Michael Kleist, Regional Director DACH bei CyberArk (Bild: CyberArk)
Stellen Sie uns CyberArk kurz vor. Was ist das für ein Unternehmen?
Gegründet worden ist CyberArk 1999 in Israel. Dort steht auch unser weltweites Headquarter, wobei wir als Nasdaq-gelistetes Unternehmen auch noch einen Firmensitz in den USA haben, in Boston. Wir beschäftigen über 1100 Mitarbeiter und bedienen knapp 4000 Kunden weltweit. Sie finden uns im Grunde in allen Branchen, vorwiegend aber in komplexen, heterogenen Umgebungen wie bei Versicherungen, Banken oder IT-Serviceprovidern. In den vergangenen Jahren ist das Thema Manufacturing verstärkt hinzu gekommen. Vom Produkt her kümmern wir uns ausschließlich um Privileged Access Security.
Das klingt nach Benutzerverwaltung mit Login und Passwort. Bieten das nicht die meisten Anwendungen selber?
Die einzelnen Applikationen und Betriebssysteme erlauben meist weder eine genaue Steuerung, wer worauf Zugriff hat, noch eine sofortige Bereitstellung oder einen unmittelbaren Entzug von Zugriffsrechten. Oft gibt es auch noch Shared Acounts oder es werden bei der Installation Accounts angelegt, die keiner Person zugeordnet sind. Wir haben auf Basis einer Plattformstrategie Produkte für verschiedene Anwendungsfälle im Portfolio, um Zugänge abzusichern – von sehr hardwarenahen bis hin zu hochprivilegierten Anwendungsbereichen, etwa SAP.
Warum ist das so wichtig?
Je nachdem, welche Studie Sie lesen, haben zwischen 80 und 90 Prozent aller erfolgreichen Angriffe auf Unternehmen mit privilegierten Zugängen zu tun. Sprich, die Zugänge einer Person mit hochwertigen Befugnissen werden kompromittiert, missbraucht, geklaut. Diesen Angriffsvektor wollen wir unterbrechen.
„Ein Angreifer ist oft schon sechs bis zwölf Monate im Netzwerk unterwegs, bevor er entdeckt wird.“
Michael Kleist, Regional Director DACH bei CyberArk
Die Themen Virenscanner oder Firewalls überlassen Sie anderen?
Richtig. Aber Security ist ein Mannschaftssport, da müssen viele Systeme ineinandergreifen. Deshalb haben wir ein Netzwerk gegründet, die C3-Alliance, um hier eine gute Interaktion hinzubekommen. Wir verstehen uns zusammen mit unseren Technologiepartnern als Teil einer Sicherheitsarchitektur.
Für Banken und Versicherungen klingt das schlüssig. Wo liegen die Gefahren für die Industrie, sprich in der Werkhalle?
Früher war die Produktion eine Insel. Aber heute wird in den Produktionsnetzwerken ganz viel IT benutzt, klassische Office-IT ebenso wie Windows-basierte Steuerungen in Maschinen. Zudem sind die Anlagen zwecks Fernwartung und für Cloud-Applikationen vernetzt. Viele Geräte haben heute Webinterfaces. Auch das sichern wir ab, etwa in der Prozessindustrie oder im Kraftwerksbereich. Die Zugangs- und Angriffsmethoden sind erschreckenderweise genau dieselben. Wenn Sie sich zum Beispiel den Angriff vor Augen führen, als im Winter 2016 in der Ukraine der Strom weg war: Das war ein Angreifer, der im Bereich der klassischen IT, also im Rechenzentrum, anfing und sich dann durchgehangelt hat in den Bereich der Kraftwerkstechnologie – und von da aus dann tatsächlich seinen Schaden angerichtet hat.
Wie läuft Ihrer Erfahrung nach so ein Angriff genau ab?
Es fängt immer damit an, dass der Angreifer den ersten Zutritt ins Unternehmensnetz bekommt, etwa über Phishing. Mitarbeiter im Unternehmen erhalten Mails mit schadhaftem Anhang oder einer infizierten URL, über die automatisiert ein Schadcode heruntergeladen wird. Damit ist der Angreifer hinter der sogenannten Perimetersecurity, er ist technisch gesehen ein Insider. Schon an dieser Stelle sind privilegierte Zugänge im Spiel, die wir schützen. Der nächste Schritt ist dann typischerweise, dass der Angreifer versucht, sich auszubreiten. Er will von diesem einen PC, auf dem er sich festgesetzt hat, in das Gesamtnetzwerk vordringen. Dazu nutzt er Schwachstellen in Windows oder dem Kerberos-Authentifizierungsprotokoll. So sammelt er immer mehr Zugänge, bis er es schafft, auch solche zu finden, die höherwertig sind. Das heißt, er schafft es von der reinen PC-Ebene auf die erste Serverebene zu kommen. Wenn er sich dann noch weiter emporhangeln kann bis zur Domain-Controller-Ebene, da, wo die zentralen Berechtigungssysteme sitzen, hat er die Kontrolle gewonnen: Er kann sich selber überall autorisieren und authentifizieren. Das heißt nicht notwendigerweise, dass er zu dem Zeitpunkt schon etwas tut. Wir müssen davon ausgehen, dass ein Angreifer schon sechs bis zwölf Monate im Netzwerk unterwegs ist, bevor er entdeckt wird. In dieser Zeit sammelt er Informationen, breitet sich aus, setzt sich fest und hat damit die Möglichkeit, sein eigentliches Ziel in Ruhe vorzubereiten und dann schlagartig umzusetzen. Das haben wir in der Ukraine gesehen. Es war extrem professionell, wie die Angreifer die Abschaltung vorgenommen haben, wie sie das Callcenter lahmgelegt haben, wie sie die PCs zerstört und damit den schnellen Wiederanlauf verhindert haben.
Man hört viel von Erpressungstrojanern. Wie groß ist die Gefahr konkret in der deutschen Industrie?
Dieser Erpressungsansatz von Ransomware schadet Unternehmen eher zufällig. Die eigentliche Bedrohung sind gezielte, gut vorbereitete Attacken. Wenn Sie sich ins Darkweb bewegen, dann stellen Sie fest, dass es dort eine komplette organisierte Kriminalität gibt, eine professionalisierte Hackergemeinde, die sich als Dienstleister anbietet. Mit genügend krimineller Energie können Sie heute also auch ohne technisches Wissen Angriffe auf Firmen beauftragen.
Was können Maschinenbauer tun?
Sich vorbereiten. Denken Sie zum Beispiel an Lüfter, die zwecks Fernwartung ein Webinterface haben. Wenn man die hackt, kann man eine ganze Maschine durch Überhitzung zerstören. Die Maschine soll aber womöglich 20 Jahre lang laufen. Und jetzt fragen Sie einen Hersteller von Lüftungssteuerungen mal, ob er 20 Jahre lang Security-Updates für sein Gerät macht. Das gilt für alle vernetzten Komponenten. So, wie man in der Entwicklung heute Spezialisten für den Prozess, die Automatisierung und Safety im Team hat, sollte eben auch ein Security-Spezialist mit eingebunden werden.
