Infoguard Security Lounge 2019

Warum sich Infoguard als Swisscom tarnt und Risikoprävention nicht tot ist

Uhr

Am 26. Juni hat Infoguard zur 10. Security Lounge geladen. Die Gäste erwartete ein voll bepacktes Nachmittagsprogramm. Zu den Schwerpunkten des Events zählten unter anderem die aktuelle Bedrohungslage in der Schweiz, Insider Threats und die IT-Security in 10 Jahren.

Zum 10-jährigen Jubiläum der Infoguard Security Lounge hat Infoguard-CEO Thomas Meier die Besucher mit einem Rückblick in die Anfänge des Events begrüsst. "Wir haben 2009 mit 107 Gästen gestartet, jetzt sind wir über 260", sagte er. Cybersecurity sei dabei als Thema nicht weniger wichtig geworden – im Gegenteil. "Die Anforderungen an die Security sind mittlerweile so hoch, dass man gar nicht mehr hinterher kommt und wegen eines Skill Shortages kommt man gar nicht mehr an Experten auf dem Gebiet heran." Der Infoguard-CEO gab Unternehmen ausserdem zu bedenken, dass man Security als Enabler bei neuen Geschäftsmodellen und nicht als Bremsklotz sehen müsse.

Cyberkriminelle brechen immer häufiger Tabus

Den Anfang der Vortragsreihe am 26. Juni im Casino Theater Zug machte Marc Henauer, Chef der Sektion Melani beim Nachrichtendienst des Bundes. Er gab einen Einblick in die aktuelle Bedrohungslage. Da immer mehr Prozesse digitalisiert würden, mache es Sinn, dass auch Spionage, Betrug und Erpressung immer häufiger digital stattfänden, erklärte Henauer. Dabei könne man meinen, dass Angriffe auf vertrauliche Dokumente die schlimmsten seien. Angriffe auf die Verfügbarkeit von Systemen seien allerdings viel schmerzhafter. Als Beispiel nannte Henauer Galaxus. Wäre die Website des Onlinehändlers für mehrere Stunden nicht mehr verfügbar und Produkte könnten nicht mehr bestellt werden, würde das enorme Gewinneinbussen für das Unternehmen bedeuten.

Im Bereich Cybercrime brechen Kriminelle gemäss Henauer häufiger Tabus. Sie nähmen bewusst physische Effekte und Menschenleben in Kauf. Als Beispiel nannte der Melani-Chef Angriffe auf Spitäler. Wie bereits Infoguard-CEO Thomas Meier appellierte auch Henauer an die Führungsetage. "Die Geschäftsleitung ist zuständig für das Risiko Management, nicht die IT-Abteilung." Das heisse nicht, dass die Geschäftsleitung aus IT- und Security-Experten bestehen müsse, aber sie müsse sich mit den Geschäftsprozessen auskennen. Ausserdem gebe es viele nicht-digitale Massnahmen, um Sicherheitsrisikos zu minimieren.

Marc Henauer, Chef der Sektion Melani beim Nachrichtendienst des Bundes (Source: Netzmedien)

"Die IT funktioniert in den meisten Fällen nach dem Ei-Prinzip"

Insider Threats lautete das Thema des zweiten Referats, gehalten von Mathias Fuchs, Head of Investigation & Intelligence bei Infoguard. "Das Grundproblem ist, dass die IT in den meisten Unternehmen immer noch nach dem Ei-Prinzip aufgebaut ist. Sie hat zwar eine harte Schale, aber einen sehr weichen Kern." Angriffe von innen müssten nicht immer böswilliger Natur oder beabsichtigt sein. Auch Unaufmerksamkeit sei ein Risikofaktor.

Als Anzeichen von Insider Threats nannte Fuchs auf persönlicher Ebene:

  • Unübliche Arbeitszeiten

  • Drogen- oder Alkoholmissbrauch

  • Finanzielle Probleme

  • Psychische Auffälligkeiten

Auf organisationeller Ebene sei Vorsicht geboten bei:

  • Entlassungen

  • Gehaltserhöhungen

  • Beförderungen

Die beiden Infoguard-Mitarbeiter Luca Cappiello und Reza Hedayat griffen das eigene Unternehmen ganz bewusst an. Denn sie sind Teil des Infoguard-Red-Teams und kreierten eine eigene Angreifergruppe, um Infoguards Security zu testen. Der Head of Penetration Testing & Research, Cappiello, und der Head of Security Innovation, Hedayat, erzählten nicht nur von schlaflosen Nächten und panischen Analysten, sondern stellten auch die momentan noch in der Entwicklung steckende Vurex-Plattform vor. Es handle sich dabei um eine Plattform für Security-Experten auf technischer Ebene, auf der das Red Team seine Ergebnisse teilen werde. Ebenfalls neu führe Infoguard das Purple Team ein. Hier würden die Ergebnisse von Infoguards Blue und Red Team zusammengestellt.

An der diesjährigen Infoguard-Hausmesse zeigten 25 Partner, was sie zu bieten haben. Der Gastgeber gab einen Einblick in die Methoden von Hackern und in die IT-Security des Industrial Internet of Things (IIoT). Lesen Sie hier den Event-Bericht.

"Cybercrime-as-a-Service ist heute bereits kalter Kaffee"

"In unserer Branche 10 Jahre in die Zukunft zu blicken, ist eigentlich unmöglich", sagte Hannes Lubich, Professor für ICT System Management an der Fachhochschule Nordwestschweiz (FHNW), zu Beginn seiner Präsentation mit dem Titel "Informationssicherheit 2019". Eines sei aber sicher: Auch in 10 Jahren werde es weiterhin Bedrohungen geben. "Und wir werden immer noch versuchen, den End-Usern die Schuld zuzuschieben", scherzte Lubich. Viele Themen, wie Cybercrime-as-a-Service, Persistente Multi-Channel-Attacken und Angriffe auf verbundene Geräte, seien heute bereits "kalter Kaffee".

Als Themen, welche die Cybersecurity in 10 Jahren beschäftigen werden, nannte Lubich:

  • Neue Computer-Paradigmen wie Quantencomputer und Neuro-/Bio-Computer

  • Eine zunehmende Komplexität, da immer mehr Systeme Software-defined und daher schwierig nachvollziehbar seien

  • Big Data

  • Gemischte Vertrauensketten: Wertschöpfungsketten würden immer länger und dynamischer

  • Resilience

  • Active Defense: Hier stelle sich die schwierige Frage, ob und in welchem Ausmass man sich aktiv gegen Cyberangriffe verteidigen dürfe.

Christopher Hodson, Chief Security Officer EMEA bei Tanium. (Source: Netzmedien)

"Prevention's not dead"

Als nächstes waren mit Markus Nispel, Vice President Software and Solutions Engineering bei Extreme Networks, und Christopher Hodson, Chief Security Officer EMEA bei Tanium, zwei Infoguard-Partner an der Reihe. Während Nispel über Security in autonomen Netzwerken sprach, thematisierte Hodson Effektivität und Effizient in der IT-Security. "Das Business und die IT haben eine unterschiedliche Auffassung davon, was Effektivität und Effizienz sind", erklärte Hodson. Für das Business seien Faktoren wie Kosten und Zeit entscheidend. Für die IT hingegen bedeute Effektivität schlicht, das Risiko zu minimieren.

"Es gibt viele Leute in unserer Industrie, die sagen, Prävention bringe nichts mehr und man solle sich stattdessen auf Detection und Response konzentrieren." Das sei jedoch eine ineffiziente, falsche Strategie. "Prevention's not dead." Zwar funktioniere Prävention alleine nicht mehr, um sich zu schützen, könne aber entlasten. "Die Mitarbeiter, die Bedrohungen entdecken und einordnen sollten, sind überfordert, da sie auf viel zu vieles auf einmal achten müssen."

Wenn sich Infoguard als Swisscom tarnt

Weiter machten drei Infoguard-Kunden: Rene Gehlen, Leiter Fachstelle Informationssicherheit, und Niko Ausländer, SOC-Verantwortlicher bei der Stadt Zürich, sprachen über die vielfältigen Security-Anforderungen der Stadt. Massimo Catrambone, Head Partner Management Finstar, von der Hypothekarbank Lenzburg, zeigte den Besuchern auf, wie die Hypi Lenzburg ein eigenes Core-System fürs Online- und Open Banking entwarf. Als dritter Kunde im Bunde war die Lebensversicherungsfirma Pax an der Reihe. Der IT-Leiter Roland Ingold sprach darüber, wie Pax gemeinsam mit Infoguard die Sicherheit des Unternehmens testete. Dabei hätte Infoguard auch physisch versucht ins Unternehmen einzudringen – mit Erfolg. Zwei Infoguard-Mitarbeiter hätten sich als Swisscom-Mitarbeiter getarnt und sich so den Zugang zum Dach und zum Archivraum erschlichen. Ingolds Erkenntnis aus dem Test: "Man sollte sich nicht zu lange auf seinen Security-Lorbeeren ausruhen, denn wirklich abgeschlossen ist die Arbeit in diesem Bereich nie."

Mentalist und Mentalmanager Florian Ilgen führte einen Zaubertrick mit einer Besucherin vor. (Source: Netzmedien)

Wie bereits im vergangenen Jahr verlieh Infoguard auch an der diesjährigen Security Lounge Partner-Awards. Zum Best Partner of the Year wurde Tanium gekürt. Die Auszeichnung als Innovation Partner ging an Palo Alto Networks. Den Abschluss des Nachmittagsprogramms markierte Mentalist und Mentalmanager Florian Ilgen. Er führte dem Publikum abgesehen von einigen Zaubertricks vor, wie wichtig das Unterbewusstsein bei der Digitalisierung ist. Das Unterbewusstsein sei träge und halte am liebsten an alten Gewohnheiten fest. Um ein digitales Mindset im Unternehmen aufzubauen, brauche es eine klare Vision, eine gute Kommunikation und Vorgesetzte, die eine Vorbildfunktion einnähmen. Ausserdem sei Leidenschaft ein Key-Faktor bei der Digitalisierung. "Wenn ich auf meinen Job nicht so Lust habe, dann habe ich mit der Digitalisierung ganz grosse Mühe. Denn im digitalen Alltag verändert sich sehr vieles sehr schnell. Um solche Veränderung anzunehmen, braucht es Leidenschaft."

Webcode
DPF8_144093