IT Security Januar / Februar 2024

Weitere Magazine

Empfehlungen

Info

32 | IT SECURITY Cybersecurity auf Applikationsebene DER BLINDE FLECK IN DER IT-SICHERHEITSSTRATEGIE Ralf Kempf, Geschäftsführer von Pathlock Deutschland, Security Researcher und SAP Security Evangelist arbeitet bereits seit 30 Jahren in der SAP-Security-Welt. Er ist Autor vieler Publikationen und Redner auf Security-Konferenzen weltweit. Anlässlich der Thought Leadership Konferenz erklärt er im Gespräch mit Ulrich Parthier, Publisher it security, warum seiner Erfahrung nach Cybersecurity auf Applikationsebene der blinde Fleck in fast jeder Sicherheitsstrategie ist. Ulrich Parthier: Herr Kempf können Sie uns erklären, wo genau Sie einen blinden Fleck der Cybersecurity auf Applikationsebene verorten? Ralf Kempf: Gerne. In vielen Unternehmen gelten heutzutage Buzzwords wie Zero Trust, Microsegmentierung oder Software Defined Networks als Allheilmittel für die Absicherung von IT-Systemen. Dabei gerät jedoch oft aus dem Blick, dass elementare Grundlagen wie Asset & Application Management, ein IT-Security-Management-System und der Aufbau echter IT-Security-Kompetenz noch gar nicht abgeschlossen – oder schlimmer, noch nicht einmal begonnen wurden. Hier liegt der besagte blinde Fleck. Wenn wir jetzt über die Applikationsebene reden, dann über SAP-Systeme, über Oracle, über viele Standard-ERPs und andere Geschäftsanwendungen, die eingesetzt werden. Oft hören wir von Unternehmen die erstaunte Frage, wo denn das Problem in der Anwendungssicherheit sei. Es liege doch alles ordentlich beim Outsourcer in der Cloud, inklusive Firewall. Fragt man andererseits Entscheider oder Anwender, dann fürchten viele nach wie vor Ransomware-Attacken, die typischen Krypto-Trojaner, gestohlene Identitäten oder Schlüssel, sowie nicht gepatchte Systeme. Es geht hier um all die Klassiker, die man auch täglich in der Presse liest, was leider beweist, dass die Unternehmen hier offensichtlich seit Jahren ihre Hausaufgaben nicht machen. Januar/Februar 2024 | www.it-daily.net
IT SECURITY | 33 Ulrich Parthier: Was sind Ihrer Ansicht nach die Ursachen? Ralf Kempf: Dafür gibt es zwei Gründe. Zum einen gibt es in der Security- Welt immer wieder neue Begriffe, neue Technologien, die stets mit der trügerischen Hoffnung verbunden sind, damit würde ad hoc alles besser. Aber letztlich, wenn man dies so lange verfolgt wie ich, muss man feststellen, dass jede Umsetzung viel zu lange dauert. Das ist nachvollziehbar, aber gleichzeitig auch der zweite Grund: Es mangelt an Ressourcen, an Wissen und an Budgets. So sind es noch immer die alten Bekannten unter den Risiken, und nach wie vor liegen die Unternehmen Monate oder Jahre hinter den aktuellen Bedrohungs-Szenarien zurück. Wir reden nach wie vor über Datendiebstahl und Erpressung. Das ist keineswegs neu und nicht nur einigen Kreis- und Gemeindeverwaltungen in Deutschland passiert. Es waren sehr namhafte Unternehmen dabei. Und jetzt hat sich ein neues großes Problem manifestiert, der Super-GAU, als Microsoft kürzlich zugeben musste, dass ein Generalschlüssel für die Azure-Cloud gestohlen wurde. Ulrich Parthier: Warum war gerade dies so eklatant? Ralf Kempf: Man kann sich das so vorstellen: Die ganze Welt ist ein Gebäude mit Eigentumswohnungen. Nun hat irgendjemand den Generalschlüssel für alle Wohnungen der Welt, kann jede jederzeit betreten und dort anrichten, was er will. Und Sie als Eigentümer werden es nicht einmal merken. Rausgekommen ist dieser Fall übrigens, weil einige öffentliche Stellen merkwürdige Zugriffe in den Logs bemerkt und gemeldet haben. Und dann wurde seitens Microsoft kleinlaut zugegeben, man habe ein Problem. So wird die vermeintlich paranoide Denkweise von uns Sicherheitsexperten durch völlig neue Dimensionen der Worst-Case-Szenarien bestätigt. Bislang gingt es meist um Schäden einzelner Unternehmen, und der GAU war, wenn das Unternehmen aus dem Markt scheidet. Gerade der Microsoft-Hack zeigt nun aber, dass blindes Vertrauen in die Infrastruktur und das Identity & Account Management der großen Hyperscaler sehr schnell zu viel schwerwiegenderen Sicherheitslücken führen können. Wenn solche Schlüssel in falsche Hände geraten, haben wir alle ein Problem. Nicht auszudenken, wenn jemand damit nicht nur Daten stiehlt, sondern Denial of Service betreibt und alles außer Betrieb nimmt. MIT KONSEQUENTER METHODIK, DEM RICHTI GEN PRAGMATISMUS UND GUTEN TOOLS KANN MAN THEORE TISCH SELBST GROSSE UNTERNEHMEN MIT EIN, ZWEI RESSOURCEN ÜBERWACHEN. Ralf Kempf, Geschäftsführer, Pathlock Deutschland, www.pathlock.com/de Ulrich Parthier: Wie kann man diesen neuen Gefahren begegnen? Ralf Kempf: Hier lohnt sich ein Blick darauf, wie Unternehmen aufgestellt sind. Zunächst die Gretchenfrage: Gehe ich in die Cloud oder mache ich es On-Premises? Das Mantra lautet oft, die Cloud löse alle Probleme. Und es gibt fraglos sehr gute Szenarien für Cloud-Anwendungen. Aber auch hier kommt es darauf an, dass man es richtig umsetzt, vor allen Dingen mit einer ganzheitlichen Sichtweise auf das IT- System einer Unternehmung. Hinsichtlich der Applikationsebenen in einer klassischen Unternehmens-IT haben wir einmal die Infrastruktur, darunter das Netzwerk, auch Enterprise Clouds, Datenbanken, Betriebssysteme und Komponenten, auf denen meine Software läuft. Für diese technischen Komponenten gibt es bei vielen Unternehmen schon seit Jahren gute Security Tools, mit denen man Patches, Konfiguration und Logs überwachen kann. www.it-daily.net | Januar/Februar 2024
Seite 1 und 2: Detect. Protect. Respond. Januar/Fe
Seite 3 und 4: INHALT | 3 Inhalt 04 COVERSTORY 4 E
Seite 5 und 6: COVERSTORY | 5 DIE VERMITTLUNG VON
Seite 7 und 8: IT SECURITY | 7 Was sind ihre Top-p
Seite 9 und 10: IT SECURITY | 9 Quelle: Gerd Altman
Seite 11 und 12: IT SECURITY | 11 Cyber sicherheitse
Seite 13 und 14: IT SECURITY | 13 zahl von Kontextin
Seite 15 und 16: IT SECURITY | 15 SO LANGE DAUERT ES
Seite 17 und 18: IT SECURITY | 17 einstieg in Kali L
Seite 19 und 20: IT SECURITY | 19 Die Krux also: Die
Seite 21 und 22: IT SECURITY | 21 lungen oder verein
Seite 23 und 24: IT SECURITY | 23 Fragmentierung und
Seite 25 und 26: IT SECURITY | 25 Die Verhaltenslüc
Seite 27 und 28: IT SECURITY | 27 gangsformat entspr
Seite 29 und 30: IT SECURITY | 29 sichere dateien in
Seite 31: IT SECURITY | 31 Zero Trust GANZHEI
Seite 35 und 36: IT SECURITY | 35 geführt werden. D
Seite 37 und 38: IT SECURITY | 37 gehörten OWASP AP
Seite 39 und 40: IT SECURITY | 39 passwort managemen
Seite 41 und 42: IT SECURITY | 41 PAP 1. View record
Seite 43 und 44: IT SECURITY | 43 ➤ eine Ressource
Seite 45 und 46: IT SECURITY | 45 funktionsweise von
Seite 47 und 48: Cyberkriminelle überall da tut Hil

IT Security Januar / Februar 2024

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?