Hallo zusammen,
Security Breaches don’t matter (much): Travis McPeak, ein ehemaliger Security-Architekt bei IBM und Netflix, hat einige Daten in seinem Vortrag Hard Truths your CISO won’t tell you zusammengestellt. Diese zeigen, dass es im Regelfall weniger als 2 Monate dauert, bis sich der Aktienkurs eines Unternehmens nach einem bekanntgewordenen Cyberangriff erholt hat.
Ein Berufsskeptiker unter meinen Kollegen (die angenehme Sorte, d.h., ohne Zusatzqualifikation zum Dauerquerulanten) hat ebenfalls ein paar öffentlich verfügbare Zahlen aufarbeiten lassen und kommt zum Ergebnis: Im Durchschnitt verursacht ein Ransomware-Angriff Gesamtschäden in Höhe von ~40% des EBITDA bzw. ~2% des Umsatzes. Meine Interpretation: Das ist signifikant, aber im Vergleich zu anderen Geschäftsrisiken nicht dramatisch hoch (Ausnahmen bestätigen natürlich auch hier die Regel).
Und dazu passt die Auflösung vom Quiz des letzten Marktkommentars: Dargestellt war der Umsatz von Solarwinds – dem Unternehmen, das 2020 Opfer einer Supply Chain Angriffs wurde (sicher erinnern sich viele noch an die Schlagzeilen), worüber dann auch mehr als 10.000 Kunden betroffen waren. Interessant dabei ist natürlich, dass Solarwinds nachweislich Security-Lücken in Kauf genommen hatte, und die Kunden dem Anbieter trotzdem treu blieben – Kundenzahl und Umsatz sind seit dem Angriff gestiegen. Geschichte wiederholt sich nicht, aber sie reimt sich, hat ein kluger Mensch gesagt. Ich gehe daher davon aus, dass auch Crowdstrike trotz der kleinen Panne weiter erfolgreich sein wird.
Das ist dann auch gleich die Überleitung zum nächsten Thema: Das Feedback zum Thema MDR Breach Warranties hat Interesse an weiteren laienjuristischen Ausführungen bzgl. Terms + Conditions von Security-Anbietern signalisiert, natürlich befeuert durch den Crowdstrike-Incident.
Daher hier mein aktueller Blick auf die AGB-Landschaft. Obwohl ich dafür etwas Schützenhilfe durch unsere Kollegen aus der Rechtsabteilung bemüht habe, ist das selbstverständlich weiterhin keine Rechtsberatung, sondern nur meine Meinung (die ich auch gerne mal ändere, wenn mir jemand neue Fakten oder einfach gute Argumente auf den Tisch legt).
Nicht nur bei Crowdstrike, sondern bei vielen Security-Anbietern (z.B. Darktrace, Palo Alto, SentinelOne, Trend Micro) finden sich sinngemäß und teilweise sogar mit nahezu identischem Wortlaut die folgenden Klauseln in den öffentlich zugänglichen Nutzungsbedingungen bzw. deren Übersetzungen:
- Es ist Kunden verboten, Testergebnisse zu veröffentlichen: „Der Kunde verpflichtet sich, zu unterlassen: Stresstests, Wettbewerbsvergleiche oder -analysen zu einem Angebot durchführen oder Leistungsdaten eines solchen Angebots veröffentlichen (vorausgesetzt, dass dies den Kunden nicht daran hindert, die Produkte mit anderen Produkten für den internen Gebrauch des Kunden zu vergleichen)“
- Die Wirksamkeit des Produkts wird nicht zugesichert: „DER KUNDE ERKENNT AN, VERSTEHT UND STIMMT ZU, DASS [Hersteller] NICHT GARANTIERT ODER GEWÄHRLEISTET, DASS [Produkt] ALLE SYSTEMBEDROHUNGEN, SCHWACHSTELLEN, MALWARE UND BÖSARTIGE SOFTWARE DES KUNDEN ODER SEINER VERBUNDENEN UNTERNEHMEN FINDET, LOKALISIERT ODER ENTDECKT“
- Die Verfügbarkeit des Produkts wird nicht zugesichert: „ES GIBT KEINE GEWÄHRLEISTUNG, DASS DIE ANGEBOTE ODER TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BEDÜRFNISSE DES KUNDEN ERFÜLLEN. DIE ANGEBOTE UND TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE. Der Kunde stimmt zu, dass es in der Verantwortung des Kunden liegt, die sichere Nutzung eines Angebots und der Tools in solchen Anwendungen und Installationen zu gewährleisten.“
Hört sich erstmal nicht kundenfreundlich oder im Sinne der Community an. Generell festhalten lässt sich:
- Niemand ist ja gezwungen, bei einem dieser Hersteller zu kaufen oder bei einem Kauf die AGB zu akzeptieren – Es gibt im Security-Markt genug Wettbewerb.
- Wer mit den AGB nicht einverstanden ist, sollte das aber vor Vertragsunterzeichnung verhandeln. Beispiel aus einem EVB-IT: „Eine Einbeziehung der auftragnehmerseitigen AGB zu Art und Umfang der Cloudleistungen erfolgt nur nachrangig gegenüber allen anderen Regelungen und nur, soweit sie allen anderen vertraglichen Regelungen weder entgegenstehen noch diese beschränken.“ Bei den US-amerikanischen Anbietern oder Anbietern aus UK ist eine AGB-Kontrollprüfung und die damit einhergehende nachträgliche Berufung auf die Unwirksamkeit der AGB durch einen europäischen Kunden vor einem dortigen Gericht praktisch ohne Erfolgsaussichten
- Einige Anbieter zeichnen sich schon heute positiv dadurch aus, dass sie nicht alle dieser Klauseln oder teilweise sogar keine davon in den AGB haben (z.B. Logpoint, Withsecure)
- Je mehr Kunden die Bewertung der AGB auch in den Auswahlprozess einbeziehen, umso mehr werden die Hersteller sich bemühen, diese auch wettbewerbsfähig zu gestalten
Zu den einzelnen Klauseln:
- Ad 1) Es ist Kunden verboten, Testergebnisse zu veröffentlichen
- Das beste Argument hierfür ist aus meiner Sicht, dass es Angreifern erschwert werden soll, Security-Produkte zu umgehen.
- Das könnte aber natürlich alternativ auch durch ein „responsible disclosure“ wie bei gefundenen Schwachstellen geregelt werden. Zudem ist es realitätsfern zu glauben, dass gut organisierte Angreifer keine „Qualitätssicherung“ mit den gängigen AV/EDR-Systemen durchführen. Zudem gibt es natürlich viele relevante Aspekte, die gar nicht die Erkennungs-/Schutzfunktionen betreffen, wie z.B. die Prozessorlast bei AV/EDR-Produkten
- Außerdem seien viele Kundenevaluierungen so schlecht aufgesetzt, dass die Ergebnisse nicht vergleichbar wären und man sich als Anbieter dann ständig rechtfertigen müsse, wurde mir gesagt. Mag sein => Aber bei unabhängigen Labortests muss die Testorganisation ja ihre Methodologie auch offenlegen, wenn sie glaubwürdig sein will
- Interessant: Bei den AGB/AVB der Hersteller von Alarmanlagen (physische Sicherheit) finden sich meist nur Klauseln in AGB, die ein Re-Engineering verbieten. Deshalb gibt es wahrscheinlich auch öffentliche Vergleichstests von Alarmanlagen.
- Unter dem Strich sind diese Klauseln aus meiner Sicht schlecht für Kunden: Es gibt keine öffentlichen Tests von z.B. NDR, SIEM, Mailgateway oder CASB/DLP Produkten, die nicht durch Anbieter finanziert und redigiert wurden. Das heißt, dass alle Kunden ihre eigenen Tests durchführen müssen und anschließend noch nicht einmal darüber sprechen dürfen (außer unter NDA), was global gesehen zu enormer Doppelarbeit und Mehrkosten führt. Erklärt auch, warum Gartner, Forrester etc. keine technischen Erprobungen durchführen, sondern sich im Wesentlichen auf den Markterfolg beziehen => Leader ist, wer viel verkauft.
- Es sollte im Ergebnis den Kunden in jedem Einzelfall überlassen werden, ob sie Testergebnisse veröffentlichen wollen oder nicht
- Auch hier kann man nur hoffen, dass sich im Laufe der Zeit durch Wettbewerb mehr Transparenz ergibt
- Ad 2) Die Wirksamkeit des Produkts wird nicht zugesichert
- 100% nachvollziehbar – perfekte Sicherheit gibt es nicht, ebensowenig wie fehlerlose Software
- Im Vergleich mit Alarmanlagen für Einbruchschutz fällt allerdings auf: Es gibt keine Normen oder den „Stand der Technik“, dessen Einhaltung von Infosec-Anbietern garantiert wird
- Umso wichtiger sind dann eben vergleichende Tests der Effektivität
- Ad 3) Die Verfügbarkeit des Produkts wird nicht zugesichert
- Hier könnte man in meiner naiven Denkweise die Zusage einer Verfügbarkeit (X% im Dauerbetrieb auf 1 Jahr gerechnet) erwarten, wie es auch beim Kauf von Maschinen und Anlagen oder den SLA von anderen Clouddiensten üblich ist
- Auch hierzu sind in den EVB-IT Vorlagen Passagen enthalten, die die Verfügbarkeit klar definieren und einfordern
Falls jemand andere Erfahrungen, Beispiele, Ausnahmen o.ä. haben sollte, natürlich gerne melden.
Bei Interesse hier noch ein paar Stichpunkte aus Vendor Briefings:
Dispel:
- US Anbieter für Secure Remote Access (IT+OT) inkl. Vereinheitlichung von DMZ (ähnlich z.B. Secomea, Claroty, HMS EWON, Phoenix Contact, Siemens, XONA, Bifrost…)
- Ca. 100 MA, bei ~300 Unternehmenskunden / Regierungsbehörden im Einsatz (u.a. Mercedes, Daimler Trucks, Mitsubishi, Dep. of Defense)
- Die Architektur erfüllt die NIST 800-172 vollständig inkl. „moving target defense“, d.h., automatisch veränderten Speicher- und Verarbeitungsorten, und geht damit über BSI Grundschutz, NERC CIP oder IEC 62443 hinaus (soweit ich das beurteilen kann – gerne andere Sichtweisen hierzu)
- Architektur (s. auch schönes Diagramm im Anhang):
-
- 1 virtuelle Appliance („Wicket“) pro Standort bzw. DMZ notwendig. Das ist eine Art Gateway, stellt die verschlüsselten Verbindungen wie üblich immer von innen nach außen her und managt die Zugriffsberechtigungen
- Zwischen Endpunkt des Wartungstechnikers und der virtuellen Appliance im Standort wird ein SD-WAN periodisch neu erzeugt (auch in private Cloud oder on prem möglich), so dass der Techniker sich mit diesem vorgeschalteten SD-WAN verbinden muss (und nicht direkt mit dem Gateway)
- Externe Wartungstechniker können entweder via Download eines Agenten oder via RDP, SSH, VNC Zugriff auf eine VDI im SD-WAN erhalten
- Die IP-Adresse wird für jede VDI und damit für jeden Zugriff neu vergeben
- Die VDIs werden jeweils von einem aktuell gepatchten Golden Image erzeugt und in einem Puffer vorgehalten, um Wartezeiten zu vermeiden (=> Damit noch max. 3 Minuten bis Zugriff)
- Internetzugriffe von den VDI auf z.B. Server der Maschinenlieferanten können durch Admins gezielt freigeschaltet werden
- Permanente Projektordner sind ebenfalls einrichtbar
- Servicetechniker von Maschinenlieferanten können zu Sessions eingeladen werden
- Alle üblichen OT Protokolle können übertragen werden
- Session Recording, Logging, Zeitbeschränkungen für Zugriffe, Approval Workflows im 4-Augenprinzip etc. wie bei den meisten marktführenden Systemen
Deepfence:
- Public Cloud Security: Posture Management (Scannen auf Fehlkonfigurationen und Compliance z.B. mit DSGVO) und Runtime Protection (CNAPP) zur Angriffserkennung auf Anwendungen und APIs, ähnlich den Cloud Modulen von EDR-Anbietern und den Schwachstellenmanagement-Platzhirschen wie Tenable, Qualys etc.
- Gibt es auch in einer kostenlosen Version mit etwas weniger Funktionalität
- Kann on prem durch den Kunden betrieben werden
- Priorisierung von Schwachstellen nach Exploitability:
-
- Im ersten Schritt über EPSS und KEV
- Anschließend wird geprüft, ob die verwundbare Komponente zur Runtime beim Kunden überhaupt im Speicher geladen und ob eine Netzwerkverbindung („live sockets“) möglich ist. In der Praxis lässt sich damit schon eine Reduzierung der relevanten Schwachstellen um den Faktor 10 erzielen
- Auch für Überwachung von verschlüsseltem Datenverkehr zwischen LLMs auf Basis von eBPF Hooks (ohne Entschlüsselung, sondern über Monitoring der Veränderung im Datensatz auf dem Cloud-Endpunkt)
- Kunden u.a. Amazon u. Dell
Dropzone AI:
- Startup aus USA, ~10 Unternehmenskunden, auch in der EU (dafür alle Daten in der EU gehostet, single Tenant, compliant mit EU AI Act)
- Assistenzsystem für SOC-Analysten (Automatisierung „Tier 1“)
- Neben der Zeitersparnis natürlich auch Benefits bei der Konsistenz von Ergebnissen
- Vorteile insbesondere bei rekursiven Analysen (=> Abhängig von Ergebnis bei Analyseschritt 5, nochmal bei Schritt 2 anfangen)
- Konkretes Beispiel für Insider Threat Alarm in MS Defender for Office (Severity High):
-
- Nur mit Defender/Splunk: Standardtext für Analyst: Activity Policy “External Entity was added to confidential Sharepoint site” was triggered by Michael Müller (Michael.Mueller@Beispielfirma.com)
- Mit Dropzone: “An Office 365 Cloud Alert was initiated when Michael Müller, a Software Engineer at Beispielfirma, shared a file named XYZ.zip with an external auditor, Stefan Schuster, on Jan 20, 2024. The file, located on a confidential Sharepoint site, was shared with edit permissions. The source user’s IP address, 99.88.110.100, is a common login point for Müller, indicating regular usage. Email exchanges between Müller and Schuster include other staff members (A and B) and confirm the legitimacy of the file sharing for audit purposes. No additional security alerts have been associated with Müller’s account, and there is no evidence of scanner behavior. […] Conclusion: Benign, no further action needed”
- Die Kontext-Anreicherung wird natürlich umso granularer, je mehr Datenquellen zur Verfügung gestellt werden (im obigen Beispiel durfte der KI-Assi z.B. neben den Logs im SIEM auch die Mails der Mitarbeiter lesen und Organigramme / das Firmentelefonbuch auswerten)
- Startpreis ~20 TEUR / Analyst
- Bin mir nicht sicher, wie lange das als Standalone Produkt am Markt Bestand haben wird, Übernahme durch einen XDR/SIEM Hersteller liegt ja nahe
Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen, Richtigstellungen oder positives Feedback gerne per Email. Beschwerden hingegen bitte an philipp.pelkmann@bosch.com 😉.
Viele Grüße
Jannis Stemmann