Allgemein gesprochen: Wie bewertet Ihr die aktuelle Lage im Bereich der IT Security für das Jahr 2021? Sind wir gegen die allgegenwärtigen Bedrohungen und Attacken ausreichend geschützt oder gibt es Grund zur Sorge?
Björn Kirschner: Die aktuelle Lage im Bereich der IT-Security ist sehr vielschichtig, insofern lässt sich eine solche Aussage pauschal schwer tätigen. Ich möchte mich hier auf die technische Ebene mit Fokus auf mobilen und Webanwendungen beschränken. Selbst hier beobachten wir Trends, die nicht in die gleiche Richtung laufen. Positiv hervorzuheben ist das Momentum bezüglich organisatorischer und technischer Aspekte. Organisatorisch bekommt IT-Security stetig mehr Aufmerksamkeit, Kollegen werden geschult, Sicherheitsbemühungen werden honoriert etc.
Technisch lassen sich verbreitete Frameworks und Programmiersprachen immer leichter und sicherer anwenden, rein technische Angriffe erfordern immer komplexere Exploit-Chains. Dem gegenüber stehen jedoch einige deutlich wahrnehmbare Risiken: Schwachstellen verlagern sich hin zu logischen Problemen, Authentifikations- und Zugriffskontrollproblemen, Schwachstellen im Zusammenspiel immer komplexerer Komponenten, u. Ä. Sorge bereitet aktuell entsprechend vor allem, wenn all diese Risiken in einer einfach aufzubauenden, dann aber schnell sehr komplex werdenden Cloud-Landschaft zusammenkommen.
Christian Wenz: Mein Schwerpunkt ist ja die Sicherheit von Web- und mobilen Anwendungen. Dort sind erfolgreiche Angriffe weiterhin an der Tagesordnung. Allerdings gibt mir Hoffnung, dass bei Webbrowser mittlerweile zahlreiche Sicherheitsmechanismen eingebaut werden, die teils trivial, teils mit etwas Aufwand zu nutzen sind, und viele offene Flanken schließen. Als Beispiele seien SameSite-Cookies und Content Security Policy genannt. Wie immer gilt: Es gibt immer neue Angriffe und keine 100%ige Sicherheit, weswegen eine regelmäßige Auffrischung des Wissens Pflicht ist.
Gerade mit Hinblick auf die Pandemie: Welche Sektoren sind im Moment besonders gefährdet und Angriffen ausgesetzt? Was muss getan werden, um hier für die nötige Sicherheit zu sorgen?
Kirschner: Neben einigen Endnutzerproblemen wie Phishing oder unsicheren privaten Endgeräten forciert die Pandemie vor allem, dass möglichst sämtliche Funktionalität über das Internet erreichbar sein muss. Viele Anwendungen, die alt, unsicher, schlecht konfiguriert, nie mit Sicherheit im Blick für interne Aufgaben entwickelt wurden, müssen nun aus dem Home-Office bedienbar sein. Die wichtigste Herausforderung der Pandemie-IT-Umbrüche ist daher, für solche Funktionalität sichere Authentifikationslösungen und weitere Schutzmechanismen zu etablieren.
Wenz: Die Sektoren sind gar nicht so entscheidend. Bei einer (erfreulich hohen!) Home-Office-Quote ist der schwächste Punkt die Ausstattung: Ist – wie häufig ohne großes Nachdenken in AV-Verträgen den Auftraggebern zugesichert – der Firmenlaptop nicht Dritten zugänglich? Wie sieht es mit Diebstahlschutz aus? Ich fürchte, Social Engineering und Schadsoftware werden eine Renaissance erleben. Da hilft nur eine regelmäßige Thematisierung der Gefahren und der Verhaltensregeln.
Immer wieder wurde die zu geringe Anzahl an Security Experts bemängelt. Wie ist hier die aktuelle Lage einzuschätzen? Was muss getan werden, um die vielen offenen Stellen auf dem Arbeitsmarkt besetzen zu können?
Kirschner: Erstrebenswert wäre es, das Wissen um IT-Sicherheitsaspekte breiter in allen IT-Ausbildungen zu verankern und entsprechende Pflichtkurse in IT-Studiengängen flächendeckend zu etablieren. Das würde mittelfristig dazu führen, dass deutlich mehr angehende Informatiker ein solides Security-Grundwissen in ihre Arbeit mitbringen. Unter diesen Leuten entdecken dann sicherlich auch einige IT-Security als Leidenschaft für sich.
Wenz: Die Zahl der offenen Stellen halte ich tatsächlich für ein gutes Zeichen, weil es zeigt, welche Relevanz dem Thema inzwischen eingeräumt wird. Sicherheit per se ist schwierig, das erlebe ich auch häufig bei Diskussionen mit Einkäufern großer Konzerne. Eine Abwesenheit von Sicherheit sieht man nämlich nicht (außer, eine Sicherheitslücke wird ausgenutzt). Ebenso sieht man eine Anwesenheit von Sicherheit nicht, denn es wird schlicht vorausgesetzt, dass Software keine Lücken hat. Wieso also an dieser Stelle investieren?
Ich bin prinzipiell optimistisch. Es gibt spezielle Studiengänge und Ausbildungsrichtungen zu Sicherheits-Themen, auf dem Arbeitsmarkt herrscht rege Nachfrage, und Konferenzen wie der IT Security Summit sind gut besucht. Die Nachfrage wird zu einer Erhöhung des Angebots führen.
Welche Skill Sets werden in Zukunft wichtig werden? Was muss ein Security Expert können, um bei den aktuellen Bedrohungen up to date zu bleiben?
Kirschner: „Das Skill-Set der Zukunft“ wird es schwerlich geben. Auch weiterhin sind von absoluten Spezialisten auf Teilgebieten bis hin zu Generalisten, die einen Überblick über die Gesamtlage haben, alle Schattierungen an Experten gefragt. IT-Security wird aber ein schnelllebiges Themenfeld bleiben, insofern sind Lernwille und Neugier sicherlich gute Begleiter.
Wenz: Das hängt sehr stark von der Spezialisierung ab – Sicherheit gibt es in vielen Facetten. Ich möchte pauschal antworten: Regelmäßiger Austausch, eigene Recherche sowie Neugier gepaart mit etwas krimineller Energie sind nie verkehrt. Lernen kann man Vieles; die Kunst besteht allerdings darin, Angriffsszenarien zu antizipieren, die es noch gar nicht gibt.
Wie könnten mögliche Strategien bei Attacken aussehen, die auf schlecht gesicherte IoT-Devices abzielen (Stichwort SmartHome)?
Kirschner: Kurzfristig ist wichtig, schlecht gesicherte Geräte möglichst im großen Stil in ihrer Erreichbarkeit einzuschränken (nicht ins Internet hängen!).
Langfristig würden in diesem Themenfeld gesetzliche Regularien zu Produkthaftung, garantierte Mindest-Support-Laufzeiten für Sicherheits-Updates, u. Ä. die Sicherheit der Nutzer und der allgemeinen IT-Systeme entschieden weiterbringen.
Wenz: Ich finde die Initiative des Europäischen Parlaments ganz interessant, die Sicherheitslücken bei „Smart Devices“ als Sachmängel klassifiziert. Daraus könnte man eine Update-Pflicht ableiten. Schon vor zwei Jahren hat eine Untersuchung ergeben, dass etwa 40% von „Smart Homes“ mindestens ein Gerät mit einer Sicherheitslücke besitzen. Häufig liegt das an Update-Faulheit, aber in zahlreichen Fällen gibt es schlicht keinen Patch. Würde sich dies ändern, wäre schon Einiges erreicht. Allgemein gilt natürlich: Nur Produkte von renommierten Herstellern kaufen, diese regelmäßig aktualisieren und möglichst keinen Zugriff von außen zulassen.
Wie ist Eure Meinung zu dem gerade aufkommenden DevSecOps-Ansatz?
Kirschner: Security ist keine reine Coding-Sache, sondern spielt auch beim Deployment und dem Übergang zum Betrieb eine entscheidende Rolle. Entsprechend ist solides IT-Sicherheits-Know-How elementar für DevOps. Das Etablieren von solchem Wissen (über Schulungen, etc) sollte in DevOps-Teams absolute Priorität haben.
Wenz: Prinzipiell finde ich es wichtig, dass Sicherheit hoch priorisiert wird und es auch Verantwortlichkeiten dafür gibt. Allerdings halte ich das Thema für etwas überhitzt. Pauschal gesagt: Über Sicherheit sollte man schon im Vorfeld nachdenken, nicht erst als Teil des Prozesses. Ist ein bisschen so wie „Full-Stack Development“. Ich finde es in den meisten Fällen besser, wenn jemand in wenigen Bereichen hervorragend ist, als in vielen Bereichen gut. Insofern glaube ich an dediziertes Spezialwissen zum Thema Sicherheit, das im Team vorhanden sein muss, in Form einer eigenen Rolle.
Vielen Dank für das Interview!
Björn Kirschner: Björn Kirschner ist Informationssicherheitsberater bei mgm security partners. Er blickt auf viele Penetrationstests unterschiedlichster Technologien zurück (Webapplikationen, mobile Apps, Netzwerkinfrastruktur, Server, …). Neben Seminaren führt er Sourcecode-Analysen durch und berät Kunden in vielen Belangen der Webanwendungssicherheit, vor allem im Rahmen eines sicheren Entwicklungsprozesses.