzung einer digitalen Schnittstellendiät. Indem ich also Fragen beantworte wie:  Wo muss ich vielleicht einen Schutzschild einbauen? Wo muss ich Kommunikation einfach mal trennen oder auf ein Minimum reduzieren? Und dazu über kurz oder lang die grundsätzliche Frage stellen: Müssen Rollläden, häusliche Fotovoltaikanlagen und Kaffeemaschinen für jeden auf der Welt erreichbar sein? Dafür gibt es zumeist kein sinnvolles Anwendungsszenario. Schließlich sollte nur ich als Benutzer aus meinem Heimnetzwerk auf die Komponenten schauen können, um zu wissen, wie viel Strom ich heute produziert habe. In diesem Sinne würde ein intelligentes Design von vornherein ausschließen, dass mein Kühlschrank von außen durch Unbefugte erreichbar ist, und hätte damit eine zusätzliche Angriffsfläche nach außen verhindert. Das wurde bislang vielfach versäumt. Denn: Mehr Digitalisierung bedeutet nicht notwendigerweise neue offene Flanken – sofern man ein klein wenig Achtsamkeit investiert. 

Aufgeben ist nie eine Option

Investition ist da ein gutes Stichwort, zumal es in Deutschland genug Kapital und Technologiewissen gibt, um die Risiken von Cyberattacken nachhaltig runterzufahren. Doch dann muss man aber beides auch investieren. Wissen schadet am Ende nur dem, der zu wenig davon hat. Und das macht deutlich, dass diejenigen, die sich dieses Wissen nicht besorgen, auch schneller zu Opfern werden. Übersetzt in bare Münze bzw. Technologien, deren Einsatz in einem Unternehmen auch Sinn macht, gibt es für die Lösung kein Patentrezept. Eine solche hängt vom individuellen Bedarf einer Firma ab, vom Automatisierungsgrad, von den Businessmodellen etc. Aber wenn meine jährlichen Securityinvestitionen nicht in einer Range zwischen drei und sieben Prozent meiner IT-Ausgaben liegen, sollte bei mir als Unternehmer spätestens dann die Alarmglocke schrillen. Denn dann falle ich selbst aus dem Mittelmaß, das allgemein als gesund angesehen wird. 
Vor einer vermeintlichen Übermacht der Cyberkriminellen zu resignieren wäre definitiv falsch. Niemand sollte sich davon abschrecken lassen, dass ein hundertprozentiger Schutz unmöglich ist. Halten wir uns daran, was unzählige Start-ups – übrigens auch im Securityumfeld – schon zum Erfolg geführt hat: Praktisch alles gilt nur so lange als unmöglich, bis einer kommt, der das nicht wusste. Und es einfach macht. Darin steckt viel Wahres. 
Anders ausgedrückt: Wer bei der Cybersicherheit nur an einer einzigen Stelle nicht die richtigen Schlüsse zieht, kann sehr schnell jede Menge Muße haben. Dann hat er aus der Securityperspektive den Faktor Echtzeit womöglich unterschätzt und somit anschließend „echt Zeit“, sich darüber zu ärgern. 

Ihr Ansprechpartner: Thomas.Tschersich@t-systems.com