Experten-Interview mit Felix "FX" Lindner Sicherheit wird Bequemlichkeit und dem Ego geopfert

Autor / Redakteur: Lothar Lochmaier / Peter Schmitz

Security-Experte Felix "FX Lindner hat sich auf digitale Angriffs-Technologien und die Abwehr von Angriffen spezialisiert und spricht im Vorfeld der IT-Defense 2013 Konferenz mit uns über aktuelle Bedrohungen, grundlegende Schwachstellen und Abwehrmöglichkeiten.

Firma zum Thema

"Der BYOD-Trend entstand, weil wichtige Personen im Unternehmen nicht auf ihr iPhone verzichten wollten. Sicherheit wir immer öfter der Bequemlichkeit und dem einen oder anderen Ego geopfert", meint Felix "FX" Lindner, Gründer von Recurity Labs.
"Der BYOD-Trend entstand, weil wichtige Personen im Unternehmen nicht auf ihr iPhone verzichten wollten. Sicherheit wir immer öfter der Bequemlichkeit und dem einen oder anderen Ego geopfert", meint Felix "FX" Lindner, Gründer von Recurity Labs.
(Bild: Shawn Hempel, Fotolia.com / F. Lindner)

Felix "FX" Lindner ist Gründer sowie technischer und Forschungs-Leiter von Recurity Labs GmbH, einem High-End-Security-Consulting- und Forschungs-Team, das sich auf Code-Analyse und das Design von sicheren Systemen und Protokollen spezialisiert hat. Als namhafter Experte in der Computer-Security-Szene präsentiert er seine Forschungsergebnisse bereits seit über zehn Jahren weltweit auf Konferenzen.

"FX" wird unter anderem Ende Januar auf der IT Defense 2013 in Berlin zum Thema “Hacking Huawei VRP” sprechen. Im Vorfeld zu dieser mit hochkarätigen Referenten besetzten Fachkonferenz unterhielten wir uns mit Felix "FX" Lindner über seine persönlichen Ansichten zur IT-Security, über gravierende Schwachstellen wie Routersysteme, sowie über die passende Strategie, mit der Unternehmen sich der Herausforderung annehmen können, ihre IT gegen vielfältige Bedrohungen zu wappnen.

Security-Insider.de: Verraten Sie uns Ihr berufliches Motto, das Sie jeden Tag aufs Neue antreibt?

Felix "FX" Lindner: Ich habe das Glück, mein Hobby beruflich ausüben zu können. Und da wir bei Recurity Labs hauptsächlich für Hersteller arbeiten, um deren Produkte vor der Markteinführung zu verbessern, ist es einfach einen Antrieb zu finden, da die Ergebnisse unserer Arbeit ja in direkter Weise allen Kunden des Herstellers nutzen. Auch der zweite große Bereich unserer Arbeit, die Forschung an ganzen Themenbereichen neuer Technologien und deren Auswirkung auf das gesamte Sicherheits-Ökosystem eröffnet neue Einsichten, was ein reines Hobby wohl nicht könnte.

Security-Insider.de: Was macht einen guten professionellen Hacker denn aus, welche Fähigkeiten sollte er mitbringen, um sich nicht nur in der rechtlichen Grauzone zu bewegen, sondern auch Unternehmen konkrete Hilfestellungen zu geben, wie diese ihre IT-Abwehr möglichst proaktiv aufstellen können?

Felix "FX" Lindner: Integrität ist wohl die wichtigste Eigenschaft. Es ist oft notwendig, die Interessen verschiedener Parteien gegeneinander abzuwägen, wenn man sich privat mit der Suche nach Schwachstellen beschäftigt. Auch ist es durchaus hilfreich, die Gesetzeslage zu kennen, was denn legal ist und was nicht. Auf der technischen Seite ist das Spektrum des notwendigen Wissens recht breit, aber auch ständige Kommunikation ist gefordert, wenn man wissen will, was auf Seiten der Abwehr denn tatsächlich funktioniert und was nicht.

Security-Insider.de: Welches waren für Sie die größten Bedrohungen in der Datensicherheit und beim Datenschutz im vergangenen Jahr 2012 aus Sicht von Unternehmen?

Felix "FX" Lindner: Die größten Bedrohungen sind meiner Meinung nach derzeit nicht technisch sondern organisatorisch bedingt. Einerseits lagern immer mehr Unternehmen in rasantem Tempo und ohne fundierte Planung ihre Daten in die eine oder andere Cloud aus. Dies ist oft mit der Hoffnung verbunden, dass Security jetzt das ‘Problem anderer Leute’ ist. Die inhärenten Probleme des Datenschutzes, aber auch die aus Verträgen mit Partnerunternehmen und Auftraggebern, werden gern ignoriert. Beispielsweise wird oft übersehen, dass Geheimhaltungsvereinbarungen die Auslagerung der Daten zu einem Drittanbieter gar nicht erlauben.

Security-Insider.de: Gibt es sonst noch elementare Schwachstellen, etwa bei mobilen Anwendungen?

Felix "FX" Lindner: Auf der anderen Seite wird Sicherheit immer öfter der Bequemlichkeit und durchaus auch dem einen oder anderen Ego geopfert. Der BYOD-Trend (Bring Your Own Device) entstand, weil wichtige Personen im Unternehmen nicht auf ihr iPhone verzichten wollten, obwohl es andere, besser zu schützende Infrastrukturen im Unternehmen gab. Nun hat sich dieser Trend verselbständigt und stellt die IT-Security im Unternehmen vor fast unlösbare Herausforderungen.

Security-Insider.de: Was hat sich im Cyberground geändert, wie gehen die Angreifer denn vor, wenn sie Unternehmen angreifen?

Felix "FX" Lindner: Eine fundamentale Änderung der Bedrohungslage ist sicherlich die zunehmende Aktivität von nationalstaatlichen Organisationen. Viele Geheimdienste haben schon seit Jahren auch wirtschaftliche Aufgaben. Diese nehmen sie nun mit Hilfe von gezielten Angriffen war, gegen die sich ein Unternehmen nur schwer schützen kann, da es sich um eine ganz andere Qualität von Angreifer handelt, bei der eine Anti-Viren-Lösung nicht mehr hilft. Die Unternehmen bemerken meist die Angriffe gar nicht.

Security-Insider.de: Wie und nach welchen Kriterien wählt der Cyberground seine Opfer konkret aus?

Felix "FX" Lindner: Während nationalstaatliche Akteure gezielt operieren, gehen die Cyber-Crime Organisationen opportunistisch vor. Sie konzentrieren sich also auf eine Art von Angriff, Betrug oder Diebstahl, mit der sie möglichst viele Opfer erreichen. Das kann man schon an der Zunahme von Schadsoftware für Apple OS X sehen. Solange die Verbreitung noch nicht groß genug war, gab es nahezu keine. Nun, da immer mehr Menschen dieses System benutzen, steigt auch die Anzahl der entsprechenden Schadsoftware im gleichen Maße.

Security-Insider.de: Welche Abwehrmaßnahmen und organisatorische Aufstellung verspricht hier grundsätzlich Erfolg, um sich gegen Eindringlinge zu wappnen, gibt es dazu eine Art von Patentrezept?

Felix "FX" Lindner: Es ist wichtig, die eigene Bedrohungslage zu kennen und sich entsprechend aufzustellen. Die Bedrohungslage ist für jede Organisation unterschiedlich. Analysiert man diese nicht genau genug, tendiert man dazu, in die falschen Dinge zu investieren. Es gibt allerdings das Patentrezept, sich nicht auf Technologie sondern auf Personen zu konzentrieren. Beispielsweise ist die Einstellung einer Geschäftsleitung, dass man ‘da ja jemanden für Security hat’, ein Garant dafür, früher oder später erfolgreich angegriffen zu werden.

Security-Insider.de: Das klingt nicht gerade beruhigend. Blicken wir voraus, was wir dieses Jahr zu erwarten haben: Womit rechnen Sie konkret, wird es großflächige Attacken auf die Verfügbarkeit von Diensten geben? Oder müssen wir eher mit einem neuen Stuxnet rechnen?

Felix "FX" Lindner: Sicherlich müssen wir mit beidem rechnen, da die Akteure vollständig unabhängig voneinander agieren. Nationalstaaten werden sich mehr und mehr gegenseitig mit Schadsoftware angreifen, wobei auch der jeweilige Privatsektor betroffen ist. Auch Aktivisten werden weiterhin das Internet für ihre Zwecke nutzen.

Security-Insider.de: Kürzlich sprach RSA-Chef Art Coviello davon, die IT-Security-Hersteller sollen doch weniger Angst und Panikmache (fear, uncertainty and doubt) betreiben und mehr inhaltliche Aufklärung. Worin sehen Sie die Aufgabe der Produzenten von Soft- und Hardwareprodukten, um die Computersicherheit zu verbessern?

Felix "FX" Lindner: Nun hat RSA selbst eine recht schlechte Ausgangsposition, um so etwas zu fordern. Das Bild des Glashauses und der Steine drängt sich auf. Wie eine Studie der Firma Veracode (pdf) unlängst zeigte, verfehlen Sicherheitsprodukte 74 Prozent der Code-Überprüfungen, mehr als jede andere Art von Software. Entsprechend sollten sich die Produzenten mehr darauf konzentrieren, ihre eigenen Produkte besser zu machen und nicht noch mehr Schwachstellen bereitzustellen, als man ohne ihre Produkte hätte.

Security-Insider.de: Wie können sich denn die Security-Forscher und Hersteller besser miteinander vernetzen, bleibt das ein frommer Wunsch, oder könnte der bessere Austausch von sensiblen Echtzeitinformationen dazu führen, dass sich das allgemeine Sicherheitsniveau zum Wohle des Nutzers verbessern kann?

Felix "FX" Lindner: Eine Entwicklung zur Zeit ist, dass Unternehmen Prämien für gemeldete Schwachstellen zahlen. Ich bin nicht restlos von der Richtigkeit dieser Programme überzeugt, sie geben aber einen Anreiz für Security-Forscher, sich bestimmte Produkte anzusehen und mit dem Hersteller zu reden.

Security-Insider.de: Sie haben bei Kunden sicherlich einen guten Überblick: Welche Rolle kommt denn dem Chief Security Officer im Unternehmen zu, wie wandelt sich seine streategische und operative Rolle, sprich sein Aufgabenspektrum zwischen technischem Abwehrspezialist und Generalist, der zunehmend auch als Manager und "Business enabler" auftreten soll?

Felix "FX" Lindner: Das ist sicherlich der Fall. Die Rolle wird mehr und mehr Risiko-zentrisch und weniger technisch. Auch muss der CISO zunehmend die Frage des ROI beantworten, da Sicherheit fast überall erst einmal nur ein Kostenfaktor ist.

Security-Insider.de: Sie haben sich vor allem mit Schwachstellen im Bereich der IT-Infrastrukturen beschäftigt, insbesondere mit Routern. Gibt es hier große Unterschiede in der Anfälligkeit zwischen den Herstellern, oder gibt es relevante Sicherheitslöcher fast überall?

Felix "FX" Lindner: Es gibt tatsächlich größere Unterschiede zwischen den Herstellern. Dies hat mit unterschiedlichen Entwicklungsprozessen und dem Stellenwert von Produktsicherheit beim Hersteller zu tun.

Security-Insider.de: Wie sieht es mit Huawei aus, der Hersteller hat Sie als Experte eingeladen, um den Schutz der eigenen Produkte zu verbessern. Wo sehen Sie hier konkret die Schwachstellen, die es zu beseitigen gilt, natürlich ohne ganz sensible Tipps zu verrraten?

Felix "FX" Lindner: Huawei leidet unter ihrem rasanten Wachstum und einer Entwicklungskultur, die noch aus den 90ern stammt. Sie bemühen sich nun, dies zu ändern und einen modernen Prozess zu etablieren, müssen sich aber auch mit den vielen Geräten auseinandersetzen, die sie schon verkauft und verbaut haben. Da warten noch einige Herausforderungen auf das Unternehmen.

Security-Insider.de: Wie groß sehen Sie denn das Risiko, dass potentielle Sicherheitslücken bei Routern auch konkret ausgenutzt werden, wie sind hier Ihre Erfahrungen?

Felix "FX" Lindner: Früher war, meinen eigenen empirischen Ergebnissen zufolge, das Risiko sehr gering. Mit der Zunahme professioneller staatlicher Akteure wird sich das wahrscheinlich schnell ändern.

Security-Insider.de: Wie stehen Sie zu den gelegentlich fast schon ideologisch ausgefochtenen Grabenkämpfen, dass Open Source sicherer sei als proprietäre Softwareprodukte der Marke Microsoft & Co.?

Felix "FX" Lindner: Agnostisch. Es gibt auf beiden Seiten Beispiele für besonders gute und besonders schlechte Sicherheit. Microsoft ist allerdings zu einem Vorbild für einen guten Produktentwicklungsprozess mit hohen Anforderungen an die Produktsicherheit geworden.

Security-Insider.de: Anders gefragt: Bleibt "Security by Design", angefangen bei der Softwareentwicklung, bis hin zu den Endprodukten und dem richtigen Nutzerverhalten, ein unrealistisches Fernziel oder ist es doch greifbar?

Felix "FX" Lindner: Einige unserer Kunden streben recht erfolgreich danach und haben langfristig damit die Erfahrung gemacht, dass es sich eben doch auszahlt. Andere Hersteller versuchen zur Zeit, ob man Sicherheits-Probleme nicht als PR-Aufgabe sehen kann, bei der es nur um die Begrenzung des Image-Schadens geht. Ich denke nicht, dass die zweite Strategie Erfolg haben wird.

Security-Insider.de: Mit welchen spannenden Entdeckungen dürfen wir Ihrerseits demnächst sonst noch rechnen, wo setzen Sie mit Ihrem Forschungs- und Beratungsunternehmen Recurity Labs den Schwerpunkt?

Felix "FX" Lindner: Das wird nicht verraten.

Security-Insider.de: Und abschließend noch ein Lesetipp: Welche spannenden Security-Blogs und andere informationsangebote frequentieren Sie im Netz gerne, um sich auf dem Laufenden zu halten (auch dunkle Seiten können hier genannt werden)?

Felix "FX" Lindner: Fangen wir mit einem Negativ-Tipp an: Man sollte Hersteller-Publikationen vermeiden, da die Interessenslage dort nicht immer der objektiven Betrachtung förderlich ist. Ich persönlich bevorzuge die hohe Granularität, die Twitter bietet, da man hier nicht nur Organisationen, sondern auch Individuen gezielt aussuchen kann, deren Meinungen einen interessieren.

(ID:37599960)