Unternehmen suchen nach Dir. LASS DICH JETZT FINDEN!
 

Cybersecurity: Deep Dive mit Alexander Busse

Von Sicherheitslücken und was das mit Sonnenwinden zu tun hat

Von Sven Festag

 

 

Begabte Security-Forscher veröffentlichen einen Exploit in unter 24 Stunden – Alexander Busse

Am 26. Januar 2021 fand die job I/O mit einem Special zum Consulting statt. Beim Virtual Job Event von get in IT berichteten Experten aus der IT-Branche von ihren Erfahrungen aus der Praxis, gaben Tipps für Deinen Job-Einstieg und beantworteten Deine Fragen im Live-Chat.

Mit am Start war Alexander Busse von PwC mit seiner Live-Session zu Cybersecurity. Darin erhieltst Du einen Einblick, wie Hacker es in der Vergangenheit geschafft haben, Sicherheitslücken in Solarwind auszunutzen. Sie bekamen so Zugriff auf Netzwerke von Unternehmen wie Microsoft und Nvidia. Er zeigte Dir zwei Methoden, mit denen sich Unternehmen vor ähnlichen Cyberattacken schützen.

Du hast den Deep Dive verpasst? Hier kannst Du Dir die gesamte Session noch einmal in Ruhe ansehen und wir fassen für Dich unsere Highlights zusammen.

Hier siehst Du die Session in voller Länge:

Speaker Alexander Busse von PwC erklärte im Deep Dive wie Hacker über das Update-System in Firmen-Netzwerke eindringen konnten. Er stellte zwei Ansätze vor, wie sich Unternehmen vor einer solchen Cyberattacke schützen.

Speaker

Alexander Busse ist Partner im Bereich Cybersecurity & Privacy bei PwC und hat buchstäblich sein Hobby zum Beruf gemacht. Er berät internationale Finanzinstitute aber auch weltweit agierende Unternehmen zu den Themen Informationssicherheit und Cybersecurity. Schon in seiner frühen Jugend widmete er sich der Programmierung und dem Hacking. Seiner Leidenschaft für Technologie folgend, studierte er Informatik und nahm an zahlreichen Hacker Events teil. Während seines Studiums gründete er eine Firma für Softwareentwicklung. Seine Faszination für das Internet brachte ihn als IT-Mitarbeiter zum größten europäischen Internet-Service-Provider. Hier erkannte er, welche Rolle Berater in einem Unternehmen für die Entwicklung und Gestaltung haben. Daher entschied er sich im Jahr 2000 in die Beratung zu wechseln. In seinem Vortrag berichtet Alexander Busse über seine Erfahrungen im Themenfeld Cybersecurity.

Unternehmen

PwC gehört zu den Big Four der Wirtschaftsprüfung. Das global agierende Unternehmen beschäftigt mehr als 250.000 Mitarbeiter in 157 Ländern. In Deutschland arbeiten die Mitarbeiter von PwC an 21 Standorte in 13 Bundesländern.

Hackerangriffe nehmen zu: Ein tägliches Problem für viele Unternehmen

Softwareentwicklung ist teuer und erfordert Spezialisten. Heute müssen alle Anwendungen sicher sein – von der Planung bis zur Programmierung – allein schon wegen des Datenschutzes. Eine Herausforderung ist der Zeitdruck, unter dem die Entwickler arbeiten. Sobald die Funktionalität der Software steht, wird sie schnellstmöglich ausgeliefert.

Ausgiebige Sicherheitstest haben dadurch eine Deadline und manche Sicherheitslücken bleiben bei der Auslieferung unentdeckt.

Sicherheitslücken treten aber auch dann auf, wenn Software in einem Kontext genutzt wird, für den sie nicht ausgelegt ist. Das können beispielsweise Standalone-Systeme sein, die Maschinen steuern und nun ins Netzwerk integriert werden. Dadurch erhalten sie Internetzugriff, bekommen aber gleichzeitig keine Patches. Mit der zunehmenden Vernetzung tritt dieses Problem immer häufiger auf.

Ein weiteres Problem sieht Alexander Busse bei Software-Prototypen, die z.B. von Startups zur Deadline unfertig ausgerollt werden und dann Sicherheitsmängel aufweisen. Sie müssen zur Deadline unfertig ausgerollt werden und weisen dann Sicherheitsmängel auf. Es werden etwa Nutzerdaten geleakt und das Vertrauen in die Software schwindet. So kann das gesamte Geschäftsmodell unter den Sicherheitslücken zusammenbrechen.

Es ist wichtig, die Security bei der Softwareentwicklung gleich von Anfang an im Konzept mitzuberücksichtigen. – Alexander Busse

Programmfehler beheben Software-Unternehmen, indem sie Patches veröffentlichen. Ab diesem Moment sehen Hacker, welche Fixes es gegeben hat. Sie können mittels Reverse Engineering einen Exploit schreiben, der die Sicherheitslücken in noch ungepatchten Systemen gezielt ausnutzt. Cyberkriminelle schaffen das innerhalb von 24 Stunden, während Unternehmen oft mehrere Wochen brauchen, um Patches in ihrem Netzwerk auszurollen.

Wie sich die Malware des Solarwinds-Hacks verteilt hat

Die Hacker nutzten einen Supply-Chain-Angriff. Software kann bereits schadhaft ausgeliefert werden. Anwender und Virenscanner erkennen oft die unseriösen Programme. Deswegen verstecken Cyberkriminelle ihren Schadcode in Updates für seriöse Software – so auch bei Solarwinds. Beim Download der Updates gelangten die Trojaner auf die Rechner der Kunden und breiteten sich im Netzwerk weiter aus. Die Kunden konnten die Malware nicht erkennen, da sie als Update getarnt und entsprechend signiert war. So umgingen sie auch die Virenscanner. Eine Veränderung des bestehenden Sourcecodes war nicht nötig.

Nach der Installation hat der Trojaner eine Backdoor geöffnet und sich bei einem Server gemeldet. Im nächsten Schritt griff ein Hacker manuell auf die Rechner des Unternehmens zu. Von dort aus konnte er auf Informationen zugreifen und eine weitere Verbreitung oder einen Datendiebstahl planen.

Wie sich der Datenklau mit Zero Trust und DevSecOps verhindern lässt

Unternehmen haben Schwierigkeiten, unerwünschte Software in ihrem Netzwerk zu erkennen. Die Strukturen sind darauf ausgelegt, Anwendungen und Daten innerhalb des Netzwerkes als sicher und vertrauenswürdig anzuerkennen. Diese festen Perimeter gibt es heute nicht mehr. Homeoffice, mobile Geräte und cloudbasierte Anwendungen lassen diese festen Grenzen nicht mehr zu.

Mit dem Zero Trust-Ansatz soll sich eine Malware nur noch schwer im Netzwerk des Unternehmens ausbreiten können. Anstatt den Vorgängen innerhalb des Netzwerkes zu vertrauen, gibt es unterschiedliche Kontrollmechanismen: Benutzer und Geräte müssen sich im Netzwerk identifizieren. Der Zugriff auf Dateien und Services wird ebenso überwacht wie das Verhalten von Geräten. Auch Remotezugriffe werden ausgewertet.


Ein anderer Ansatz sind die DevSecOps. Hier werden die DevOps, also die Softwareentwicklung und der IT-Betrieb, an die IT-Sicherheit gebunden. Die Bereiche teilen sich die Verantwortung. Entwickler, Release-Ingenieure und Sicherheitsteams arbeiten eng zusammen. Sie schaffen eine sichere Infrastruktur, die über eine Qualitätssicherung verfügt. Isolierte Systeme, auf denen ein Update-Build beeinflusst werden könnte, gibt es dort nicht.

Der Deep Dive im Überblick:
  • 00:30 – PwC wird vorgestellt
  • 01:40 – Das Cybersecurity-Dilemma
  • 02:50 – Warum Software unsicher ist
  • 04:40 – Hacker nutzen Patches aus
  • 06:25 – Der Solarwinds-Hack
  • 08:10 – So verteilte sich die Schadsoftware
  • 11:30 – Angriffe erschweren mit Zero Trust
  • 17:40 – Sicherheitslücken vermeiden durch DevSecOps
  • 19:00 – Fragen aus dem Live-Chat
 

Arbeitgeber bewerben sich bei Dir!
Ganz einfach:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!

Arbeitgeber bewerben sich bei Dir!
So funktioniert's:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!
Es ist kostenlos
Kostenlos registrieren