Am 10. November fand in Berlin die Veranstaltung „LWL Master Class“ statt. Neben einer Ausstellung, auf der die DECOIT^® GmbH im Rahmen der DiSiNet-Kooperation auch vertreten war, wurden in drei verschiedenen Modulen die Themen Glasfasernetze, Digitalisierung und IT-Sicherheit diskutiert. Die DECOIT^® GmbH stellte im IT-Sicherheitsbereich ihre Forschungsarbeiten vor sowie Test-Ergebnisse, die durch Analyse verschiedener SIEM-Systeme gewonnen wurden. Alle Teilnehmer waren sich in jedem Fall einig, dass es nicht bei der geführten Diskussion bleiben darf, sondern gehandelt werden muss, wenn man die wichtigsten Informationen eines Unternehmens schützen will.

Gleich am Anfang machte das Landeskriminalamt Berlin auf die aktuelle Lage der IT-Sicherheit aufmerksam. Demnach stellen besonders E-Mails die Hauptgefahr zur Einschleusung von Maleware dar. Erpressungstrojaner über Bewerbungen oder Schadsoftware im Anhang erleben eine Hochkonjunktur. DDoS-Angriffe auf Online-Shops zu bestimmten Zeiten (z.B. Weihnachtsgeschäft) sind ebenfalls zu beobachten. Aber auch Phishing zum Ausspähen von Kundendaten sowie DDoS-Attacken über Internet-of-Things (IoT) -Komponenten sind möglich und werdrn vermehrt eingesetzt. Davon sind alle Internet-Teilnehmer letztendlich betroffen, weshalb die Kriminalpolizei grob zwischen Unternehmen, die bereits angegriffen wurden, und Unternehmen, die den Angriff noch nicht bemerkt haben, unterscheidet. Die Hacker sind sowohl Script Kiddys als auch kriminelle Netzwerke (organisiertes Verbrechen) sowie Geheimdienste. Die Angriffe sind deshalb so erfolgreich, weil das Internet nicht als sichere Plattform konzipiert wurde. Hinzu kommt die digitale Sorglosigkeit der Teilnehmer, der Einsatz veralteter Software und ungepatchter Systeme, unbegrenzte Nutzung mobiler Endgeräte (BYOD-Thematik) sowie Unzureichende Absicherung industrieller Steuerungssysteme. Das Landeskriminalamt empfiehlt deshalb, ein Notfallmanagement zu etablieren, welches ein Sicherheitskonzept beinhaltet und das Erkennen von Alarmen durch Frühwarnsysteme (z.B. Monitoring, SIEM) ermöglicht. Die Frage ist nicht ob, sondern wie man angegriffen wird bzw. wie man sich dagegen schützen kann. Fazit: IT-Sicherheit ist absolut notwendig!

Dass Cyber-Security wichtig ist, wurde auch im nachfolgenden Vortrag der eco e.V. deutlich. Allerdings fehlt oftmals das entsprechende Sicherheitsbewusstsein im Mittelstand. Dabei stehen KMUs immer mehr im Fokus von Angreifern. Der Krypto-Trojaner Locky leistete dabei mit 5.000 Infektionen pro Stunde ganze Arbeit. Als Angriffsvektoren lassen sich weiter ausmachen: Web-Anwendungen, Web-Server, CMS und Plug-Ins von CMS-Lösungen. Viele Web-Agenturen sichern ihre Webdienste/CMS unzureichend, wodurch sich immer wieder neue Angriffsvektoren ergeben. KMUs sollten außerdem nicht an der IT-Sicherheit sparen, was aber oftmals gemacht wird. Um seine Webseiten zu überprüfen, wurde daher vom eco e.V. die Initiative-S (www.initiative-s.de) ins Leben gerufen. Diese bietet einen kostenlosen Webseiten-Check für KMUs an. Zusätzlich wurde die Initiative Botfrei (www.botfrei.de) gestartet. Es bietet eine Art „Erste Hilfe“ bei Botnet- und Maleware-Befall einen kostenloser Cleaner sowie Security-Tools an. 

Ob die Infrastruktur, z.B. die Glasfaser, per se als sicher bezeichnet werden kann, wurde nachfolgend von der Firma ADVA behandelt, denn im Grunde kann relativ einfach der Zugriff auf optische Glasfaserkabel erfolgen. Durch sog. LWL-Koppler kann ein Datenstrom bei direktem Zugriff auf das Kabel abgezweigt werden. Da kaum Verschlüsselungsmechanismen im Internet genutzt werden, können dann direkt Informationen abgegriffen und ausgewertet werden. Das Geschäftsmodell „Crime-as-a-Service“ steht daher inzwischen hinter vielen Hacking-Angriffen. Auch Router werden inzwischen gehackt (Beispiel: britischer Geheimdienst), um die Infrastruktur selbst zu infiltrieren. Eine Lösung wäre die FSP 3000 Security Suite. Sie bietet Physical Layer Monitoring, Verschlüsselung und gehärtete Software auf Dienstebene an. Somit wird die physikalische Ebene zur Verschlüsselung verwendet, ohne auf die IPsec-Ebene Rücksicht nehmen zu müssen. Zusätzlich könnte man noch ein Monitoring in die Glasfaserstrecke mit einbauen, um die Überwachung der Fasern vornehmen zu können. Dies wird durch die Firma City Fibre Channel Systems GmbH angeboten. Dieses Monitoring könnte auch zum Erkennen von schleichender Streckenalterung eingesetzt werden. Die Basisidee beinhaltet, dass ein Messgerät in die Faser eingekoppelt wird, ohne Störung des Datenverkehrs zu verursachen. Auch optische Zugangskontrollen sind damit möglich, um einen Schutz vor unbefugtem Öffnen oder Betreten des Verteilers umzusetzen.

Den Unsicherheitsfaktor Mensch in der IT-Hierarchie eines Unternehmens adressierte die Telco Tech aus Berlin. Auch in diesem Vortrag wurden verschiedene Angriffsszenarien durchgespielt. So sammelte ein Hacker beispielsweise gebrauchte Festplatten über eBay, um an die Daten der Vorbesitzer zu kommen. Größtenteils waren dabei die Daten noch ungelöscht auf den Festplatten vorhanden. Eine andere Honeypot-Situation wurde für ein Steuerungssystem für Züge getestet. Hierbei stellte man über 2,5 Mio. Angriffe in sechs Wochen fest. Dies macht deutlich, dass Stuxnet kein Einzelfall mehr ist. Über die Suchmaschine Shodan (www.shodan.io), über die wir bereits berichtet haben, können offene Industriesteuerungen herausgefunden werden. Betroffene Unternehmen machten allerdings keine Anstalten, ihre Sicherheitseinstellungen zu überarbeiten, obwohl sie direkt kontaktiert wurden. Als Fazit wurden UTM-Systeme empfohlen, die mehr bieten als reine Firewall-Lösungen. SIEM-Systeme ergänzen dann zusätzlich mehrstufige Firewall-Architekturen.

Diesen Faden nahm die DECOIT^® GmbH in ihrem Vortrag auf. Denn Monitoring ist zwar wichtig, aber nicht nur die Analyse der Verfügbarkeit. SIEM-Systeme ermöglichen es, den IT-Sicherheitsgrad eines Unternehmens zu analysieren, zu beurteilen und Empfehlungen auszusprechen. Dabei sollte diese auch für normale IT-Administratoren verständlich sein. Die Forschungsprojekte der DECOIT^® GmbH (SIMU und iMonitor) beschäftigten sich u.a. mit intelligenteren Auswertemethoden, um zum einen Anomalien erkennen und zum anderen Gegenmaßnahmen empfehlen zu können. Aktuell findet bei den meisten Herstellern nur eine Mustererkennung statt, die nur auf bekannte Angriffsarten reagieren kann. Zwar lassen sich die SIEM-Systeme trainieren, so dass sie immer effektiver werden, aber dazu müssen erst einmal die Zeit und das Wissen vorhanden sein. Zudem sind nur wenig gemeinsame Datenformate und Schnittstellen vorhanden, um von den vorhandenen Sicherheitskomponenten die notwendigen Loginformationen sammeln und einheitlich auswerten zu können. Abschließend konnte aber auch festgestellt werden, dass  SIEM-Systeme zukünftig noch handhabbarer, kostengünstiger und schlanker werden müssen, wenn sie sich durchsetzen wollen. Das jüngste Forschungsprojekt CLEARER (www.clearer-project.de) der DECOIT^® GmbH versucht daher, die guten Ansätze früherer F&E-Projekte aufzunehmen und auf Open-Source-Basis ein solches SIEM-System zu entwickeln.

Abschließend waren sich alle Teilnehmer einig, dass IT-Sicherheit ein kontinuierlicher Prozess sein muss, der auf allen OSI-Ebenen stattfinden muss, um eine Absicherung zu ermöglichen. Dabei müssen auch die Teilnehmer mit einbezogen werden, da rein technische Verfahren nicht ausreichend sind. Die DECOIT^® GmbH hilft ihnen dabei gerne, diesen Weg zu gehen, denn letztendlich sind wir alle betroffen.