![\"\"](\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/klaus-jochem.jpeg\")
<\/p>\n\n\n\n
Lieber Herr Jochem, seit wann besch\u00e4ftigen Sie sich mit Cybersecurity und OT-Security und was sind Ihre bisherigen spannendsten Momente bei dem Thema gewesen?<\/strong><\/p>\n\n\n\n Im Umfeld IT bin ich seit mehr als 35 Jahren aktiv. Mit IT-Security besch\u00e4ftige ich mich seit 1989 intensiv. Zur OT-Security bin ich \u00fcber die Manufacturing Execution Systeme vor ca. 15 Jahren gekommen.<\/p>\n\n\n\n Der spannendste Moment: Ich arbeitete 1987 auf Gro\u00dfrechnern mit IBM-Betriebssystem. Ein Systemprogrammierer blockierte immer bestimmte Verzeichnisse, was dazu f\u00fchrte, dass der Datentransfer \u00fcbers IBM-SNA-Netzwerk zwischen den Entwicklerstandorten in Deutschland und Florida gest\u00f6rt wurde. Das hatte direkte Auswirkungen auf die Arbeit von ca. 1500 Softwareentwicklern. Ich programmierte mit Betriebssystemmitteln einen Trigger, der mir den Usernamen und das Terminal des Anwenders am Bildschirm anzeigte. Sie k\u00f6nnen sich nicht vorstellen, wie verdutzt der war, als ich pl\u00f6tzlich neben ihm stand und ihn zur Rede stellte.<\/p>\n\n\n\n <\/p>\n\n\n\n Sie sprechen h\u00e4ufig das Thema RoSI (Return on Security Invest) als zentralen Baustein bei dem Thema Cybersecurity an \u2013 was verstehen Sie darunter und wo sind die St\u00e4rken des Ansatzes bzw. was k\u00f6nnen Unternehmen daraus ableiten?<\/strong><\/p>\n\n\n\n Ich w\u00fcrde RoSI nicht als zentralen Baustein bezeichnen. Es ist eine Methode, mit der man Investitionen in Cybersecurity bewerten kann. Und zwar vorab, bevor die Investition get\u00e4tigt wird. Darin liegt die St\u00e4rke des Ansatzes.<\/p>\n\n\n\n Bei Investitionen in Cybersecurity vergessen wir h\u00e4ufig, dass dadurch die Kosten dauerhaft steigen. Das ist auch dann der Fall, wenn die L\u00f6sung den Schaden vollst\u00e4ndig vermeidet. Damit wird der Gewinn des Unternehmens dauerhaft reduziert, denn Kosten f\u00fcr Cybersecurity-Ma\u00dfnahmen lassen sich in der Regel nicht auf den Produktpreis aufschlagen. Alternativ m\u00fcssen Sie mehr Produkte verkaufen, damit der Gewinn zumindest gleichbleibt. In meiner Lieblingsw\u00e4hrung Gummib\u00e4rchen ausgedr\u00fcckt: Ein Unternehmen muss viele Gummib\u00e4rchen pro Jahr mehr verkaufen, damit bei j\u00e4hrlichen Betriebskosten von 50.000 Euro f\u00fcr eine Cybersecurity-L\u00f6sung der Gewinn des Unternehmens gleich bleibt.<\/p>\n\n\n\n RoSI sollte sp\u00e4testens beim Design von risiko-reduzierenden Ma\u00dfnahmen zum Einsatz kommen. Wurde ein Sicherheitsrisiko identifiziert, das \u00fcber der Risikotragf\u00e4higkeit einer Organisation liegt, so sollten geeignete Ma\u00dfnahmen ergriffen werden, um das Risiko unter diesen Wert zu reduzieren. Prinzipiell kann damit der Wert R, um den eine Sicherheitsl\u00f6sung das Risiko reduzieren muss, bestimmt werden.<\/p>\n\n\n\n RoSI dient dazu, verschiedene Sicherheitsma\u00dfnahmen oder -l\u00f6sungen, die alle das Risiko um mindestens R reduzieren k\u00f6nnen, miteinander zu vergleichen. Das Vergleichskriterium sind die Toolkosten. Prim\u00e4res Ziel ist, eine L\u00f6sung zu finden, die RoSI optimiert.<\/p>\n\n\n\n Toolkosten umfassen zumindest die Anschaffungskosten, die Rollout-Kosten und die Betriebskosten, idealerweise \u00fcber 3 oder 5 Jahre betrachtet. Daneben sollte man Opportunit\u00e4tskosten und Effektivit\u00e4tsverluste ber\u00fccksichtigen.<\/p>\n\n\n\n <\/p>\n\n\n\n Was geh\u00f6rt zu Effektivit\u00e4tsverlusten dazu?<\/strong><\/p>\n\n\n\n Friktion: Sie planen, das identifizierte Risiko um R zu reduzieren. Laut den Informationen der L\u00f6sungshersteller geht das einfach und schnell. Es gibt vielleicht sogar eine TEI (Total Economic Impact) Analyse von Forrester Research.<\/p>\n\n\n\n F\u00fcr ihre spezifische Betriebsumgebung muss das nicht unbedingt gelten. Carl von Clausewitz nennt die Gr\u00fcnde daf\u00fcr \u201eFriktion\u201c, Donald Rumsfeld \u201eunknown unknowns\u201c. Zwei Beispiele:<\/p>\n\n\n\n a) Sie haben eine Antivirus-L\u00f6sung, die beim w\u00f6chentlichen Fullscan sehr langsam ist. An diesem Tage verl\u00e4ngern ihre Entwickler die Mittagspause um 2 Stunden, weil die L\u00f6sung 100% CPU-Zeit f\u00fcr den Scan der Java-Bibliotheken der Entwicklungsumgebung ben\u00f6tigt. Deshalb gibt es f\u00fcr die gesamte Entwicklungsumgebung auf allen Entwicklercomputern eine Scan-Exception. Das kann ein Angreifer \u00fcber Spear-Phishing ausnutzen.<\/p>\n\n\n\n b) Zum automatisierten Rollout einer L\u00f6sung ben\u00f6tigen Sie schreibenden Zugriff \u00fcber das SMB Protokoll auf den Admin-Share der Workstations im Produktionsnetzwerk. Sie m\u00fcssen dazu die Produktionsnetzwerksegmente im Firewall f\u00fcr das SMB Protokoll \u00f6ffnen und auf jedem System einen lokalen Admin-User mit dem gleichen Passwort erzeugen, der in der Managementkonsole der L\u00f6sung hinterlegt wird. \u00dcber die Managementkonsole erh\u00e4lt ein Angreifer Zugriff auf alle Computer im Produktionsnetzwerk. Damit k\u00f6nnte ein WannaCry-artiger Wurm trotz Sicherheitsl\u00f6sung im schlimmsten Fall das gesamte Produktionsnetzwerk stilllegen.<\/p>\n\n\n\n Friktion reduziert die Wirksamkeit von Sicherheitsl\u00f6sungen bzw. in Beispiel 2 das Sicherheitsniveau des gesamten Systems. In der Regel wird die geplante Risiko-Reduktion nie erreicht. Das gilt es bei der Auswahl eines Produktes zu ber\u00fccksichtigen.<\/p>\n\n\n\n Tipp! Finden Sie eine L\u00f6sung, die zu Ihrem Unternehmen und Ihrem IT-Serviceprovider passt; geplanter und erzielbarer Sicherheitsgewinn sollten nicht zu sehr voneinander abweichen. Ber\u00fccksichtigen Sie Friktion bereits bei der Auswahl der L\u00f6sung!<\/p>\n\n\n\n Evolution und Disruption: Angreifer entwickeln ihre Werkzeuge weiter. Neue Schwachstellen werden aufgedeckt, Patches l\u00f6sen die Probleme oft nicht vollst\u00e4ndig oder k\u00f6nnen nicht implementiert werden. Sie m\u00fcssen aus Effizienzgr\u00fcnden gegebenenfalls Ausnahmen zulassen. Diese Faktoren reduzieren die Wirksamkeit der L\u00f6sung \u00fcber die Zeit. Prinzipiell verh\u00e4lt es sich mit Sicherheitsl\u00f6sungen so, wie mit PKWs: Verl\u00e4sst man das Autohaus, ist der Wert schon um 15% gesunken. Diese Faktoren sollten bei der Bewertung von L\u00f6sungen mit RoSI ber\u00fccksichtigt werden.<\/p>\n\n\n\n Tipp! W\u00e4hlen Sie L\u00f6sungen, die m\u00f6glichst widerstandf\u00e4hig gegen neue Angriffstechniken und Schwachstellen sind. Das ist aufw\u00e4ndig, sollte dennoch erfolgen, damit nicht nach 2 Jahren eine zus\u00e4tzliche L\u00f6sung beschafft werden muss.<\/p>\n\n\n\n <\/p>\n\n\n\n Darauf aufbauend: wie verbindet sich RoSI mit dem Risikobasierten Ansatz, den Sie ebenfalls h\u00e4ufig nennen?<\/strong><\/p>\n\n\n\n Das Risiko steht im Zentrum der ganzen Cybersecurity. Ich h\u00f6re oft Leitspr\u00fcche wie \u201eCybersecurity: Einfach anfangen\u201c. Aus betriebswirtschaftlicher Sicht ist das eine Katastrophe. Hier ein Beispiel:<\/p>\n\n\n\n Stellen Sie sich eine Scheune vor, die einige Mausel\u00f6cher hat. Zudem steht das Scheunentor immer auf. Der Farmer beklagt sich dar\u00fcber, dass st\u00e4ndig S\u00e4cke mit Saatgut gestohlen werden. Einfach anfangen kann bedeuten: Ich beginne damit, das erste Mauseloch zu verstopfen, dann das zweite, usw. Bis ich beim Scheunentor angelangt bin, dauert es einige Zeit, in der weiter Saatgut gestohlen wird.<\/p>\n\n\n\n Beim risikobasierten Ansatz sichert man zuerst das Scheunentor mit einem Vorh\u00e4ngeschloss. Um die M\u00e4use muss man sich nicht k\u00fcmmern, da ganze S\u00e4cke gestohlen werden. Falls man den Schaden, den die M\u00e4use verursachen, unbedingt verringern m\u00f6chte, sollte man eine Katze anschaffen.<\/p>\n\n\n\n Generell sollte man sich zuerst um die Risiken k\u00fcmmern, die oberhalb der Risikotragf\u00e4higkeit der Organisation liegen. Es ist nicht notwendig, diese Risiken so weit wie m\u00f6glich zu reduzieren. Es gen\u00fcgt, Sicherheitsma\u00dfnahmen zu implementieren, die das Risiko unter die Risikotragf\u00e4higkeit der Organisation dr\u00fccken.<\/p>\n\n\n\n Die Risikoanalyse gew\u00e4hrleistet, dass man die Schwachstellen (Scheunent\u00fcr) identifiziert, \u00fcber die unter den gegebenen Umst\u00e4nden (T\u00fcr steht auf) der Schaden (Saatgut wird s\u00e4ckeweise gestohlen) entsteht, den die Organisation (Farmer) nicht mehr verkraften kann.<\/p>\n\n\n\n RoSI setzt u.a. beim Design von Sicherheitsma\u00dfnahmen zur Reduktion des Risikos unter die Risikotragf\u00e4higkeit an. Wenn alle Ma\u00dfnahmen das Risiko unter die Risikotragf\u00e4higkeit reduzieren, dann ist RoSI die Methode, die zur dauerhaft Kosteng\u00fcnstigsten f\u00fchrt.<\/p>\n\n\n\n Weiter im Beispiel: Der Schaden l\u00e4sst sich mit verschiedenen Ma\u00dfnahmen verringern. Ohne Anspruch auf Vollst\u00e4ndigkeit:<\/p>\n\n\n\n 1. Video\u00fcberwachung des Eingangsbereiches mit Bewegungserkennung und Alarmierung.<\/p>\n\n\n\n 2. Fingerabdruckvorh\u00e4ngeschloss.<\/p>\n\n\n\n 3. Die Scheune mit einem Zaun sichern.<\/p>\n\n\n\n 4. Die Scheune mit einer Selbstschussanlage aus DDR-Best\u00e4nden sichern.<\/p>\n\n\n\n 5. Die S\u00e4cke in einem abschlie\u00dfbaren Container in der Scheune aufbewahren.<\/p>\n\n\n\n 6. Vorh\u00e4ngeschloss.<\/p>\n\n\n\n Mit RoSI bewertet man die Betriebskosten der L\u00f6sungen, wenn m\u00f6glich \u00fcber einen l\u00e4ngeren Zeitraum. Unter Ber\u00fccksichtigung verschiedener Kostenaspekte sollte die Ma\u00dfnahme 6) ausgew\u00e4hlt werden.<\/p>\n\n\n\n Die Arbeit mit RoSI enthebt Sie nicht von der Pflicht der Nachbereitung. \u00dcberpr\u00fcfen Sie nach der Implementierung, ob die geplante Reduktion des Risikos tats\u00e4chlich erzielt wurde. Das wird selten gemacht, ist aber wichtig f\u00fcr das Sicherheitsgef\u00fchl.<\/p>\n\n\n\n <\/p>\n\n\n\n In Kombination von RoSi und risikobasiertem Vorgehen \u2013 wie schaffen es Unternehmen, mit dem n\u00e4chsten Euro, den Sie in Cybersecurity investieren am meisten Risiko zu minimieren?<\/strong><\/p>\n\n\n\n Vorausgesetzt, Sie kennen Ihre Risiken schon, empfehle ich, das Problem aus 2 Richtungen anzugehen, Top-down und Best-Practice:<\/p>\n\n\n\n Top-down: Konzentrieren Sie sich auf die 3 gr\u00f6\u00dften Risiken.<\/p>\n\n\n\n Analysieren Sie, wieweit Sie diese mit Bordmitteln reduzieren k\u00f6nnen. F\u00fcr Ideen siehe unten. Analysieren Sie das Restrisiko nach Anwendung der Bordmittel (Simulation!). Setzen Sie dort an, wo das Restrisiko am gr\u00f6\u00dften ist.<\/p>\n\n\n\n Finden Sie Synergien. Gibt es Security-L\u00f6sungen, die mehr als ein Risiko reduzieren k\u00f6nnen? Betrachten Sie auch die geringeren Risiken.<\/p>\n\n\n\n Bewerten Sie mit RoSI die Effektivit\u00e4t und die Kosten der L\u00f6sungen, in Bezug auf Ihre IT\/OT Umgebung und das Know-how Ihrer IT\/OT-Mitarbeiter.<\/p>\n\n\n\n Das ist zwar sehr zeitintensiv, hat jedoch den Vorteil, dass man bei der Implementierung vor gro\u00dfen \u00dcberraschungen gesch\u00fctzt ist, da man vorab analysiert hat, welche Aufw\u00e4nde zu erwarten sind und mit welchem Sicherheitsgewinn man rechnen kann. Das hei\u00dft nicht, dass man vor Unw\u00e4gbarkeiten gefeit ist. Helmuth von Moltke (der \u00c4ltere) schreibt dazu: „Kein Operationsplan reicht mit einiger Sicherheit \u00fcber das erste Zusammentreffen mit der feindlichen Hauptmacht hinaus“.<\/p>\n\n\n\n Best Practice: Vorhandene Sicherheitsl\u00f6sungen aussch\u00f6pfen.<\/p>\n\n\n\n Das ist das Brot- und Buttergesch\u00e4ft in der Security \u2013 es l\u00e4uft kontinuierlich. Reizen Sie das aus, was Sie schon haben (Bordmittel), technisch und organisatorisch. Aus meiner Sicht kann man damit > 60% aller Angriffe blocken bzw. den Schaden drastisch reduzieren. Einige Beispiele:<\/p>\n\n\n\n a) Sie haben eine Firewall an der Grenze zum Produktionsnetzwerk im Einsatz. In vielen F\u00e4llen haben Sie IDS und IPS lizensiert, nutzen es jedoch nicht. Schalten Sie es ein, bevor Sie in neue Technik investieren. Das blockt viele Angriffe, die aus dem Firmennetzwerk kommen. Ohne Zusatzkosten, und ohne Auswirkungen auf die Produktionssysteme.<\/p>\n\n\n\n b) Beobachten Sie den Schwachstellenmarkt. Abonnieren Sie die Security Newsfeeds der Softwarelieferanten, deren Produkte Sie einsetzen. Abonnieren Sie auch die Newsfeeds des US-CERT, BSI, Heise, etc. Schauen Sie t\u00e4glich rein, ob kritische Schwachstellen f\u00fcr Produkte ver\u00f6ffentlicht wurden, die Sie einsetzen.<\/p>\n\n\n\n c) Entwickeln Sie eine Handlungsanweisung, wie bei Ver\u00f6ffentlichung einer kritischen Schwachstelle vorgegangen werden muss. Patchen Sie die Anwendungen, die an der Peripherie (Internet-DMZ, Produktions-DMZ) des Netzwerkes betrieben werden, im Fall von kritischen Schwachstellen binnen 24 Stunden nach Freigabe des Patch durch den Softwarelieferanten. Bereiten Sie Notfallprozeduren f\u00fcr den Fall vor, dass ein Lieferant nach Ver\u00f6ffentlichung einer kritischen Schwachstelle noch keine Patches bereitstellen kann. Betrachten Sie die Trennung des Systems vom Netzwerk als eine Handlungsoption. Besprechen Sie die Netztrennung mit den Fachabteilungen. \u00dcben Sie die Trennung!<\/p>\n\n\n\n d) Arbeiten Sie nicht mit permanenten administrativen Berechtigungen, insbesondere nicht mit Domain-Adminrechten. Das gilt insbesondere f\u00fcr Infrastrukturadministratoren. Das reduziert die Schwere der Auswirkungen eines Angriffs drastisch. Beispiel: Der Schaden, den NotPetya 2017 bei Maersk und Merck angerichtet hat, w\u00e4re deutlich geringer gewesen, wenn die Mitarbeiter, die die Malware heruntergeladen haben, nicht mit administrativen Berechtigungen gearbeitet h\u00e4tten.<\/p>\n\n\n\n e) Blockieren Sie die Verwendung von USB-Speichermedien. Damit reduzieren Sie die Wahrscheinlichkeit eines Angriffs von Innen. Das l\u00e4sst sich per Group-Policy mit wenigen Mausklicks realisieren. Organisieren Sie Malware-Schleusen, \u00fcber die Mitarbeiter Daten von USB-Speichermedien kontrolliert ins Unternehmen bringen k\u00f6nnen.<\/p>\n\n\n\n f) Aktivieren Sie Application Whitelisting. AppLocker ist seit Windows 7 Bestandteil des Windows Betriebssystems. Zusammen mit d) kann ein gro\u00dfer Teil von Angriffen mit neuartiger Malware, die aus dem Userkontext initiiert werden, geblockt werden. Voraussetzung: Windows Enterprise Version. Nutzung von Application Whitelisting ist Empfehlung Nummer 1 vom U.S. Department of Homeland Security<\/a> und dem Australian Cyber Security Center<\/a>.<\/p>\n\n\n\n <\/p>\n\n\n\n Sie besch\u00e4ftigen sich sowohl mit kritischer Infrastruktur (KRITIS) als auch mit produzierenden Unternehmen \u2013 wo liegen Gemeinsamkeiten und Unterschiede in der Herangehensweise im Bereich Cybersecurity?<\/strong><\/p>\n\n\n\n Der risiko-basierte Ansatz ist aus meiner Sicht in beiden F\u00e4llen eine gute Herangehensweise. Ich w\u00fcrde jedoch immer auch die Best Practice parallel implementieren. Wesentliche Unterschiede sind:<\/p>\n\n\n\n a) Die Risikotragf\u00e4higkeit ist im Fall kritischer Infrastrukturen durch den Gesetzgeber vorgegeben. In \u00a78a Absatz 1 des BSIG liest man: \u201e\u2026.angemessene organisatorische und technische Vorkehrungen zur Vermeidung von St\u00f6rungen der Verf\u00fcgbarkeit, Integrit\u00e4t, Authentizit\u00e4t und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die f\u00fcr die Funktionsf\u00e4higkeit der von ihnen betriebenen Kritischen Infrastrukturen ma\u00dfgeblich sind. \u2026 Organisatorische und technische Vorkehrungen sind angemessen, wenn der daf\u00fcr erforderliche Aufwand nicht au\u00dfer Verh\u00e4ltnis zu den Folgen eines Ausfalls oder einer Beeintr\u00e4chtigung der betroffenen Kritischen Infrastruktur steht.\u201c<\/p>\n\n\n\n b) Mit der neuen Version schr\u00e4nkt der Gesetzgeber den risiko-orientierten Ansatz weiter ein, indem er in \u00a78a Absatz 1a den Einsatz von Systemen zur Angriffserkennung fordert, obwohl diese Systeme bei einer MTTI von 160 Tagen (Ponemon Studie 2020) weitestgehend wirkungslos sind.<\/p>\n\n\n\n c) Der Fokus der Aktivit\u00e4ten liegt bei kritischen Infrastrukturen auf Verf\u00fcgbarkeit.<\/p>\n\n\n\n Der Fokus auf die Verf\u00fcgbarkeit macht die Risikoanalyse etwas einfacher. Zudem empfehle ich immer, die Eintrittswahrscheinlichkeit auf 1 zu setzen. Damit werden wenig Klarheit stiftende Diskussionen vermieden. Hat man herausgefunden, welche Prozesse und Assets die Verf\u00fcgbarkeit der kritischen Dienstleistung beeinflussen, so kann man die Diskussion \u00fcber die Eintrittswahrscheinlichkeiten gelassener angehen.<\/p>\n\n\n\n <\/p>\n\n\n\n Welche Rollen spielen Zertifizierungen f\u00fcr Unternehmen aus Ihrer Sicht, wer sollte diese anstreben und unter welchen Gegebenheiten macht eine Zertifizierung Sinn oder auch keinen Sinn?<\/strong><\/p>\n\n\n\n Ich halte Zertifizierungen f\u00fcr sehr hilfreich, vorausgesetzt, man erwirbt sie nicht, weil man eine braucht (\u201eChecklisten-Security\u201c). Und keine epischen Werke im Umfang von Krieg und Frieden erzeugt werden.<\/p>\n\n\n\n Der gro\u00dfe Vorteil einer Zertifizierung (ISO 27001) ist, dass man wei\u00df, wer was zu tun hat, wenn es zu einem Sicherheitsvorfall kommt. Es kommt darauf an, den m\u00f6glichen Schaden m\u00f6glichst geringzuhalten. Das macht jede Werksfeuerwehr. Eisenhower, der nat\u00fcrlich den Begriff der Friktion kannte, hat das 1957 gut ausgedr\u00fcckt: \u201ePl\u00e4ne sind nichts; Planung ist alles!\u201c<\/p>\n\n\n\n Sp\u00e4testens zum Ende der Zertifizierung kennt man die Prozesse, die Assets, die Sicherheitsma\u00dfnahmen und die Risiken. Asset- und Risikoeigent\u00fcmer sind benannt, Verantwortlichkeiten und Rollen sind definiert. Die Vorgehensweise zur Handhabung von Sicherheitsereignissen ist festgelegt und ge\u00fcbt, Ma\u00dfnahmen f\u00fcr effektives Krisen- und Business Continuity Management sind vorhanden.<\/p>\n\n\n\n Wichtig bei der Zertifizierung ist, dass sie vom Management (C-Level) gewollt und initiiert wird. Eine Zertifizierung beinhaltet immer einen Change-Prozess, der nicht von der Sachbearbeiterebene ausgehen kann. Zudem sollte ein Mitglied des Managements als Projektsponsor das Projekt begleiten.<\/p>\n\n\n\n Da auch eine schlanke Zertifizierung mit hohen Aufwendungen verbunden ist, sollte man zuvor den Nutzen einer Zertifizierung bewerten.<\/p>\n\n\n\n <\/p>\n\n\n\n Was sind derzeit typische Problemstellungen, mit denen Kunden Sie kontaktieren? Welche Themen sind am Markt derzeit stark pr\u00e4sent?<\/strong><\/p>\n\n\n\n Assessments sind sehr gefragt, vorab zu Aktivit\u00e4ten im Umfeld kritische Infrastrukturen. Die Themen Asset- und Schwachstellenmanagement und Angriffserkennung sind, getrieben durch das BSIG, sehr pr\u00e4sent.<\/p>\n\n\n\n <\/p>\n\n\n\n Sie kommentieren auch den Angriff auf das Uniklinikum D\u00fcsseldorf, welches vom BSI als \u201evermeidbar\u201c eingestuft wurde \u2013 was ist Ihre Sicht darauf und was k\u00f6nnen Unternehmen lernen?<\/strong><\/p>\n\n\n\n Ich habe das in einem Blog ausf\u00fchrlich besprochen. Aus meiner Sicht sind solche Angriffe mit Mitteln des Grundschutzes nicht vermeidbar. In diesem Fall war die Vorwarnzeit (wir hatten es mit einem Zero-Day-Exploit zu tun) nicht gegeben. Das BSI hat am Tag der Ver\u00f6ffentlichung der Schwachstelle gewarnt, Citrix bereits einen Tag vorher, bei der Ver\u00f6ffentlichung des Workarounds. Der Workaround wurde umgehend implementiert. Zum Zeitpunkt der Ver\u00f6ffentlichung des Workarounds sagte Citrix, dass bereits Angriffe \u00fcber die Schwachstelle beobachtet wurden. Einen Patch gab es erst einen Monat sp\u00e4ter.<\/p>\n\n\n\n Das ist eine denkbar ung\u00fcnstige Situation! Wir sind auf Angriffe ohne Vorwarnzeit in der Regel nicht vorbereitet. Angriffe ohne Vorwarnzeit zu vermeiden ist das Ziel jeder Verteidigungsstrategie. Bestes Beispiel war die Kuba-Krise.<\/p>\n\n\n\n Application-Whitelisting- oder EDR-L\u00f6sungen k\u00f6nnten solche Angriffe abwehren bzw. eind\u00e4mmen, nur sind sie f\u00fcr Linux kaum verf\u00fcgbar. Zudem gilt Linux immer noch als das bessere Betriebssystem; man braucht nach Expertenmeinung nicht mal einen Virenschutz! Selbst wenn solche L\u00f6sungen verf\u00fcgbar w\u00e4ren, w\u00fcrden sie vermutlich nicht eingesetzt. Und k\u00f6nnten auch nicht ohne weiteres installiert werden, wenn sie etwa mit einer Appliance arbeiten.<\/p>\n\n\n\n Prinzipiell muss man an den nachgeschalteten Systemen ansetzen. Das Citrix-System routet den Anwender weiter auf ein System im Data Center. Bei diesen Systemen kann man ansetzen, in dem man sie konsequent h\u00e4rtet und Zero-Trust strikt umsetzt. Hier k\u00f6nnen dann auch Application-Whitelisting- oder EDR-L\u00f6sungen zum Einsatz kommen.<\/p>\n\n\n\n <\/p>\n\n\n\n Wenn Sie der Gesch\u00e4ftsf\u00fchrung, den Verantwortlichen f\u00fcr IT und Risikomanagement etwas zurufen k\u00f6nnten \u2013 was w\u00e4re es?<\/strong><\/p>\n\n\n\n \u201eMacht das Wichtige richtig, gleich beim ersten Versuch!\u201c<\/p>\n\n\n\n <\/p>\n\n\n\n Herr Jochem, wir danken Ihnen f\u00fcr Ihre Zeit und das interessante Gespr\u00e4ch und freuen uns auf den weiteren Austausch in der kommenden Zeit<\/strong>.<\/p>\n\n\n\n \u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch. Klaus Jochem Klaus Jochem hat \u00fcber 30 Jahre Berufserfahrung in der IT-Branche. Im Bayer Information […]<\/p>\n","protected":false},"author":24,"featured_media":3970,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-3969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=3969"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3969\/revisions"}],"predecessor-version":[{"id":3972,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3969\/revisions\/3972"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/3970"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=3969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=3969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=3969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"