BEILAGE IM KURIE R Cybercrime-Gefahren 2019. Peter Lenz, Chef von T-Systems Austria, zu den Tricks der Cyberkriminellen. TECHNO 3 Visite im „Datenbunker“. Wie sicher ist die Cloud? Ein Blick ins „Allerheiligste“ von T-Systems Austria. TECHNO 7 NORBERT ITTERMANN Security Guide 2019 Angriff aus dem Cyberspace. Internetbetrug, Erpressung, Ransomware, DDoS-Attacken. Wie sehen Bundeskriminalamt, CERT und die Sicherheits-Experten von T-Systems die Bedrohungslage 2019? – Und: Was kann man als Unternehmen dagegen tun? T-SYSTEMS AUSTRIA V.A. HAUNOLD TECHNO-SPECIAL ENTGELTLICHE BEILAGE 11. APRIL 2019
Transcript
BEILAGE IM KURIE R
Cybercrime-Gefahren 2019.
Peter Lenz, Chef von T-Systems Austria,
zu den Tricks der Cyberkriminellen.
TECHNO 3 Visite im „Datenbunker“.
Wie sicher ist die Cloud? Ein Blick ins
„Allerheiligste“ von T-Systems Austria.
TECHNO 7NORBERTITTERMANN
Security Guide 2019Angriff aus dem Cyberspace. Internetbetrug,Erpressung,
Erpressung mit Rufschädigung: Eines von vielen Erpresser-Mails im Umlauf. Viele bezahlen aus Angst.
TECHNO Donnerstag11. April 2019
2
SICHERHEITSTACHO.EU
BKA
VON RAINERGRÜNWALD
Nachdem„Rekordjahr“2017mit +28,2 Prozent scheintdie Wachstumskurve im Be-reich Internetkriminalität inÖsterreich etwas abzufla-chen, vorbei ist der Cybercri-me-„Boom“ aber noch langenicht. Indenersten zehnMo-naten des Jahres 2018 wur-den 15.424 Fälle von Inter-netkriminalitätbeidenöster-reichischen Behörden ange-zeigt–einnoch immerbeein-druckendes Plus von 11,8Prozent.
Der Direktor des heimi-schen Bundeskriminalamts,
Weiterer Anstieg bei Internetkriminalität. WährendvielekonventionelleDelikte zurückgehen,befindet sicheineVerbrechenskategorieweiter auf „Wachstumskurs“. -Cybercrimekonnteauch2018wieder zulegen.
General Franz Lang, be-schreibt das Problem so: „Inder analogenWelt der Krimi-nalitätsbekämpfung kenntdie Polizei die Strategiezyk-len und hat gute internatio-nale Methoden, sodass neuauftretende Phänomenerasch und effizient wiederunterKontrollegebrachtwer-den können. Diese Routinehaben Österreich, aber auchdie Polizeikollegen weltweitinderCyberkriminalitätnochnicht. Wir entwickeln hierneue Techniken. Das Dark-net als globalerMarkt für kri-minelle Dienstleistungen istweiter ein großes Thema.“
Die fiesestenTricksdesJahres2019Die österreichischen Ermitt-ler rüsten allerdings seit ge-raumer Zeit auf. Speerspitzeim Kampf gegen Bedrohun-gen aus dem Cyberspace istdas 2011 eingerichtete „Cy-ber Crime Competence Cen-ter (C4)“ des Bundeskrimi-nalamts. Oberrat ErhardFriessnik ist als Leiter des C4sozusagenobersterCybercri-me-Jäger der Alpenrepublik.SeinBefundzuraktuellenBe-drohungslage: „Auch 2019istdieBedrohungdurchRan-somware nach wie vor auf-recht. Die Verschlüsselung
von Rechnern mit anschlie-ßender Erpressung ist im-mer noch eine gängige FormderCyberkriminalität.
Eine weitere Bedrohungstellt auch der sogenannte,Tech-Support-Scam‘ dar.
Dabei werden die Opfer viaTelefon kontaktiert und da-mit konfrontiert, dass IhrRechner angeblich infiziertsei und dringende Maßnah-menzurBereinigungdesSys-tems notwendig seien. Die
Opfer werden dabei veran-lasst, den Tätern Zugriff aufIhr System, in der Regel „Re-mote-Zugriff“, zu gestatten.Unter dem Vorwand denRechner zu säubern, ver-schlüsseln die Cyberkrimi-
Der Sicherheitstacho der Deutschen Telekom (sicherheitstacho.eu) zeigt die Cyberangriffe auf seine„Honigfallen“ live (Honeypots, ungeschützte Rechner im Netz). Rechts: Cybercrime-Statistik des BKA.
Kampf gegen Ransomware: Gratis-Entschlüsselungstool für Opfer von GandCrab auf nomoreransom.org
S E CUR I T Y GU I D E 20 1 9EINE PRODUKTION DER MEDIAPRINT
Cybercrime: Die größten Gefahren
ISTOCKPHOTO
Donnerstag
11. April 2019 TECHNO3
S E C U R I T Y G U I D E 2 0 1 9E I N E P R O D U K T I O N D E R M E D I A P R I N T
nellen den Rechner und er-pressen die Opfer anschlie-ßend. Meist geben sich dieStraftäter dabei als Supportder Firma Microsoft aus“.
Erpressungmitangeb-
lichen Intim-Videos
Erpressung scheint bei Cyber-kriminellen momentan über-haupthoch imKurszustehen.Friessnik: „Erpresser-Mailsstellen zurzeit ein aktuellesPhänomendar,dasvermutlichnochdasganzeJahr2019ent-sprechend prägen wird. Meistwird den Opfern dabei vorge-täuscht, bei sexuellen Hand-lungengefilmtwordenzusein.–SolltedasGeldnichtbezahltwerden, würde das Materialveröffentlichtwerden.
Eine andere Form sindRating-Erpressungen. Dabeiwerden vor allem Hotelbe-trieben und Restaurants da-miterpresst,dassmassenhaftnegative Bewertungen überdenBetriebimInternetveröf-fentlicht werden, so kein ,Lö-segeld‘ bezahlt wird“.
DDoS-Angriffeund
das„InternetderDinge“
„Distributed Denial of Ser-vice“-Attacken sind (s. a. Sei-te 5) sind wie Phishing wei-
ter eine Gefahr. Auch öster-reichische Firmen sind im-mer wieder betroffen. C4-Chef Friessnik: „Außerdemstellt das ,Internet der Din-ge„ ein gewisses Gefähr-dungspotential dar. Sicher-heitslücken ermöglichen esden Tätern Zugriff auf ,smar-te„Gerätezuerlangenundsieanschließend für kriminelleZwecke einzusetzen.“
CERT.at:Cybercrime-
SchlüsselrolleE-Mail
EinenganzähnlichenBefundderBedrohungslage2019hatOtmar Lendl, Teamleiter desösterreichischen „ComputerEmergency Response Team“(cert.at) parat. Er verweistdarüber hinaus auf dieSchlüsselrolle, die der Dieb-stahlvonE-MailadressenundZugangsdaten bei einer Rei-he von Cyberverbrechen ein-nimmt. Dabei geht es oft ummehr als den MissbraucheinesMail-AccountszumVer-senden von Spam.
Lendl: „Der Zugriff auf E-Mail vereinfacht diverse Be-trugsmaschen, wie CEOFraud oder die Manipulationvon Rechnungen zum Umlei-ten von Zahlungen“.
Zur Person:Peter Lenz, MAS, MSc1969 geboren – Verhei-
ratet/Vater von zwei Kindern |
Studium für Maschinenbau und
Informatik TU Wien | 2001 –
2003 Masterabschlüsse (MAS,
MSc) an der Donau Universität
Krems | 1998 MAGNA Europa
AG als Head of Group IT Magna
Powertrain Europa, Übersied-
lung nach Nordamerika,
zuständig für die IT der Magna
Powertrain in Kanada, USA und
Mexiko | 2008 – 2011 OMV AG
– Leitung CIO Office | 2011 –
2016 ÖBB – Konzern CIO und
Geschäftsführer der ÖBB IKT
GmbH | „CIO des Jahres 2014“ |
2017 Eintritt in die Geschäftsfüh-
rung von T-SYSTEMS AUSTRIA
als Vice President Delivery.
Jänner 2018 übernahm er den
Vorsitz der Geschäftsführung.
Cybercrime-Trends 2019: SpezialisierterCEO Fraud, Angriff auf IoT & Rufschädigung
dortfür–aufdenerstenBlick– nachvollziehbare Transak-tionen. Das heißt, da hatsich schon jemand intensivmit dem Geschäft der Firmabeschäftigt und verfügt viel-leicht sogar über Insider-In-formationen.
Und die klassischen Bedrohun-gen für die IT?
Was wir im Bereich des„Internet of Things“ (IoT)auchsehen:Eswirdprobiert,IoT-Geräte, Sensoren zu ka-pern und für seine Zweckeeinzusetzen. Da kann“s zumBeispiel um eine Kamera ge-hen,die ineinemSensorver-baut ist. Das kann funktio-nieren, weil sich die Herstel-ler solcher Gerätschaften inerster Linie auf die technolo-gische Lösung und nicht auf„Security by Design“ kon-zentriert haben.
Bei Industrie 4.0 waren ja alleerst einmal froh, wenn dieKette von der Online-Bestel-lung bis zur Produktion durchRoboter überhaupt funktio-niert hat…
Genau. Eine Gefahr istnicht nur, dass man auf die-sem Weg auch die Produk-tion lahmlegen könnte, son-dern dass man Deine Daten-sammlung korrumpiert.
Wenn ich nicht mehrweiß, was ist richtig undwasistvielleichtschonfalschreingekommen, kann ichmeine ganze Big-Data-Ana-lyse vergessen. Dann macheich nämlich eine Big-Data-Analyse über einen teilwei-se falschen „Datensee“.
Ist so etwas schon vorgekom-men?!
Ja, da gibt es schon realeFälle. Deshalb existieren in-zwischen Firmen, die sichaufIoT-GeräteundderenAb-sicherung konzentrieren,
wie zum Beispiel die SECConsult in Österreich.
Gibt es auch neue Bedrohun-gen, die „alle“ treffen?
Das dritte, neue Bedro-hungsszenario sind Erpres-
sungsversuche, die auf diePersönlichkeitsebene ge-hen. Da werde ich in einemErpresser-Mail mit einemmeiner eigenen Passworte,
das irgendwo ausgespähtwurde, konfrontiert. Die Er-presser meinen dann zumBeispiel„Wirwissenjetztge-nau, was Du im Netztreibst. Wir haben DeineWebcam gehijackt undDich gefilmt. Wir wissenauf welchen InternetseiteDu warst, usw.“.
Fazit: Überweise meinFreund, sonst machen wirdieseInformationenalleninDeiner Kontaktliste zu-gänglich! – Auf dieseWeise sind bisherschon Millionen anBitcoins über denLadentischgegan-gen.
Was tut man als Fir-ma eigentlich, wennHacker bereits er-folgreich
ins Firmennetz eingedrungensind?
Im Durchschnitt brauchtes die berühmten 200 Tage,bis man draufkommt, dass„jemand im Haus ist“. Wennso etwas passiert, haben dieFirewalls, die jede Organisa-tion, jederPrivatehat,offen-bar nicht gegriffen.
Hier setzen T-Systems-Dienste wie „Incident Res-ponse“ an. Das beinhalteteineAnalyse:Wohatsichder
überall ausgebrei-tet? Wie lange ister schon drin?Was hat er ge-macht? Was hater eventuell ver-ändert? Und na-türlich–wiekannich alles wieder-herstellen, wie’s
vorher war?
TECHNO: Ein Blick in die aktu-elle österreichische Kriminal-statistik zeigt: Cybercrimeboomt. Und das dürfte nur dieSpitze des Eisberges sein, weildie Dunkelziffer vermutlichziemlich hoch ist. Für Unter-nehmen ist es z. B. auch einImageproblem Opfer von Cy-bercrime geworden zu sein. -Wie sieht T-Systems die aktu-elle Bedrohungslage für dasJahr 2019?LENZ: Generell stellen wirfest, dass das Problembe-wusstsein in den Unterneh-men höher wird. Man hatsichindenletztenJahrenwe-sentlichstärkermitdemThe-ma Cybercrime beschäftigt.
Dazu haben auch die EUNetz- und Informationssi-cherheits-Richtlinie (NIS)und die Datenschutz Grund-verordnung(DSGVO)beige-tragen. Beispiel DSGVO:Man ist jetzt verpflichtet zumelden, wenn es zu einemDatenleck gekommen ist. Eskann jetzt nicht mehr sein,dass man so etwas unterden Tisch fallen lässt.
Was wir aktuell stark se-hen, ist eine gewisse Spezia-lisierung der Bedrohungs-szenarien. Der berühmteCEO Fraud, der Chef-BetrugmiteinergefälschtenChef-E-Mail a la „Überweist malschnell 3 Millionen an …“geht jetzt in Richtung sehrdetailliiert ausgearbeiteteundvomVolumen hergerin-gerer Umfänge wie 50.000hier,70.000daoder120.000
Experten-Talk.Peter Lenz, Chefvon T-SystemsAustria über dieneuestenBedrohungen ausdem Cyberspace.
Peter Lenz,Vorsitzenderder Geschäfts-führungT-SystemsAustria: DergelernteInformatikerzählt heutezum erlesenenKreis der Top-IT-ManagerÖsterreichs.
Peter LenzVorsitzender derGeschäftsführung,T-Systems Austria
Im Durchschnittbraucht es die
berühmten 200Tage, bis man
draufkommt, dass„jemand im Haus ist“
T-SYSTEMSAUSTRIA(2)
TECHNO Donnerstag
11. April 2019
4
SCREENSHOT
ARROW-STOCK.ADOBE.COM
T-SYSTEMSAUSTRIA
Erpresser-Trojaner WannaCry: Ransomware stand 2017 klar auf
Platz 1 unter allen Sicherheitsbedrohungen aus dem Cyberspace.
White-Hat: „Ziggy“Schauer kämpft seit
20 Jahren erfolgreichgegen Viren, Würmer,
Trojaner, Black-Hatsund Cybercrime.
Erpresser-Trojaner. 2017 versetzte die RansomwareWannaCry die IT-Welt in Schrecken. 230.000 Rechnerwurden im Handumdrehen lahmgelegt. Und heute?
VON RAINER GRÜNWALD
Siegfried „Ziggy“ Schauer istbei T-Systems Austria unteranderemfürdenBereich„Ad-vanced Cyber Defense“ zu-ständig. Ziggy ist damit Teilder „Armee der Guten“, diedieWelttagtäglichvordency-berkriminellen Black-Hats(kriminelle Hacker) schützt.
TECHNO: Erpresser-Softwarewar die große Bedrohung2017. Wie ist der Trend 2019?Von Ransomware hat man inletzter Zeit nicht mehr viel ge-hört. – Ist das vorbei?Schauer: Ransomware ist einGeschäftsmodell, das seit1989 funktioniert. Damalswar“s ein Konto in Panama,heute sind es Bitcoins. Undder Trend geht ganz klarnach oben. Die Malware
wird immer ein Stück auto-matisierter und komplexer.Die Hauptprobleme, die vie-le Firmen damit haben, ha-ben sie nur deshalb, weil siezumeist nur auf Maßnah-men präventiver Natur set-zen. Das heißt, es wird füreinen Anlassfall eine Lösunggekauft – und beim nächsten„Incident“ hilft diese Lösungschon nicht mehr.
Was wäre klüger?Sich vorher die IT-Archi-
tektur der ganzen Firma an-sehen, eine kritische Be-standsaufnahme machen.Schauen, ob man z.B. Syste-me mehr härten kann …
Mehr härten?!Gemeintist,dasszumBei-
spieldasMailprogrammOut-look keinen Prozess mehr
starten darf. EXE-Dateien inMailsdürfennichtmehrauto-matisch ausgeführt werden,integrierte Links funktionie-rennichtmehr.Damiterspartman sich einfach eine Mengean Scherereien.
Windows hat ein einfa-ches Dateikennungssystem,das man erst ausschaltenmüsste um zu sehen, dassdas anscheinend „harmlose“PDF-Dokument im Mail inWirklichkeit eine .pdf.exe,eine ausführbare Programm-datei ist… RansomwarewirdunteranderemzumBei-spiel gerne so verschickt. Esmacht natürlich auch Sinn,
eine vorgelagerte E-Mail-Se-curity-Lösungzuverwenden,dann kommt die Schadsoft-ware erst gar nicht auf denMailserver und auf die Rech-ner. Aber das sollte ohnehinin jedem Unternehmenlängst vorhanden sein.
Man könnte sich in Windowsnatürlich die Dateinamen-Er-weiterung automatisch anzei-gen lassen …
Kann man schon, aberman muss es machen. Im Pri-vatumfeld passiert das kaumund im Businessumfeld ha-ben’s auch die wenigsten Fir-men so eingestellt.
Aber müsste nicht die Antivi-ren-Software am Rechner auf-schreien, wenn sich Ransom-ware zu installieren versucht?
Die bietet nur bedingtenSchutz, weil Virenscanner
meistensnur „Pattern“ (Mus-ter) verwenden und deswe-gen nur bereits bekannteSchadsoftware erkennen.
Gibt es inzwischen nicht Antivi-ren-Software, die vorausschau-end agiert und auch noch un-bekannte Gefahren alleine auf-grund ihres „ungewöhnlichen“Verhaltens erkennt?
Die gibt es. Sie ist abernicht sehr weit verbreitet,zumal das nicht geradedie günstigsten Produkte amMarkt sind. Das ist NextGen-Antivirensoftware,die einen ande-ren Ansatzfährt.Dieer-kennenRansom-warerechtzei-tig – bisheute.
Was schlägt T-Systems Unter-nehmen also hier konkret vor?
Die Hausaufgabensauber machen. Einführenvon z.B. Policies um eine Lü-ckenlose „Security Baseli-ne“ herzustellen: Habe icheinen wirksamen Antiviren-Schutz, wer überwacht mei-nen Antivirus regelmäßig?Backup machen, funktio-niert mein Backup, ist esüberhaupteinechtesBackupoder nur ein NAS dasals Datenstorage genutztwirdund ineinemRAID-Ver-
bund läuft? System här-ten … Das sind für
uns als IT-Outsour-cer „Basics“, die al-
lerdings nichtin allen Fir-
men als Ba-sics gese-hen wer-den.
Keine Entwarnung bei Ransomware
S E C U R I T Y G U I D E 2 0 1 9E I N E P R O D U K T I O N D E R M E D I A P R I N T
Zur Person: Siegfried„Ziggy“ SchauerSiegfried Schauer (41) ist seit 20Jahren im Bereich IT-Security tätigund arbeitet seit 2017 im CyberSecurity Team von T-SystemsAustria. „Ziggy“ ist Mitglied inmehreren Expertengruppen undGremien rund um IT/OT Sicherheit& Cyber Defense. Darüber hinaushält er Vorträge an Hochschulenund bei Konferenzen zuComputer-Sicherheitsthemen.Schauer steht in ständigemAustausch mit internen undexternen Sicherheitsexperten undist Team Member desT-Systems Austria CERT.Davor war Ziggy über 10 Jahrelang beim heimischen Antiviren-Spezialisten IKARUS Security Soft-ware beschäftigt – unter anderemals Koordinator eines MalwareEmergency Response Teams.
Donnerstag
11. April 2019 TECHNO5
S E C U R I T Y G U I D E 2 0 1 9E I N E P R O D U K T I O N D E R M E D I A P R I N T
MICHAELBORGERS
barkeit der Applikation obereine Überlastung der Lei-tung.
Welche Beispiele für aufse-henerregende DDoS-Attackengab es in letzter Zeit?
DDoS-Attacken gibt esim Internet ständig. DiesenMonathatT-SystemsAngrif-fe mit bis zu 15 Gigabit ge-messen.Sorichtigspektaku-lär war aber das Mirai-Bot-netz,dassichunteranderemausverschiedenenIoT-Gerä-ten zusammengesetzt hat.Da waren auch Überwa-chungskameras oder Photo-voltaik-Anlagen, die frei imInternet verfügbar warenoderauchnochsind,dabei.
Die Angriffs-Kapazitätdes Mirai-Botnetzes lag beiüber 1,2 Terabit. Die Seitedes US-IT Sicherheits-bloggers und IT-Security-Journalisten Brian Krebswurde vom Mirai damalsderbstvomNetzgeschossen.Dahabennicht einmalmehrdie Schutzmechanismen ge-holfen, da musste Googlehelfen, damit dieser Angriff„mitigiert“werdenkonnte.
Angeblich kann man auf Cy-bercrime-Börsen ja sogar Re-chenkapazität für DDoS-An-griffe mieten…
Für solche Angebotemuss man heutzutage nichteinmalmehr insDarknet.Dareicht schonYouTube.Wennman dort „DDoS Angriff“eingibt, findet man spätes-tens im vierten oder fünftenVideo Hinweise, wo man
DDoS-Angriffe bestellenkann. Da tauchen dannE-Mail-Adressen oder IRC-Channels auf – und es sindCentbeträge, die so einRechnerkostet.
Und wie viele Botnetze, wieviele infizierte Rechner gibt esdenn weltweit?
Das kannman nur schät-zen. Aber als Teile des Confi-cker-Botnet vom Netz ge-nommen wurden, warenweltweitaufeinmalmehrereMillionen Rechner befreit,aber nochmit demSchadco-deverseucht.
Genaue Angaben kannman hier nur treffen, wennman ein so genanntes „Bot-net Turnover“ macht – quasidem Angreifer sein eigenesMittel entwendet und es sys-tematisch abdreht. Mehreresolcher Manöver zur Vertei-digung gegen Botnetze sindinzwischen bekannt undmeist in White Papers imInternetzumNachlesen.Dasist für Sicherheitsforschersehr aufschlussreich undspannend.
Apropos: Wie kann ich eigent-lich feststellen, ob mein Fir-men-Rechner oder mein Note-book noch nebenbei für je-mand anderen arbeitet?
Wenn ein Rechner plötz-lich merklich langsamerwirkt,wäredasvielleichteinIndiz. Zombie-Rechner ins-tallieren sich im Hinter-grund gerne einenMail-Ser-ver und beginnen SPAM zuversenden oder andere Ap-
TECHNO: Einer der spektaku-lärsten Hacker-Operationengegen Firmen und Institutio-nen sind DDoS-Attacken. Wiefunktioniert so ein „Distribu-ted Denial of Service“-Angriffund was bezweckt er?Schauer: Bezweckt wird inerster Linie einmal, dassman nicht mehr von außenerreichbar ist. Die Internet-kommunikation wird durcheine gezielt herbeigeführteÜberlastung offline genom-men. Der Angriff kann sichaber auch zielgerichtetgegen bestimmte Webappli-kationen richten, um diesevomNetzzunehmen.
Wie stelle ich mir das konkretvor? Kommen da MilliardenAnfragen rein oder wie legeich einen Server durch Über-lastung lahm?
Ja, da kommen „Milliar-den“ sinnlose Serveranfra-gen. Ein Beispiel: Man hatsich bei seinem Internet-An-bieter eine Bandbreite von100 Mbit/Sekunde gekauftundplötzlichgreifenhunder-te von Clients gleichzeitig zuund verursachen mit ihrenAnfragen einen Traffic von200 Mbit – dann überlastetdasdieInternetverbindung.
Vereinfacht dargestellt:Klassische DDoS-„Angriffe“erlebt relativ oft auch eingroßer Online-Ticketanbie-ter. Aber nicht, weil ihm je-mand etwas Böses will. Esgibt aber begehrte Konzert-tickets, die z. B. punkt 12:00Uhr buchbar sind und alleversuchen zu dieser Zeit si-multan darauf zuzugreifen.Das produziert auf dieserSeite so viel Content, dassdie Server dieser Last nichtstandhalten.
DDoSistnurdasKonzept– es gibt viele verschiedeneTechniken und Arten, wieman eine solche Überlas-tung bewirkt. Ob man nundenServeroderdieApplika-tion überlastet, sodass diesemit der Rechenzeit nichtmehr hinterherkommt oderob man die Leitungskapazi-tät überlastet – das Ziel istdasGleiche: eineUnerreich-
Denial of Service – das Opfer vom Netz schießenINTERVIEW
pliaktionen, mit denen dieBetreiber Geld verdienenkönnen. Meistens bekommtdas aber der Internet-Provi-dermit und nimmt dann diedazugehörige IP-Adressevom Netz. Der Rechner istdann vom Internet getrenntund die Adresse muss erstwieder freigegebenwerden.– Das passiert hierzulandedurchdenProvider.
Für den Betrieb einesCommand and Control Ser-ver wäre Österreich ein zuhohes Risiko, weil es ent-sprechendeGesetze undRe-gulatorien gibt, in anderenLändern wie z. B. in IndienistdaszumTeilnochnichtsoeindeutiggeregelt.Dortkos-tet auch der Command- undControl-Server,denmanzurSteuerung eines Botnetzesbraucht, wenig. Deshalb istdaseine sehrbeliebteStand-ortoption fürKriminelle.
Wie kann man sich als Unter-nehmen oder Institution ei-gentlich gegen solche Angriffewappnen?
Eine Möglichkeit wäreüberspitzt formuliert, mehrBandbreite zu kaufen. AmEnde geht es darum, wermehr Coins in die Bandbrei-te investiert – der AngreiferoderderVerteidiger.
Die bessere Möglichkeitsind aber präventive DDoS-Schutz-Maßnahmen,wiesiez. B. T-Systems anbietet.Hier werden Angriffe auf-grundvonAnomalien schonimAnsatzerkanntundabge-wehrt.
DDoS-Attacke: Der Angreifer überflutet über ein Botnetz infizierterRechner das Opfer mit (sinnlosen) Serveranfragen – bis nichts mehr geht.
Knockout. Er ist derSchreckenderBusiness-Welt:DerDDoS-AngriffkapptdieVerbindungzumInternet.Nichts gehtmehr.
VON RAINER GRÜNWALD
Amazon hat es schon einmalerwischt, Mastercard, Visa,PayPal,Twitter,Netflix,Spoti-fy,Airbnbunddieösterreichi-scheAustroMechana (heute:AKM) auch. Die „DistributedDenialofService(DDoS)“-At-tacke zählt zur Kategorie der„unübersehbaren“ Hacker-Angriffe.
Durch eine gezielt herbei-geführteÜberlastungvonSer-vernoder Internetverbindun-gen wird der Online-Auftrittund die Internet-Kommuni-kationvonUnternehmenundInstitutionenlahmgelegt(De-tails s. Interview).
DieMotivefüreineDDoS-Attacke sind unterschiedlichund reichen von der geplan-ten Schädigung wirtschaftli-cher Konkurrenten über Er-pressungsversuche und poli-
tischen Protest bis zum Cy-berwarzwischenStaaten.
FürdenkonzertiertenAn-griffhunderteroderhundert-tausender Rechner werdenPCsnichtsahnenderUserein-gesetzt. Die Rechner werdenübereingeschleusteMalwareferngesteuert, der Besitzermerktvom„Nebenjob“seinesPCsoderNotebooksnichts.
Nur eine nachlassendeRechenleistungoderwenigerSpeed beim Surfen könnendafürhindeuten,dassderhei-mische Rechner zum Zom-bie-PC und Teil eines Botnet-zesgeworden ist.
DieZahlderweltweit infi-zierten Computer wird aufeinen dreistelligen Millio-nenbetrag geschätzt. DerBotmaster vermietet die vonihm kontrollierten PCs fürverschieden Zwecke, u. a.DDoS-Attacken.
DDoS-Attacke: Wenn die Drähte glühen
Siegfried „Ziggy“ SchauerAdvanced Cyber Defense
T-Systems Austria
Um Angebote zurDurchführung vonDDoS-Attacken zufinden, muss manheutzutage nichteinmal mehr ins
Darknet. Da reichtschon YouTube.
EVERALDOCOELHOANDYELLOWICON
TECHNO Donnerstag
11. April 2019
6
THOMASOLLENDORF
Ein eigenes „Cyber Defense Competence Center“ inWien und 1.500 Sicherheits-Spezialisten rund umdenGlobus
Cyberkriminalität ist für alleUnternehmen eine realeHe-rausforderung. Absolute Si-cherheit gibt es zwar nicht,aber man kann Vorkehrun-gen treffen, um die Risikenzuminimieren:
(Cyber)Security ist in-zwischen zu einer hochspe-zialisierten Materie gewor-den. Viele Großkonzerneaber auch der Mittelstandwollen oder können Unter-nehmenssicherheit nichtmehr zur Gänze „mit Bord-mitteln“ - sprich eigenem IT-Personal - lösen. Sie habenerkannt, dass die erforderli-chen Top-Experten entwe-der zu teuer oder schlichtnichtverfügbar sind.
T-Systems Austria hat inseinem lokalen „Cyber De-fense Competence Center“in Wien mit rund 60 Mit-arbeitern und Mitarbeiter-innenmittlerweile eines derlandesweit größten Teamsan IT-Security-Spezialistenversammelt. Unser Kundebekommt dadurch ein ganz-heitliches Service – in einerQualität,dieeinEinzelunter-nehmen in der Regel selbstnie „schaffen“würde.
Mit dem globalen „Inci-dent Response Service“ ver-fügt T-Systems darüber hi-naus über weltweite Res-sourcen und einen riesigenExperten-Pool, der bei Si-cherheitsvorfällen profes-sionell, zeitnah und effektiveingreifenkann.DasSpezia-listen-Portfolio reicht hiervom IT-SicherheitsexpertenfürdieKoordinationvonVor-falls-Sofortmaßnahmen biszum Forensik-Profi für diegesicherte Beweis-Ermitt-
T-Systems bietet Kunden ein „Rundum-sorglos-Paket“KOMMENTAR
lungbzw.Beweis-Sicherstel-lung (z. B. Woher kam derHacker-Angriff? Was habendie Angreifer im System an-gerichtet?).
International verfügt T-Systemsübermehrals1.500Sicherheits-Spezialistenund investiert selbst jährlicheinen dreistelligen Millio-nenbetrag um das hauseige-ne weltweite Netzwerk derDeutschen Telekom zuschützen. Dadurch besitztunser Expertenteam übereinen gewaltigen und täg-lich aktualisierten Erfah-rungsschatz, um optimaleund maßgeschneiderte Lö-sungen für jedes Unterneh-menanbietenzukönnen.
SOC&SIEM:Wichtige
Security-Bausteine
T-Systems-Dienste wie das„Security Information andEventManagement (SIEM)“oder das „Security Opera-tionsCenter(SOC)“nehmenin der Erkennung und Be-wertung von Sicherheitsvor-fällen eine Schlüsselrolleein. Das SOC überwacht als
eine Art „Cyber-Kontroll-zentrum“ dabei Log Files,„Intrusion Detection“-Syste-me sowie netzwerkbasierteAnomaliekontrollen undschlägt imAnlassfallAlarm.
SoferneinKunde sowohlSOC, als auch „Incident Res-ponse“ von T-Systems nutzt,werden im Alarmfall auto-matisch alle Informationenan den zuständigen Inci-dent-Response-Einsatzleiterübergeben, der mit seinemTeam sofort entsprechendeGegenmaßnahmen einlei-tet. Im Hintergrund arbeitetdas SOC aktiv mit dem Vor-fallreaktions-Team zusam-men und ermöglicht einenpermanenten Informations-austausch über Lageände-rungen sowie eine Kontrolleder Wirksamkeit der getrof-fenen Maßnahmen auf-grundderzurVerfügungste-hendenDaten.
Vorsprungdank
„Threat Intelligence“
Durch die Zugehörigkeit zurDeutschen Telekom habenwiralsEuropasgrößterTele-kommunikationsproviderauch einzigartige Informa-tionen der gegenwärtigenBedrohungslage in SachenIT-Sicherheit.Bei „Threat In-telligence“handeltessichimKernumdieBündelungalleraktuellen Informationenüber Bedrohungen wieSchadprogramme, Soft-ware-Schwachstellen, Si-cherheitslücken oder Täter-gruppen.
Durch die Zusammen-arbeit der verschiedenenSOC-Einheiten der Deut-schen Telekom und ein kon-
zerneigenes CERT (Compu-ter Emergency ResponseTeam), sowie die Koopera-tionen mit externen Part-nern und CERT-Einrichtun-gen (z. B. CERT.at) besitzt T-Systems heute eine einzig-artige „Threat-Intelligence-Plattform“.
Unser Portfolio ist so-wohl für Großkonzerne undOrganisationen, als auch - ineiner standardisierten Ver-sion – für Unternehmen desMittelstands bestens geeig-net. Für mittlere Unterneh-men empfiehlt sich insbe-sondere die Kombination
von T-Systems „Security In-telligence&AnalysisService(SIAS)“ und „Incident Res-ponse“. Der Mittelstands-Kunde bekommt hier ein„Rundum-sorglos-Paket“.
Eingedenk des ungebro-chenen Booms von CloudServices istderGroßteilallerT-Systems-Sicherheits-Dienste – wie beispielsweiseSIAS - auch als Cloud-Dienstverfügbar.
DarüberhinausintegriertT-Systems „Public-Cloud-Plattformen“ wie Azure oderAWS vollinhaltlich in seineSecurityServices.
„Cyber-Marshall“ Herwig Köck,
Head of Security Professional
Services, T-Systems Austria.
T-Systems bietet mit seinem „Incident Response“-Team Soforthilfe bei Hackerangriffen und IT-Security-Notfällen rund um die Uhr.
formatikabsolvent aus demStand. Hier habe ich einenklaren Mehrwert, wenn icheinen Dienstleister engagie-re, für den so etwas „DailyBusiness“ ist.
FürunsgehörteszumAll-tag, gezielte Angriffe zu er-kennen, für uns gehört eszurtagtäglichenArbeitsofortauf IT-„Vorfälle“ (Incidents)zu reagieren, mit denen Fir-menüberfordert sind…
Eine entscheidende Frage fürviele Firmenchefs ist natürlich:Kann ich mir so etwas leisten?
WaswirdenKundenzual-lererst empfehlen, ist eine IT-Sicherheitsbewertung. Eine„Security Assessment“-Ana-lyse kostet bei T-System ab2.700 Euro und man weißdanach dann zumindest sei-nen Status, z. B. ob diebereits bestehenden Securi-ty-Maßnahmen richtig ein-gesetzt und richtig konfigu-riert sind.
Muss man denn alles selber machen?Zugegeben, esgibtbegnadeteSchrauber, die ihreGefährte selbstaufVordermannbringen.Anderefahren indieWerkstatt.Ähnlich istesbeider IT-Sicherheit.
VON RAINER GRÜNWALD
Computer warten, Mäusetauschen, Software-Imagesaufspielen, das Firmen-Netz-werk in Gang halten undDaten sichern – das wareneinmal die Hauptaufgabeneiner firmeneigenen EDV-Abteilung. Doch dann kamdas Internet unddamit völligneue Gefahren in Gestaltvon Hackern, Viren, Wür-mern, Trojanern, Ransom-ware, SpionageprogrammenundDDoS-Attacken.
Damit entstanden inner-halb der IT-Abteilung ganzneue Jobs wie der „Chief In-formation Security Officer“(CISO)undderSecurity-Spe-zialist. Angesichts immerneuer und raffinierterer Be-drohungen aus dem Cyber-space wächst diese EDV-Zu-satzaufgabe so manchemUnternehmen inzwischen fi-nanziell wie organisatorischüber den Kopf (s. Interviewrechts). Die Alternative zumAufbau einer eigenen, gro-ßen Security-Abteilung lau-tet: Man kann sich einen„Sheriff“ für den Cyberspaceauch mieten. Genaugenom-menmietet man nicht einen,sondern ein ganzes Team anSecurity-Experten.
Für Herwig Köck, Headof Security Professional Ser-vices bei T-Systems Austriagehört das Outsourcing vonSecurity-Dienstleistungenzum Kerngeschäft. TECHNObefragte den T-Systems „Cy-ber-Marshall“ (Kurzporträtsiehe Seite 8) was man sichdarunter konkret vorstellenkann:
Sicherheit kann man heutzuta-ge auch mieten. Welche Vortei-le hat das Auslagern von IT-Se-curity für Unternehmen undwie sieht da die Preis-/Leis-tungs-Bilanz aus?Köck:DieKomplexitätdesBe-reichsSecurityerfordertheu-te mehr als einen normalenNetzwerk-Administratoroder IT-Leiter. Dieses Fach-personal muss man erst ein-mal finden – und es kostetrichtig Geld. Einen IT-Foren-siker, einen Ermittler in Sa-chen Cybercrime, muss man- ähnlich einem Spurensi-cher oder Gerichtsmediziner–ständigschulenundtrainie-ren, das kann nicht jeder In-
Security-Trend 2019: „Rent a Sheriff“
S E C U R I T Y G U I D E 2 0 1 9E I N E P R O D U K T I O N D E R M E D I A P R I N T
Thomas MasicekLeiter des Bereichs Cyber
Security, T-Systems Austria
Im „IncidentResponse Service“verfügt T-Systemsüber einen riesigenExperten-Pool, der
bei Sicherheits-vorfällen soforteingreifen kann.
Donnerstag
11. April 2019 TECHNO7
S E C U R I T Y G U I D E 2 0 1 9E I N E P R O D U K T I O N D E R M E D I A P R I N T
Ohne Chipkarte oder Guidekommtmanhiernichteinmalbis zum Aufzug. Zwei bzw.vier Stockwerke unter demErdgeschoß liegt das „Aller-heiligste“ von T-Systems –seinRechenzentrum.DerZu-gang erinnert nicht zufälligan den Tresorraum einerBank: Massive Stahltüren si-chern jeden Trakt und jedenRaum, selbst wenn es Ein-dringlingen gelingen sollte,eineZutrittskartezuentwen-den, kommen sie nicht weit–einigeAbschnittesindnäm-lich durch Code-Eingabe ge-sichert. Spätestens an der„Vereinzelungsschleuse“ istSchluss. Wie im Sicherheits-bereich von Flughäfen ge-langtt man hier nur einzelndurch, das gesamte Areal istzudemvideoüberwacht.
Wer einen der 16 Server-räume betreten will, mussneuerlich ein Stahlschottüberwinden. Zum SchutzvorErdbebensinddieServer-räumeübrigens„statischent-koppelt“ in zwei verschiede-nenStockwerkenmitzweige-
trennten Fundamenten (!)untergebracht.
EineganzeHalle anKühl-aggregatensorgt fürdieTem-perierung der Server-Räu-me, sonst würden die inRacks gestapelten RechnerinKürze „heiß laufen“.
Gas-Löschanlage
undNotstrom
Apropos heiß laufen: EinBrand-Früherkennungssys-tem und eine Argon Gas-Löschanlage ersticken – imwahrsten Sinn des Wortes –jedes Feuer im Keim. Selbstein Stromausfall kann demRechenzentrumnichts anha-ben: Eine ganze Armada vonBatterien überbrückt kurz-fristige Stromunterbrechun-genbisdiedreimächtigen16-Zylinder-Dieselgeneratorenanspringen.
Und falls das Alles nichtshilft: In 10 Kilometer Entfer-nung, in Wien-Floridsdorfsteht ein identischer Zwil-ling des T-Systems-Rechen-zentrums mit gespiegeltenDaten, der im Fall des Fallesdie Arbeit ohne Unterbre-chungübernimmt.
Lokalaugenschein im Datentresor
WE SECURE BUSINESSwww.t-systems.at
TECHNO Donnerstag11. April 2019
8
DIETMARSCHREIBER
UWESTRASSER
tung inFormvonvirtuellenMaschinen ein. Bei „Plat-form as a Service“ stellenwir die Basis-Plattform zurVerfügung, auf der derKunde dann seine Applika-tionen aufsetzen kann. Derhöchste Level ist „Softwareas aService“,wowir sagen,lieber KundeDu kannst dieSoftware verwenden, wirkümmernunsdarunter umalles:Wirkümmernunsumdas Backup, wir kümmernuns darum, dass allessicher ist. Die Security-Features sind hier alle in-klusive.
Für etliche Unternehmen istes hochkritisch, WO ihreDaten und Cloud-Services„materiell“ liegen. Das Ver-trauen in US-amerikanischeoder chinesische Server ist jaeher überschaubar …
Wenn man Cloud-Dienste bei uns bestellt,gehtdas imNormalfall allesüberunsereRechenzentrenin Wien. Einmal imKeller des T-Centers im3. Wiener Gemeindebezirksowie über ein zweites Re-chenzentrum jenseits derDonau.AufKundenwunschsind natürlich auch andereStandortemöglich.
Als „Head of SecurityProfessional Services“ beiT-Systems Austria siehtHerwig Köck die Cloud-Services von T-Systemsauch unter einem Sicher-heitsaspekt.
TECHNO: Unternehmen wieprivate User betrachten dieCloud oft als ihren Airbagpunkto Daten- und Ausfallssi-cherheit. Zurecht?Köck: Was wir bei unserenKunden grundsätzlich se-hen, ist, dass immer mehrVertrauen in die Cloud ge-setzt wird. Was die Daten-und Ausfallssicherheit an-geht – die Fülle an Sicher-heitsmaßnahmen, die wirals T-Systems für unsereCloud ergreifen, kannmansich als private Einzelfirmagarnicht leisten.
Apropos: Welche Cloud-Dienste können Unternehmenbei T-Systems denn aktuellbekommen?
Da gibt es im PrinzipdreiVarianten:„Infrastruc-ture as a Service“, „Plat-form as a Service“ und„SoftwareasaService“.Bei„Infrastructure as a Ser-vice“ kauft der Kunde beiuns einfach Rechenleis-
Mehr Sicherheit als sich eineEinzelfirma leisten kann …
INTERVIEW
Schacher: Nicht mehr mit Updates& Patches herumschlagen.
Rot-weiß-rote Supermacht: Der Weltkonzern Wienerberger baut auf Cloud-Lösungen von T-Systems.
Mehr als einBackup. AuchWeltmarktführerwieWiener-bergeroderinternationaleOrganisationenwieEURO-CONTROLvertrauenheuteaufdieCloud.VON RAINERGRÜNWALD
Auch das beste und sichersteFirmen-Netzwerk ist übli-cherweise nicht vor Elemen-tarereignissen wie Über-schwemmungen, Brand,Blitzschlag oder Ausfall derStromversorgung gefeit.
Ein Beispiel: Ein Gutteilaller von Telekom-Unterneh-men an die EuropäischeAgentur für Netz- und Infor-mationssicherheit (ENISA)gemeldeten Telefon- undInternetausfälle des Jahres2018 hatten natürliche odertechnischeUrsachen.
Gemessen an konventio-neller Firmen-IT gilt dieCloud – je nach Anbieter - alsrecht sichererOrt.DasT-Sys-tems-Rechenzentrum inWien 3 (siehe auch ReportSeite 7) garantiert beispiels-weisegemäß„Tier3“-Spezifi-kation 99,98% Verfügbar-keit. Für Notfälle existiertnoch ein Zwillings-Rechen-zentrum mit aktuell gespie-gelten Daten in 10 KilometerEntfernung in Wien-Florids-dorf.
Wienerberger setztaufT-SystemsCloudAuchderheimischeBaustoff-riese Wienerberger vertrautheute auf Cloud-Lösungenvon T-Systems. Die hochsi-chere GRC-Cloud-Lösung(GRC = Governance, Riskand Compliance) enthältauch ein Datenschutz-Ma-nagement-Tool gemäß derEU Datenschutz Grundver-ordnung (DSGVO). Das istaber nicht alles.
Christoph Schacher, Cor-porate Information SecurityManager bei Wienerberger:
„WeildiegesamteLösungvonT-Systems in der Cloud be-trieben wird, müssen wiruns nicht mit Updates, Pat-ches und sonstigen Revisio-nen herumschlagen. Wir be-kommen das gar nichtmit.“ -Der rot-weiß-rote Weltkon-zern mit rund 200 Produk-tionsstandorten in 30 Län-dern hat schließlich Bessereszu tun als sich um Software-probleme oder Datenschutz-verordnungen zu küm-mern…
Flugsicherheit ausder„Internet-Wolke“WiegroßdasVertrauenindieCloud-Dienste und dieDatensicherheit bei T-Sys-tems ist, zeigt auch der Auf-tragder„EuropäischenOrga-nisation zur Sicherung derLuftfahrt“, EUROCONTROL.Seit dem Sommer 2008 hos-tet T-Systems in Zusammen-arbeit mit Frequentis dieeuropäische FlugdatenbankEAD. EAD liefert über70.000 Benutzern – vom Pri-vatpiloten bis zur Airline –Echtzeit-Daten über denweltweiten Luftraum. Dasreicht von Informationen
über Flughäfen, Landebah-nen, Flugrouten oder Funk-feuerbiszuaktuellenHinder-nissen wie Luftraumsperren,Vogelflug, Vulkanausbrü-chen, Pistensperren oderdemAusfallvonNavigations-hilfen.
Frequentis liefert hier dieKernapplikation von EAD,drei hochsichere Rechen-zentren (zwei von T-Sys-tems,einsvonFrequentis)ga-rantieren den ausfallssiche-ren Betrieb. DirkWhale, Fre-quentis Vice President AIM:„Im Flugverkehr sind geradeDatensicherheit-undVerfüg-barkeit von zentraler Bedeu-tung. So war es Frequentisim Jahr 2008 wichtig, einenverlässlichen Partner zu fin-den, der dies gewährleistet.“
Der Airbag aus der Cloud
S E CUR I T Y GU I D E 20 1 9EINE PRODUKTION DER MEDIAPRINT
Frequentis und T-Systems: Flug-sicherheit aus der Cloud.
T-Systems Security SpezialistHerwig Köck zum heißen Thema„Sicherheit in der Cloud“.
