Sicherheit
15.11.2018
Im Gespräch mit CTO Stefan Vollmer
1. Teil: „TÜV SÜD als neutrale Instanz der IT-Sicherheit“

TÜV SÜD als neutrale Instanz der IT-Sicherheit

TÜV SÜDTÜV SÜDTÜV SÜD
multitel / Shutterstock.com
Die TÜV SÜD Sec-IT will sich als unabhängiger Experte in der Cyber-Sicherheit positionieren. CTO Stefan Vollmer erläutert im Gespräch die strategische Ausrichtung der Business Unit und beschreibt, wie auch Mittelständler Threat Intelligence vernünftig einsetzen.
Der TÜV SÜD ist vielen als Sicherheitsexperte für den Automobilbereich bekannt. Dass aber auch Cyber Security zu den Aufgabenfeldern des Unternehmens zählen, wissen nur wenige. Das will nun die neu aufgestellte Business Unit TÜV SÜD Sec-IT ändern. com! professional spricht mit CTO Stefan Vollmer über die Rolle des Unternehmens in der IT-Sicherheit und darüber, wie auch Mittelständler von Threat Intelligence profitieren können.
com! professional: Herr Vollmer, auf der it-sa haben Sie in einem Vortrag behandelt, wie der effiziente Einsatz von Threat Intelligence in der Praxis aussieht. Was raten Sie Unternehmen bei der Absicherung ihrer IT und welche Rolle spielt TÜV SÜD dabei?

Stefan Vollmer: Grundsätzlich liegt der Fokus von TÜV SÜD auf den KMUs, weil das für uns der größte Markt mit den meisten Kunden ist. Wir haben rund 100.000 mittelständische Unternehmen als Kunden. TÜV SÜD gilt vielen als neutraler Experte für die Sicherheit von Technik und Mensch. Das Vertrauen in unsere Expertise übertragen wir nun auf den Bereich Cyber Security. Wir sind also kein Reseller von Threat Intelligence wie CrowdStrike und dergleichen, sondern eine Zwischeninstanz, ein unabhängiger Berater. Lösungen, die wir als notwendig für unsere Kunden erachten, modifizieren oder entwickeln wir neu und brechen diese auf Kundenrelevanz herab. Damit entfällt für den Kunden der Analyseaufwand. Es müssen keine Informationen qualifiziert werden, es entfällt ebenso die Diagnose von False Positives. Die gesamte Qualifizierung und Auswertung übernehmen wir..

  • Stefan Vollmer ist Chief Technology Officer (CTO) der TÜV SÜD Sec-IT.
    Quelle:
    TÜV SÜD Sec-IT
Im Fokus steht dabei, ein möglichst relevantes Angebot für den Kunden bereitzustellen. Das hängt wesentlich davon ab, aus welcher Branche das Unternehmen stammt, wie viele Mitarbeiter beschäftigt sind und wo auf dem Globus die Standorte verteilt sind. Threat Intelligence bietet hier die Möglichkeit, Branchen- und Unternehmensspezifisch die Gefahren auszumachen, die auch am ehesten die jeweilige Firma betreffen. Weitere Kenngrößen zur Unterscheidung sind etwa die eingesetzten Software-Lösungen, welche industriellen Kontrollsysteme kommen zum Einsatz, usw.

Basierend auf diesen Informationen machen wir das Thema Threat Intelligence dann auch für Mittelständler verfügbar, was es bislang noch nicht ist. Der Mittelstand bekommt Threat Intelligence zwar oft mit hinzuverkauft, was aber nicht immer sinnvoll ist. So kann Threat Intelligence zwar mittlerweile Schutz vor jeder "Wald und Wiesen"-Schadsoftware bieten, aber diese Schädlinge werden ebenfalls von herkömmlichen Virenscannern abgedeckt.

Trotzdem wird Threat Intelligence oft als Zusatzschutz mit anderen Sicherheitslösungen verkauft, obwohl die Kunden nicht viel damit anfangen können. Durch diese Vorgehensweise kommt es zu Hunderten von Fehlalarmen, die den Kunden verunsichern und damit auch dessen Sicherheit gefährden, da kein vernünftiges Monitoring mehr möglich ist.

com! professional: Besteht im Mittelstand also der größte Bedarf für Sicherheitslösungen wie Threat Intelligence?

Vollmer: Ja, da beispielsweise die großen DAX-Konzerne schon deutlich weiter in der Entwicklung in Bezug auf Cyber Security sind. Diese haben einfach die Kapazitäten und Möglichkeiten ein eigenes SOC (Security Operations Center) zu betreiben. Das können mittelständische Unternehmen sich nicht leisten, da ein SOC-Betrieb unendliche teuer ist. Ich habe zuvor im SOC bei Airbus gearbeitet und eine solche Abteilung können sich wirklich nur die Top-DAX-Konzerne leisten.

com! professional: Bis zu welcher Unternehmensgröße hinab lohnt sich Threat Intelligence dann überhaupt?

Vollmer: Bei kleineren Mittelständlern reichen auch die “normalen” Sicherheitslösungen aus. Der Fokus  von TÜV SÜD reicht vom Mittelstand bis größeren Mittelstand. Bei Threat Intelligence muss zudem immer beachtet werden, ob es beim Kunden überhaupt Informationen gibt, die ich kategorisieren kann? Sobald dies nicht der Fall ist, bedarf es auch keiner Threat Intelligence zur Absicherung.
2. Teil: „Diese Gefahren drohen KMUs “

Diese Gefahren drohen KMUs

com! professional: Wie schätzen Sie die allgemeine Bedrohungslage für KMUs ein? Welche Angriffsmuster gibt es vermehrt zu verzeichnen?

Vollmer: Diese Frage kann man so gar nicht genau beantworten. Allerdings lassen sich allgemeine Trends ausmachen, auf die sich sowohl Angreifer als auch Unternehmen fokussieren. Da ist zum Beispiel die OT-Security (Operational Technology) in der Industrie. Etwa wie sich automatisierte Systeme in Unternehmen angreifen lassen.

Alle anderen bekannten Angriffsmuster und -arten werden stetig weiter bestehen und weiterentwickelt. Pauschale Aussagen lassen sich hier nicht treffen, da die Bedrohungslage maßgeblich vom Unternehmen und der jeweiligen Branche abhängt. So erwarten etwa ein Chemie-Unternehmen, das Stoffe für die Waffenproduktion herstellt, gänzlich andere Bedrohungsszenarien als die Standard-Bedrohungen anderer Mittelständler.

Im Prinzip hängt alles von der Angriffsoberfläche des Unternehmens ab. Wie sieht mein Attack Surface aus? Biete ich eine Angriffsfläche, dann ist dort der Schutzbedarf höher. Entsprechend sind Unternehmen, die ein lukratives Angriffsziel für Hacker darstellen, gefährdeter als Firmen, die weniger interessant sind. Denn Hacker greifen auch nur die Ziele an, die attraktiv für sie sind. Egal, ob das Ziel nun Geld oder Informationen sind.

com! professional: Also werden Angriffe nicht Branchen-weit über die Gießkanne gefahren?

Vollmer: Das gibt es durchaus. Aber man muss hier grundsätzlich unterscheiden zwischen zielgerichteten, teilweise staatlichen Angriffen und herkömmlichem Cybercrime. Im Cybercrime werden beispielsweise weit gestreute Ransomware-Angriffe gefahren, um möglichst hohe Summen zu erpressen. Diese Art von Angriffen sollte meiner Ansicht nach bereits durch Sicherheits-Appliances und Antivirensoftware abgefangen werden. Bei zielgerichteten Angriffen wird eine Abwehr bedeutend schwerer, hier muss man tiefer hineinsehen und hier setzt dann auch Threat Intelligence an.

com! professional: Mit welchen Partnern arbeiten Sie zusammen, um die Dienste bereitzustellen?

Vollmer: Aktuell befinden wir uns im Bereich Threat Intelligence noch im Aufbau, da TÜV SÜD Sec-IT erst im Februar mit einer neuen Führung gestartet ist. Derzeit bauen wir das Team immens auf. Im Februar waren wir noch 30 Leute, jetzt zählen wir schon 60 Mitarbeiter und bis Ende nächsten Jahres ist ein Team mit 80 bis 90 Köpfen geplant.

Für den Bereich Threat Intelligence bin mitunter ich verantwortlich. Hier haben wir etwa ehemalige Mitarbeiter von der Allianz, die dort eben solche Screenings durchgeführt haben. So soll erst einmal ganz genau beurteilt werden, welche Informationen die Anbieter liefern und ob diese auch relevant für unsere Kunden sind. Anhand dieser Kriterien werden dann die Lösungspartner ausgewählt. Im Prinzip geht es dabei darum, eine Masse an Informationen auszuwerten. Denn wir haben die Kapazität für die Auswertung und das ist auch unsere Aufgabe. So arbeitet bei uns etwa ein Machine-Learning-Spezialist, der vorher beim CERN tätig war. Ihn interessiert jede Information, egal ob gut oder schlecht, da er sämtliche Daten zur Beurteilung hinzuziehen kann.

Auf lange Sicht geht es darum, Zugriff auf das komplette Spektrum an Informationen zu erhalten, und das anschließend mit den geeigneten Tools automatisiert auszuwerten.

com! professional: Aber aktuell erfolgt die Zuordnung noch manuell?

Vollmer: Ja, wir sind gerade dabei Pilotprojekte mit Kunden zu starten und dabei fällt ein hoher manueller Aufwand an. Wir müssen erst herausfinden, was das jeweilige Unternehmen eigentlich braucht. Es gibt zwar Lösungsanbieter, die ihre eigene Threat Intelligence verkaufen, aber einen unabhängigen Betrachter dieser Informationen gibt es so noch nicht. Diese Rolle nehmen wir ein.

Anhand dieser Pilotprojekte sollen anschließend die finalen Services aufgebaut werden und dabei werden wir mit verschiedenen Partnern zusammenarbeiten. Eine eigene Threat Intelligence können wir hingegen nicht aufbauen, da TÜV SÜD diese Kapazitäten nicht hat. Die etablierten Player nutzen ein weltweites Sensornetzwerk, da können wir nicht heranreichen. Was wir können ist, die Informationen von einem anderen Standpunkt aus zu betrachten und zu bewerten -  und das ist unsere Aufgabe in diesem Bereich.
3. Teil: „Online-Plattform für IT-Security “

Online-Plattform für IT-Security

com! professional: Und wie ist der Vertrieb der Dienste geplant?

Vollmer: Wir entwickeln eine Online-Plattform über die wir mit Unternehmen direkt in Kontakt treten und beratend zur Seite stehen können. Unternehmen sollen dort ihren digitalen Fingerabdruck erstellen können, um direkt und schnell Zugriff auf maßgeschneiderte Lösungen zu erhalten.

com! professional: Und welche Dienste bietet TÜV SÜD neben Threat Intelligence auf dieser Plattform an?

Vollmer: Wir sind in drei Bereiche aufgeteilt. Datenschutz, Commercial Transaction Security und Industrial Cyber Security. Unter Commercial Transaction Security fällt alles, was mit PCI zu tun hat, also Kreditkartenzahlungen und dergleichen.

Der Bereich Industrial Cyber Security wird gerade ganz neu aufgebaut. Dort ist unter anderem der Kollege Volker Bayer tätig, der zuvor bei der Allianz gearbeitet hat. Dieser Bereich umfasst auch mein Team sowie das traditionelle Pentesting - das derzeit auch mit einer Paketlösung überarbeitet wird.

Und im Datenschutz werden Datenschutz-Audits zu DSGVO/GDPR angeboten. Hier soll künftig eine Datenbank aufgebaut werden, die insgesamt 83 Datenschutz-Regularien weltweit abdeckt. Diese Datenbank können wir wiederum in unsere Scans integrieren, um die Kunden auf Probleme aufmerksam zu machen. Bis Ende des Jahres sollen für alle Dienste Proof of Concepts durchgelaufen sein, um dann die finale Entwicklung anzugehen.

Natürlich wird auch das People Business nie aufgegeben, ohne die Expertise von Sicherheitsexperten im Datenschutz oder Pentesting geht es nicht. Trotzdem können über die Online-Plattform viele Prozesse automatisiert werden und dem Kunden dadurch einen Mehrwert liefern.

com! professional: Irgendwelche abschließenden Worte?

Vollmer: TÜV SÜD hat seit jeher die Rolle des unabhängigen Beraters inne und diese übertragen wir nun auf die Cyber Security. Cyber Security hat eine sehr hohe Relevanz für uns. Aktuell ist es vielen noch nicht bekannt, dass wir im Security Business sind. Seit Beginn 2018 laufen daher erhebliche Investitionen in diese Business Unit. Dies gibt uns die Möglichkeit zu einem schnellen Wachstum, um zeitnah mit den benötigten Lösungen aufwarten zu können.

mehr zum Thema