{"id":4103,"date":"2021-04-28T13:35:00","date_gmt":"2021-04-28T13:35:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=4103"},"modified":"2023-09-06T12:35:08","modified_gmt":"2023-09-06T12:35:08","slug":"unternehmen-sollten-cybersecurity-als-traeger-der-digitalisierung-sehen","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/unternehmen-sollten-cybersecurity-als-traeger-der-digitalisierung-sehen\/","title":{"rendered":"&#8222;Unternehmen sollten Cybersecurity als Tr\u00e4ger der Digitalisierung sehen&#8220;"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Pablo Endres &#8211; Gesch\u00e4ftsf\u00fchrer bei SevenShift GmbH<\/h2>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/foto-shooting-2019-pablo-4-683x683-1.jpg\" alt=\"\" class=\"wp-image-4106\" style=\"width:301px;height:301px\" width=\"301\" height=\"301\" srcset=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/foto-shooting-2019-pablo-4-683x683-1.jpg 683w, https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/foto-shooting-2019-pablo-4-683x683-1-300x300.jpg 300w, https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/foto-shooting-2019-pablo-4-683x683-1-150x150.jpg 150w\" sizes=\"(max-width: 301px) 100vw, 301px\" \/><\/figure>\n\n\n\n<div style=\"height:60px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p><strong>Lieber Pablo, kannst Du uns etwas zu Deinem Hintergrund und Deiner aktuellen Rolle erz\u00e4hlen?<\/strong><\/p>\n\n\n\n<p>Ich komme urspr\u00fcnglich aus Venezuela, habe dort Informatik-Ingenieurwesen studiert. Hab als Kind auch 6 Jahre in Kanada gelebt. Seit 14 Jahren lebe und arbeite ich jetzt in Deutschland.<\/p>\n\n\n\n<p>Als ich an der Uni war, habe ich nebenbei als Netzwerkadministrator gejobbt. 1998 wurden wir zum ersten Mal gehackt, und ich musste mich darum k\u00fcmmern. Das war noch ein Bastion Server, Solaris 6 mit Telnet-Server und FTP-Server. Keine Verschl\u00fcsselung (SSH und die \u201cModerne-Protokolle\u201d waren nagelneu). Das haben wir alles aufgekl\u00e4rt. Seitdem bin ich in Security verliebt. Nach dem Studium habe ich dann bei einem Telekom-Unternehmen angefangen und kurz danach meiner erste Firma gegrundet.<\/p>\n\n\n\n<p>Ich bin Gr\u00fcnder und Gesch\u00e4ftsf\u00fchrer von SevenShift, eine echte Boutique. Derzeit sind wir 5 Personen stark. Wir legen den Fokus auf IoT-Security \u2013 von Hardware, Firmware, Backends in der Cloud bis zu den Apps, einfach das gesamte IoT-Projekt. Wir bieten Pen Testing, Security-by-Design und Trainings. Am Liebsten werden wir am Anfang des Projekts miteinbezogen, um Security von Beginn an zu ber\u00fccksichtigen. Ich kooperiere auch mit <a href=\"https:\/\/www.sans.org\/profiles\/justin-searle\/\">Justin Searle<\/a> und seinem controlthings Team, um den ICS \/ OT Offensive Security Kurs z.B. auf Deutsch und Spanisch anzubieten (wir haben uns vor langer Zeit bei einer Black Hat Konferenz kennengelernt).<\/p>\n\n\n\n<p><strong><strong><strong>Wie sieht Dein typischer Arbeitsalltag aus?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Meistens fange ich damit an, zu schauen, wer vom Team was von mir braucht. Am Liebsten verbringe ich dann wirklich Zeit mit Kundenprojekten, beispielsweise zur Abstimmung von Anforderungen, Security-Reviews und Hardcore Security Testing. Ein paar Mal pro Jahr f\u00fchren wir Trainings durch. Ich liebe es, zu unterrichten, das finde ich wirklich sch\u00f6n, wenn ich die Schulungen durchf\u00fchren darf.<\/p>\n\n\n\n<p>Zum Gl\u00fcck sind wirklich noch 70% Doing, und der Rest eben notwendige Abstimmung, Excel und Powerpoint und sowas.<\/p>\n\n\n\n<p><strong><strong>Was sind aus Deiner Sicht interessante Trends bei OT und IOT-Security?<\/strong><\/strong><\/p>\n\n\n\n<p>Es gibt eine gro\u00dfe Bewegung hinsichtlich Normen, Standardisierung und Gesetzen, z.B. ETSI EN 303 645, das wird uns sicher helfen. Beispielsweise hat sich MQTT \u00fcber TCP quasi als Standard etabliert. NBIOT und LoRaWAN sind mittlerweile fast in allen Projekten als Netzwerkprotokolle gesetzt.<\/p>\n\n\n\n<p>Bei einigen Kunden sehen wir parallel zu IT und OT eine Art \u201eShadow-IoT\u201c, beispielsweise Sensoren.<\/p>\n\n\n\n<p><strong><strong><strong>Kannst Du uns (ohne Namen zu nennen) einmal einen tats\u00e4chlich durchgef\u00fchrten Pen-Test an einem IoT-Ger\u00e4t oder einer vernetzten Anlage beschreiben?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>OK, ich erz\u00e4hle mal etwas von einem Projekt im Bereich SmartCity. Dabei haben wir mehrere Produkte von unterschiedlichen Herstellern bekommen und diese systematisch getestet.<\/p>\n\n\n\n<p><strong><strong><strong>Wie habt Ihr das strukturiert?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Wir haben die Standardphasen wie bei jedem Pen Test in der IT auch:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Pre-Engagement Actions &#8211; Sehr wichtig bei OT, z.B. Site Surveys<\/li>\n\n\n\n<li>Reconnaissance<\/li>\n\n\n\n<li>Threat Modeling &amp; Vulnerability Identification<\/li>\n\n\n\n<li>Exploitation<\/li>\n\n\n\n<li>Post-Exploitation<\/li>\n\n\n\n<li>Reporting<\/li>\n\n\n\n<li>Resolution &amp; Re-Testing<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Nat\u00fcrlich sind die \u00dcberg\u00e4nge flie\u00dfend.<\/p>\n\n\n\n<p><strong><strong><strong>Wie seid Ihr vorgegangen?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Wir hatten den Auftrag, mehrere SmartCity L\u00f6sungen zu analysieren. Unser Bericht wurde auch zur Produktauswahl durch den Endkunden herangezogen.<\/p>\n\n\n\n<p>Als erstes mussten wir die L\u00f6sungen verstehen, Hardware bekommen und uns dann Zugriff verschaffen. Wir pr\u00e4ferieren im Allgemeinen einen Whitebox Approach, da wir Zeit, Energie und nat\u00fcrlich das Geld des Kunden dann am besten einsetzen k\u00f6nnen.<\/p>\n\n\n\n<p>Wir haben in ersten Schritten beispielsweise einfach die Dokumente reviewed und die normalen Nutzerinteraktionen in funktionalen Tests gepr\u00fcft (\u201eGolden Paths\u201c). Dabei haben wir dann mit Sniffen und Reverse Engineering angefangen. Parallel dazu sind klassische Tests auf dem Backend und den Apps erfolgt.<\/p>\n\n\n\n<p><strong>Welche wesentlichen Probleme habt Ihr letztendlich identifiziert?<\/strong><\/p>\n\n\n\n<p>Wir haben sehr viele Probleme entdeckt, die aus den <a href=\"https:\/\/owasp.org\/www-project-top-ten\/\">OWASP Top 10 Listen<\/a> bekannt sind. Also z.B.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Klartext Credentials und Netzwerkkommunikation<\/li>\n\n\n\n<li>Fehler bei der Konfiguration von Authentifizierung und Autorisierung<\/li>\n\n\n\n<li>Injection bei backends, spoofing, etc.<\/li>\n\n\n\n<li>Im Prinzip waren alle getesteten Produkte unsicher, selbst die von professionellen Unternehmen.<\/li>\n<\/ul>\n\n\n\n<p><strong>Wie hat der Kunde Ma\u00dfnahmen daraus priorisiert abgeleitet?<\/strong><\/p>\n\n\n\n<p>Wir mussten die Hersteller bei der Thematik sensibilisieren. Teilweise hat das Verst\u00e4ndnis gefehlt, dass Sicherheitsma\u00dfnahmen wirklich notwendig sind. Einige Hersteller dachten, sie brauchen keine Verschl\u00fcsselung, weil sie keine PII (personenbezogenen Daten) speichern oder verarbeiten.<\/p>\n\n\n\n<p>Sobald die Probleme erkannt waren, konnten wir den Kunden helfen, die Sicherheit zu verbessern. Beispielsweise waren einige Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SSL Hardware Support war vorhanden, das wurde einfach angeschaltet<\/li>\n\n\n\n<li>Einf\u00fchrung eines sicheres Authentifizierungsverfahrens<\/li>\n\n\n\n<li>ACLs bei den Queues konfiguriert, um den Zugriff auf andere Ger\u00e4te oder Backend-Bereiche zu unterbinden.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Was war in einem anderen Fall eine schwierige technische Herausforderung f\u00fcr Dich und Dein Team, und wie seid Ihr damit umgegangen?<\/strong><\/p>\n\n\n\n<p>Davon gibt es viele. Jedes Projekt hat seine eigenen Herausforderungen \u2013 aber das ist genau das, was mir Spa\u00df macht. Wenn wir nur Standardprojekte h\u00e4tten, w\u00e4re uns schnell langweilig und wir w\u00fcrden nicht so viel lernen.<\/p>\n\n\n\n<p>Vielleicht ein Beispiel zum Thema \u201eSecurity through Obscurity\u201c:<\/p>\n\n\n\n<p>Wir hatten einen Kunden, der die Pins von Standard Steckern ge\u00e4ndert hat, um zu verhindern, dass Fremde sich \u00fcber das LMT (Local Maintenance Terminal) mit dem Nodes verbinden k\u00f6nnen. Und das sollte der Ersatz f\u00fcr echte Security-Ma\u00dfnahmen sein, auf die dann verzichtet wurde. Wir haben da Social Engineering genutzt, um uns ein passendes Kabel zu besorgen, und das dann nachgebaut.<\/p>\n\n\n\n<p>Sehr oft funktionieren Standardtools mit propriet\u00e4ren Protokollen nicht, da hilft dann Reverse Engineering und eben auch Software-Programmierung.<\/p>\n\n\n\n<p>\u00c4hnliche F\u00e4lle hatten wir mit Funkverbindungen. Da sind wir mit SDR (Software Defined Radio) herangegangen und binnen einiger Tage hatten wir das sogenannte propriet\u00e4re Protokoll. Ein Kunde hat mal die Funkfrequenz vom WLAN ge\u00e4ndert und dachte dann, er sei sicher. Stimmt nat\u00fcrlich nicht.<\/p>\n\n\n\n<p><strong>Kennst Du Security-Vorf\u00e4lle, bei denen bessere OT-Security tats\u00e4chlich Angriffe verhindert h\u00e4tte? (Gerne mit Beispiel)<\/strong><\/p>\n\n\n\n<p>Es gibt noch viele Standorte, bei denen Remote Zugriffe nicht richtig kontrolliert wurden. Das gilt noch vermehrt durch den Einsatz von mobilen Ger\u00e4ten wie Handys, Tablets und so. Aber auch \u201calte\u201d Modems die niemand auf dem Schirm hat \u2013 Stichwort \u201cWar dialing\u201d.<\/p>\n\n\n\n<p>Bei IIoT-Ger\u00e4ten ist es z.B. manchmal so gewesen, dass eine Verbindung von der OT hin zum neuen Dashboard hergestellt wurde.<\/p>\n\n\n\n<p><strong>Was sind aus Deiner Sicht h\u00e4ufige Fehleinsch\u00e4tzungen oder Falschaussagen, die Dir im Bereich OT-\/IoT-Security begegnen?<\/strong><\/p>\n\n\n\n<p>\u201eBei uns ist alles sicher, wir haben Firewalls\u201c.<\/p>\n\n\n\n<p>\u201cWir nutzen nur Netzwerktechnik X, deshalb sind wir sicher\u201c.<\/p>\n\n\n\n<p>Daneben stellen wir oft fest, dass Sicherheitsma\u00dfnahmen falsch umgesetzt oder verstanden wurden. Bei der Segmentierung von Netzwerken ist beispielsweise ein typischer Fehler, dass Prozesse nicht voneinander isoliert sind. Oder dass keine Verschl\u00fcsselung aktiviert wurde, insbesondere bei ZigBee, HART-IP oder \u00e4hnlichen Funkanwendungen. OT Protokolle k\u00f6nnen es idR. nicht. IoT-Produktentwickler wollen es nicht, aus Effizienz- oder Kostengr\u00fcnden.<\/p>\n\n\n\n<p>Veraltete Asset-Inventarlisten, Site Assessments und Kommunikationsmatrizen sind gang und g\u00e4be \u2013 Wir machen beispielsweise keinen aktiven Penetration Test, solange wir das nicht haben &#8211; und die auch erst in Test-Umgebungen.<\/p>\n\n\n\n<p><strong>Was ist aus Deiner Sicht oft die wirkungsvollste technische Sicherheitsma\u00dfnahme bei IoT-Ger\u00e4ten?<\/strong><\/p>\n\n\n\n<p>Over-the-air-Update-Funktionalit\u00e4t. Denn damit kann ich im Nachhinein auch beim Kunden noch patchen. Und Input immer validieren, um z.B. Injections zu verhindern.<\/p>\n\n\n\n<p><strong>Warum nicht MFA?<\/strong><\/p>\n\n\n\n<p>MFA ist auch wichtig und sehr wirksam \u2013 aber oft falsch implementiert. Da gibt es dann Tokens, die man \u201ebrute forcen\u201c kann.<\/p>\n\n\n\n<p><strong>Was ist eine wichtige Kernbotschaft bei dem Thema?<\/strong><\/p>\n\n\n\n<p>Unternehmen sollten Security als Tr\u00e4ger der Digitalisierung sehen, und nicht als Blocker oder Kostentreiber.<\/p>\n\n\n\n<p><strong>Vielen Dank, Pablo, und weiterhin viel Erfolg!<\/strong><\/p>\n\n\n\n<p>\u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.<br><br>Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pablo Endres &#8211; Gesch\u00e4ftsf\u00fchrer bei SevenShift GmbH Lieber Pablo, kannst Du uns etwas zu Deinem [&hellip;]<\/p>\n","protected":false},"author":24,"featured_media":4104,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-4103","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4103","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=4103"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4103\/revisions"}],"predecessor-version":[{"id":4108,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4103\/revisions\/4108"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/4104"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=4103"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=4103"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=4103"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}