Sind Sie sicher, dass Sie sicher sind?

Mathias Spörr ist Engineering Manager Defense am Standort Innsbruck. Seine Defense-Abteilung umfasst 34 Personen an den Standorten Graz, Wien, Innsbruck, Linz und Klagenfurt. Auch in Australien gibt es Defense-Mitarbeiter:innen, die dank der Zeitverschiebung für Europa den Nachtdienst übernehmen können. So sind NTS-Kunden rund um die Uhr beschützt und in fähigen Händen.

Doch die Branche verändert sich laufend und IT-Security-Expert:innen müssen immer auf dem neuesten Stand sein. Mathias Spörr gibt Einblicke in aktuelle Entwicklungen, Probleme und Lösungen.

NTS: Was sind aktuell die größten Issues in der Cybersecurity?

Mathias Spörr: Cybersecurity ist ein sehr weitläufiges Feld und diese Frage hat viele Antworten. Ein Thema, das uns schon lange verfolgt, ist die Ransomware. Angreifer werden immer kreativer und zielgerichteter. Die meistgenutzten Einfallstore sind Phishing und E-Mails im Allgemeinen, gestohlene Accounts sowie das Erraten von Passwörtern und ungepatchte Schwachstellen in der Unternehmensinfrastruktur.

Neu hinzugekommen sind steigende gesetzliche Vorschriften und Rahmenbedingungen, wie NIS2, die eine Verbesserung der IT-Security erzwingen. Das betrifft uns und unsere Kunden sehr stark. Viele haben nicht die notwendigen Ressourcen oder die Expertise, um solche Vorgaben umzusetzen. Personalmangel ist ein weiterer Punkt, der die IT-Security stark beschäftigt. Kunden finden das notwendige Fachpersonal nicht und benötigen verlässliche Partner wie uns, die sie unterstützen.

Auch die Themen KI und maschinelles Lernen werden im IT-Security-Bereich aktuell gepusht, jeder will auf den Zug aufspringen. KI bietet zwar Möglichkeiten für zielgerichtete Lösungen, aber sie wird nicht von heute auf morgen alle Probleme lösen können. Es wird zumindest in absehbarer Zeit immer noch Menschen brauchen, die die Arbeit der „Maschine“ hinterfragen. KI kann viele Prozesse automatisieren, aber sie ist noch nicht zu 100% zuverlässig und ein Mensch muss trotzdem die Ergebnisse prüfen. Allerdings werden sich nicht nur Blue Teams die Möglichkeiten von KI zunutze machen. Auch Angreifer:innen schauen, wie sie diese neue Technologie in Zukunft am besten einsetzen können.

Wie geht man mit den schnellen Weiterentwicklungen in der Branche um?

Im Defense-Bereich ist es wichtig, dass wir alle Themen ganzheitlich betrachten. Wir wollen nicht nur spezifische Attacken erkennen, sondern die gesamte Vorgehensweise der Angreifer verstehen. Ein Angreifer braucht beispielsweise nur eine Schwachstelle zu finden und wir als Verteidiger wissen nicht, wann und wo die Attacke kommt. Aber wenn er in ein System eingedrungen ist, muss er sich erst mal ausbreiten und die Infrastruktur kennenlernen, um wirklich Schaden anzurichten. Dann können wir als Verteidiger aktiv werden und quasi unseren „Heimvorteil“ nutzen, da der Angreifer Fehler macht oder Spuren hinterlässt, die wir nutzen, um ihn aufzuspüren. Es geht also um Risikoreduktion und darum, das Eindringen so schwierig wie möglich zu machen. Das Ziel ist, für Angreifer so unattraktiv wie möglich zu sein. Und auch wenn der Fuß schon in der Tür ist – das tut natürlich weh –, sollten wir richtig reagieren, um größere Schäden zu verhindern. Eine der größten Schwachstellen im Unternehmen ist bekanntlich immer noch der Mensch. Aber zu viele Sicherheitsmaßnahmen könnten die Produktivität einschränken.

Die Angreifer ändern ständig ihre Methoden und Taktiken und daher müssen wir uns auch dauernd weiterentwickeln und anpassen.

MATHIAS SPÖRR Engineering Manager Defense, NTS Innsbruck

Wie findet man die richtige Balance zwischen Risikominimierung und Benutzerfreundlichkeit?

Balance ist da schon wichtig. Natürlich will man alle Risikofaktoren so gut es geht maschinell abdecken, aber das soll niemanden am Arbeiten hindern und die Benutzerfreundlichkeit darf nicht zu sehr darunter leiden. Menschen tendieren dazu, Abkürzungen zu suchen, was zu einer viel größeren Schwachstelle führen kann. Also muss man es dem User so einfach wie möglich machen, während noch genug Schutz da ist. Vor allem sollte man nicht alle Maßnahmen gleichzeitig einführen, sondern Schritt für Schritt, damit sich die User daran gewöhnen können und zum Beispiel die Nutzung einer Multi-Faktor-Authentifizierung alltäglich wird. Am Anfang war das Anmelden über eine MFA schon eine ziemliche Umstellung, aber heute hinterfragt sie eigentlich niemand mehr. Es gibt jedenfalls technische Maßnahmen, die ausreichend Schutz bieten, ohne dass die Produktivität leidet. Man muss nur das richtige Verhältnis finden und den Usern alles transparent erklären, damit sie die Sinnhaftigkeit der Maßnahmen verstehen.

Und was passiert, wenn es mal wirklich brennt?

Es muss unbedingt einen Incident Response Plan geben. Den muss es auf unserer Seite geben, und beim Kunden. Und es braucht auch einen Desaster Recovery Plan. Und natürlich den richtigen IT-Partner.

Was ist der Unterschied?

Der Incident Response Plan beschreibt die Vorgehensweise bei Sicherheitsvorfällen, damit diese effektiv behoben werden können, wie zum Beispiel, wenn nach einer Attacke alle Daten verschlüsselt sind. Ein Desaster Recovery Plan soll die Kontinuität der Geschäftsprozesse nach einer Dienstunterbrechung gewährleisten. Wenn zum Beispiel alle Server down sind, muss der Betrieb so schnell wie möglich wieder aufgenommen werden können, und das mit so wenig Verlust wie möglich. Diese Pläne helfen, schnell zu reagieren, wenn jemand angreift. Ich weiß, welche Schritte sofort gesetzt werden müssen, um Schäden zu minimieren und die Attacke einzudämmen. Erst dann schaue ich mir an, wie die Angreifer überhaupt hereingekommen sind. Doch im ersten Moment darf man keine Zeit verlieren. Da sind wir aber eh schon ein gut eingespieltes Team und hatten zum Glück noch nie größere Incidents.

Menschen tendieren dazu, Abkürzungen zu suchen, was zu einer viel größeren Schwachstelle führen kann. Also muss man es dem User so einfach wie möglich machen, während noch genug Schutz da ist.

MATHIAS SPÖRR Engineering Manager Defense, NTS Innsbruck

Wie läuft es bei euch im Team?

Bei uns läuft es sehr gut. Wir sind im letzten Jahr sehr stark gewachsen, auf Kundenseite, aber auch im Team. Man merkt wirklich, dass die Kunden das Thema ernster nehmen. Security Operations Center (SOC) Services werden immer öfter in Anspruch genommen. Einerseits, weil Kunden mit ihren internen Ressourcen nicht mehr nachkommen, und andererseits, weil sie gesetzliche Vorgaben erfüllen müssen, wie zum Beispiel die NIS2-Verordnung. Da bietet ein kompetenter IT-Partner einfach mehr Sicherheit und Gewissheit, dass alles so läuft, wie es soll. Es ist geplant, das NTS Defense Team im Laufe des Jahres von 34 auf über 40 Personen aufzustocken, die dann im Zeichen der Security arbeiten. TDS|MDR ist ein neuer Service, der die Konsumation eines Managed SOC Service erleichtern soll. Das Wachstum zwingt uns, auch das Team aufzustocken, um die Services in der gewohnten Qualität liefern zu können.

(Foto: Mathias und sein starkes Defense Team)