Ich komme aus dem Bereich und ich interessiere mich für

Interviews

Remote Work in Behörden

"Vorreiter im VS-NfD-Umfeld konzentrieren sich auf drei Ziele"

Der Wechsel in den Remote-Betrieb erweist sich im VS-NfD-Umfeld als besondere "Feuerprobe" für die IT-Organisation. Neben der Abwehr massiver Cyber-Attacken sind Defizite in der IT Governance und den Cyber-Security-Architekturen zu beheben. Arnold Krille, Abteilungsleiter Product Development cognitix bei genua, nennt Handlungsprioritäten.

Herr Krille, wo sollten IT-Verantwortliche im VS-NfD-Umfeld ansetzen, um die mobilen Ökosysteme ihrer Organisation schnell und effektiv zu schützen?

Arnold Krille: "Netzwerk" und "Nutzer" sind entscheidende Handlungsdimensionen. Beim Thema Netzwerk geht es darum, einen Überblick über die Infrastrukturen und Technologien zu gewinnen, der sowohl den Ist- als auch den Vergleich zum Soll-Zustand widerspiegelt. Ein zentrales Thema ist dabei die Anbindung der Nutzer über das Internet: Können dazu zentrale Services von einem Bundesdienstleister genutzt werden? Oder muss man selbst dafür sorgen? Im zweiten Fall ist zwar mehr Flexibilität möglich, aber auch von einem höheren Absicherungsaufwand auszugehen.

Denn jede Anbindung an das Internet garantiert, ins Visier von Angreifern zu geraten. Neben der Funktionalität und Performance der Anschlussleistungen ist daher immer die technische Sicherheit zu berücksichtigen: Wie wählt man sich ein? Wie wird das System selbst vor Angriffen geschützt? Wie werden Einbrüche in die Infrastruktur verhindert? Zumal wir in der Regel von mehreren hundert oder mehr Nutzern sprechen, die ins Home Office wechseln oder VS-sichere Mobile Devices benötigen. Das ist schon rein organisatorisch ein gewaltiger Aufwand. Zusätzlich müssen rechtliche Rahmenbedingungen bei der Umsetzung beachtet werden – häufig existiert aber noch gar keine IT-Governance für den Remote-Ausbau.

Was sorgt Ihrer Erfahrung nach in dieser Situation für Struktur und Klarheit?

Arnold Krille: Hier kommt die Perspektive des Nutzers ins Spiel: Welche Devices, Programme, Zugänge benötigt er in welcher Gütequalität? Zum Beispiel sind bei einigen Remote-Lösungen im Öffentlichen Sektor Videokonferenzen noch immer nicht möglich. Für den Anwender sind sie aber wie alles, was Kollaboration und Austausch erleichtert, essenziell. Von diesem Bedarf her gedacht ist es schon mal etwas einfacher, die passenden, VS-konformen Endgeräte und Programme zu finden und zu überprüfen, ob die funktionalen mit den regulatorischen Anforderungen wie dem IT-Grundschutz übereinstimmen.

Und sobald das erreicht ist, benötigen die Nutzer schon wieder ganz andere Dinge …

Arnold Krille: Richtig, aber das sollte ja für die IT nichts Neues mehr sein. Schon in den Jahren vor der Pandemie galt „Velocity is king“, also PS auf die Straße zu bringen bei der Planung und Umsetzung von IT-Projekten in Taktung zu den Innovationszyklen der Geräte- und Softwarehersteller. Aber wie es so treffend heißt, bei den Zielsetzungen sicher, benutzbar und schnell eingeführt lassen sich immer nur zwei davon zugleich erreichen. Bei Usability und Sicherheit lief es also häufig auf eine Entweder-oder-Entscheidung hinaus: ein hochsicheres und schnell eingeführtes, dafür aber schwer bedienbares System – oder eben eine schnell implementierte, nutzerfreundliche Lösung mit hohem Risiko.

"Velocity is king" verschärft sich nun auch insofern, dass die Angreifer ebenfalls nach diesem Prinzip arbeiten und ihre Innovationszyklen verkürzen. Während der Pandemie ließ sich deutlich die "Industrialisierung" von Cyber-Kriminalität beobachten – professionelle Hacker entwickeln immer ausgefeiltere Methoden und Tools, die auch semi-professionelle Akteure zu erfolgreichen Angriffen befähigen können.


In der neuen Arbeitswelt gilt für die IT Security mehr denn je: velocity is king. Schließlich verkürzen auch die Angreifer ihre Zyklen bei der Entwicklung neuer Methoden und Tools.


Wie gehen Vorreiter im VS-NfD-Umfeld mit dieser Situation um?

Arnold Krille: Sie konzentrieren sich auf die Umsetzung von drei Zielen: Erstens, die Mitarbeiter im Home Office oder mobil nach unterschiedlichen Sicherheitsszenarien an die internen Netze anbinden. Zweitens, dabei eine Security zu schaffen, die dem Anwender keine Steine in den Weg legt. Und drittens, das Ganze einfach skalierbar zu gestalten, so dass je nach Situation ein Großteil der Belegschaft schnell ins Home Office und wieder zurück an die Standorte wechseln kann.

Vor allem aber unterschätzen sie nicht die Risiken, die jedes einzelne Home Office mit sich bringt. Es ist eben nicht damit getan, ein VPN (Virtual Private Network) einzurichten und mit Basics abzusichern. Denn die physischen Absicherungen, die am Standort zusätzlich schützen – gesicherte Serverräume, abschließbare Bürotüren, im Eingangsbereich Kameras, zuweilen sogar Pförtner – fallen schließlich im Home Office komplett weg. Organisationen mit einem hohen IT-Security-Reifegrad verstehen sich zuweilen als "virtuelle Behörde" mit nicht fünf, sondern eben fünfhundert oder mehr Standorten. Und entsprechend intensivieren sie den Schutz der Zugänge in das Behördennetz vom Home Office ihrer Mitarbeiter aus, aber auch von allen Stufen der Kommunikation innerhalb des Behördennetzwerks.


Organisationen mit hohem IT-Security-Reifegrad verstehen sich als ‚virtuelle Behörde‘. Jedes Home Office wird wie jeder Standort nach höchsten Maßstäben geschützt.


Welche Vorgaben des IT-Grundschutzes sind für ein VS-NfD-konformes Remote-Working zu berücksichtigen?

Arnold Krille: Unabhängig vom Remote-Arbeiten gibt der IT-Grundschutz vor, mindestens an den neuralgischen Punkten in den Organisationsnetzen mit einer Anomalie- oder Angriffserkennung genauer hinzuschauen. Mit dem Wechsel der Mitarbeiter in den Remote-Betrieb wird nun der VPN-Knoten zu eben einem solchen Punkt. Nicht nur, weil dieser von außen angreifbar ist. Sondern auch, da sich die Arbeitsabläufe und die Kommunikation innerhalb der Behörde verändern und nun über diese Punkte stattfinden. Es geht also sowohl um die Absicherung der Technologie- als auch der Prozessinfrastruktur. Das macht die Situation zusätzlich brisant. Denn diese Kombination ist eine komplett neue Herausforderung für die IT, die sich in keiner Richtlinie mustergültig abbilden lässt.

Mit welchen Maßnahmen helfen Systeme zur Anomalie- bzw. Angriffserkennung weiter?

Arnold Krille: Das hängt vom Angriffsszenario ab. Ein klassisches Beispiel ist die E-Mail von einem vermeintlich bekannten Absender mit einem infizierten Attachement. Klickt der Nutzer das Attachment an, gewährt er dem Angreifer quasi einen internen Zugriff auf Ressourcen, was erst mal überhaupt nicht formal restriktiv behandelt wird. Wenn eine solche Infektion dann beginnt, um sich zu greifen, braucht es in der Regel Tage, Wochen und Monate, bis der Angriff erkannt wird.

Genau dort setzen Detektion-Maßnahmen an. Der cognitix Threat Defender könnte hier schon im ersten Schritt eingreifen, also die Anomalie erkennen, einen IT-Sicherheitsverantwortlichen darauf hinweisen oder Abwehrmaßnahmen einleiten. Dabei lässt sich die Reaktion auf das Kommunikationsverhaltens des Endnutzers so modellieren, dass der Administrator rechtzeitig informiert wird und passende Maßnahmen einleiten kann, ihm aber nicht durch Fehlalarme bei der Arbeit Hindernisse in den Weg gelegt werden. Wir empfehlen hierbei, ein vernünftiges Niveau an Prävention nach Stand der Technik der Organisation anzustreben – aber auch zu berücksichtigen, dass es keine hundertprozentige Sicherheit gibt.

Inwiefern unterscheidet sich der cognitix Threat Defender von IDS-Systemen?

Arnold Krille: Ein Grundproblem von IDS-Systemen ist, dass sie durch das Rauschen im Netzwerk und die Vielfalt und Qualität der Erkennungsregeln so viele Anomalien erkennen, dass man mehr Personalstellen dafür braucht, um sie zu bedienen. Das liegt unter anderem auch daran, dass meist nur auf bestimmte Patterns in einzelnen Datenströmen geschaut werden kann. Es geht heutzutage aber weniger darum zu sagen: "Erkenne alles, was verdächtig sein könnte". Sondern darum, verdächtige Einzelsignale mit dem gesamten Verhalten von Geräten zu korrelieren und eine gewisse Line of Defence, also individuelle Schwellwerte zu definieren, bei denen man tätig werden will. Und eben hier kommt der cognitix Threat Defender ins Spiel.

Erkennt das Tool zum Beispiel, dass eine Signatur für den neuesten Windows Exploit und den chinesischen Hackern auf einen Linux-Server auftrifft, muss es niemanden alarmieren.

Mit cognitix Thread Defender lässt sich definieren, ab wann ein abnormales Verhalten wirklich als bedenklich einzustufen ist.

Wenn aber 20 Clients hintereinander dieses Paket bekommen haben und dann plötzlich anfangen, unerwarteten Datenverkehr auszuspucken, ist das etwas, wozu es einen Alarm auslöst.

Das ist der Charme der Lösung: Einerseits werden Treshholds definiert, ab wann ein abnormales Verhalten wirklich als bedenklich einzustufen ist. Andererseits hilft die „Last Line of Defense“ immens. Etwa, wenn man feststellt, dass ein Nutzer am Freitagabend beginnt, Kommunikation zu allen Servern zu etablieren. Und dann plötzlich anfängt, am Wochenende auf Dienste zuzugreifen, die er nie vorher benutzt hat. Da wird es sich entweder um einen sehr engagierten Mitarbeiter handeln – oder doch eher um einen unerwünschten Gast im System.

Was geschieht im Falle eines Angriffes?

Arnold Krille: Zuerst einmal gilt es zu verifizieren, um was es sich bei einer solchen Anomalie überhaupt handelt. Dazu braucht der Administrator einen möglichst vollständigen Überblick über die Situation. Mit den richtigen Einblicken und dem passenden Kontext kann dann entschieden werden, ob es sich um einen Angriff, eine Störung der Betriebsabläufe oder nur um ungewöhnliches, aber legitimes Verhalten eines Mitarbeiters handelt. Währenddessen kann der cognitx Threat Defender schon erste Reaktionen einleiten. Je nach Risikoverständnis der Organisation können das erste Isolationsmaßnahmen sein, wobei das

betroffene Gerät in seiner Kommunikation eingeschränkt bis gänzlich isoliert wird. Es kann aber auch eine abgestufte Reaktion sein. In diesem Fall sind geschäftskritische Vorgänge weiterhin vollständig erlaubt. Aber die sonstige Kommunikation wird gedrosselt und somit ein potenzieller Angreifer in seinem Vorgehen gebremst, ohne dass es sich negativ auf die Geschäftsprozesse auswirkt.

Dieses Vorgehen verschafft Mensch und Maschine Zeit, um weitere Informationen zu sammeln, die Anomalie mit Kontextinformationen zu verifizieren und in Ruhe die richtige Reaktion zu planen. Damit verhindert man frühzeitige Geschäftsunterbrechungen durch False Positives – aber auch, dass die Angreifer realisieren, dass sie bereits entdeckt wurden. Es ist häufig besser, den Angreifer noch etwas beobachten zu können um nachzuvollziehen, was er tut, was er getan hat und was sein mutmaßliches Ziel ist. Denn je besser sich die Motivation eines Angreifers nachvollziehen lässt, desto besser kann die Reaktion auf den Angriff erfolgen, sowohl bei der Bekämpfung des Angreifers, als auch nach dessen Entfernung aus dem Netzwerk bei der Wiederherstellung des ordentlichen Geschäftsbetriebes.