ISX 2021 Security Conference Trends, Hypes und Technologien in der IT-Sicherheit

Redakteur: Peter Schmitz

Die IT-Sicherheit lebt von der ständigen Neuerfindung von Technologien. Aber wann wird aus einer Idee ein Trend und wann nur ein Hype? Mit welchen Technologie-Trends müssen sich Security-Teams befassen um fit zu sein für die Cyberbedrohungen der nächsten Jahre? Diese Fragen beantwortet ISX-Keynote-Speaker Stefan Strobel, Gründer der Cirosec im Gespräch mit Security-Insider.

Firmen zum Thema

Unternehmen sollten sich bei der IT-Security nicht von Hypes und Herstellerversprechen treiben lassen, sondern selbst reflektieren, an welchen Stellen sie wie viel Sicherheit brauchen.
Unternehmen sollten sich bei der IT-Security nicht von Hypes und Herstellerversprechen treiben lassen, sondern selbst reflektieren, an welchen Stellen sie wie viel Sicherheit brauchen.
(© denisismagilov - stock.adobe.com)

Stefan Strobel ist geschäftsführender Gesellschafter und Gründer der cirosec GmbH.
Stefan Strobel ist geschäftsführender Gesellschafter und Gründer der cirosec GmbH.
(Bild: cirosec)

Security-Insider: Die IT-Sicherheit lebt wie alle Technologie­branchen von der ständigen Weiterentwicklung und Neuerfindung von Trends und Technologien. Wie entstehen denn solche Technologietrends und was sind Ihrer Meinung nach aktuell die wichtigsten Trends & Technologien in der IT-Security?

Strobel: Neue Trends entstehen in der Security aus verschiedenen Situationen oder Entwicklungen heraus. Meistens ist es eine längere Geschichte und erst wenn viele Hersteller mit dem gleichen Buzzword Marketing machen und auch die Fachzeitschriften und Konferenzen das Thema aufgreifen, nimmt man es als Trend wahr.

Wenn sich eine neue Idee oder Technik in der IT verbreitet, kommt dabei die Sicherheit zunächst meistens zu kurz, weil man sich zu sehr auf die Innovation selbst und die Vermarktung konzentriert. Schnell kommen Hacker, die zeigen, wie man die neue Technik angreifen kann. Fachleute entwickeln neue Sicherheitstechniken, um die Angriffe zu verhindern. Startups werden gegründet, neue Produkte kommen auf den Markt und nach einer Weile wird vielleicht ein Trend oder Hype daraus.

► Mehr Infos zur ISX 2021 IT-Security Conference

 

 

So war das mit dem Internet selbst und dem daraus entstandenen Firewall-Markt, mit Web-Applikationen und Applikationssicherheit, mit Smartphones und Mobile Security, und so weiter bis zu Cloud, Containern und den Sicherheitslösungen, die sich heute in diesem Bereich etablieren. Daneben haben wir die Professionalisierung in der Angreiferwelt. Etablierte Sicherheitsmechanismen werden immer wieder in Frage gestellt und ihre Wirksamkeit sinkt unter Umständen im Laufe der Zeit. Dies wiederum fördert neue Entwicklungen und Trends.

Nehmen wir Zero Trust als Beispiel. Momentan ist das wahrscheinlich einer der sichtbarsten Trends und alle Hersteller von Sicherheitsprodukten werben damit, aber die Wurzeln gehen fast 20 Jahre zurück. Damals gab es das Jericho Forum, in dem sich Sicherheitsexperten darüber ausgetauscht haben, dass das Konzept der Perimetersicherheit, also die Idee, dass man ein vertrauenswürdiges internes Netzwerk durch Firewalls von dem bösen externen Netz abschottet kann, keine Zukunft hat. Heute ist das einer der zentralen Gedanken von Zero Trust. Man soll das implizite Vertrauen in einen Netzwerkbereich, ein Firmenendgerät oder sogar in die Accounts von Benutzern abschaffen und stattdessen davon ausgehen, dass alles bereits kompromittiert sein könnte. Entsprechend wird es viel wichtiger, ungewöhnliche Aktivitäten zu erkennen oder nicht nur mit zwei Faktoren zu authentisieren, sondern diese Authentisierung dynamisch und risikobasiert zu machen. Den Begriff Zero Trust hat übrigens John Kindervag von Forrester in den Jahren 2009 und 2010 geprägt, also auch schon vor über 10 Jahren. Aber seit 2020 sogar die amerikanische Standardisierungsbehörde NIST eine Empfehlung zu Zero Trust veröffentlicht hat, ist der Trend offensichtlich und jetzt redet jeder darüber.

Ähnlich ist es mit dem Thema EDR, also Endpoint Detection and Response. Auch hier gibt es schon lange Produkte, die Kompromittierungen auf Endgeräte am Verhalten der Prozesse erkennen und dann auch Funktionen für die Untersuchung und Eindämmung des Vorfalls bieten. Der Bedarf an solchen Lösungen ist immer größer geworden, da die Angreifer immer professioneller geworden sind und die etablierten Schutzmaßnahmen den Einbruch von einem Profi kaum verhindern können. Heute nimmt man es als Trend wahr.

Noch ein Beispiel ist der Begriff SASE, also Secure Access Service Edge. Der Begriff ist neu, aber die Ideen dahinter haben sich aus über viele Jahre entwickelt, indem immer mehr Services in die Cloud gewandert sind.

Teilweise sind einzelne Hersteller und Produkte aktueller Trends schon seit vielen Jahren auf dem Markt und haben sie sich in den letzten Jahren weiterentwickelt. Wenn die Idee des Produktes gut war und der Bedarf wächst, kommt irgendwann ein Hersteller oder auch ein Analyst und erfindet eine griffige Bezeichnung für den Lösungsansatz. Wenn diese Bezeichnung dann auch von anderen Herstellern aufgegriffen wird, wird die Presse aufmerksam, es entsteht eine Dynamik und ein Trend kann zum Hype werden.

Sowohl die Presse als auch die Hersteller haben ja ein Interesse an solchen Hypes. Die Hersteller wollen ihre Produkte vermarkten und wenn man einen Hype bedient, dann wird man in den Fachmagazinen eher genannt. Auch die Herausgeber von Magazinen brauchen interessante Themen, damit die Endkunden das Magazin kaufen. Auch hier sind Hype-Themen natürlich hilfreich. So entwickelt sich manchmal eine Luft-Spirale, die irgendwann wieder im Nichts verschwindet. Oft sind die Trends aber wichtige Fortschritte in der Security.

Security-Insider: Mit Zero Trust geben Sie ein gutes Stichwort, wir hören von vielen mittelständischen Unternehmen immer wieder, dass Zero Trust vielleicht für Konzerne funktioniert aber für den Mittelstand viel zu komplex umzusetzen sei, ist das so?

Strobel: Das muss man differenzierter betrachten. Zero Trust ist ja kein Produkt, das man kaufen kann, sondern eine Menge von Paradigmen beziehungsweise Ideen, an denen man sich orientieren kann. Das kann ein kleines Unternehmen genauso wie ein Konzern. Nehmen wir den Aspekt der Authentisierung. Für Zero Trust soll eine Authentisierung dynamisch und risikobasiert sein. Die meisten Anbieter von Authentisierungs­lösungen haben das in ihren Produkten inzwischen drin. Sogar bei Microsoft kann man ein Modul zu Azure AD dazukaufen, mit dem das Anmeldeverhalten analysiert wird. Wenn ich mich dann gerade eben aus Frankfurt angemeldet habe und wenige Minuten später kommt ein Anmeldeversuch mit meiner ID aus China, dann kann das nicht sein. So schnell kann ich unmöglich nach China gereist sein. Ein modernes risikobasiertes Authentisierungssystem erkennt das und fragt dann einen zusätzlichen Faktor ab oder verbietet die Anmeldung.

Ähnlich ist es mit der Beschränkung der Rechte auf ein Minimum, auf Netzwerkebene beispielsweise durch Mikrosegmentierung. Solche Dinge sind bei kleineren Unternehmen sogar einfacher und schneller umsetzbar als bei großen Konzernen. Keiner kann alle Ideen von Zero Trust mal eben umsetzen. Man kann sich nur schrittweise in die Richtung orientieren.

Security-Insider: Kommen wir mal zu EDR, der Endpoint Detection and Response, das scheint sich ja schon durchaus etabliert zu haben, jetzt kommt XDR, also Extended Detection and Response, ist das wirklich eine echte, sinnvolle Weiterentwicklung oder ist das im weitesten Sinne ein Marketingbegriff?

Strobel: EDR ist inzwischen als sinnvoll oder sogar notwendig akzeptiert, weil man damit eine viel bessere Sichtbarkeit auf die Endgeräte bekommt als mit normalen AV-Lösungen. Ein klassischer Virenscanner benötigt immer noch Signaturen, also Muster, mit denen er bekannte Schadsoftware erkennen kann. Moderne Malware ändert sich aber so schnell, dass Signaturen oft zu spät kommen. Auch die Abfrage von Bewertungen zu Dateien in der Cloud, wie das die meisten AV-Produkte heute machen, ändert nichts daran, dass es für neue Malware zunächst noch keine Bewertung gibt. EDR-Lösungen konzentrieren sich deshalb auf das Verhalten der Prozesse auf dem Endgerät. Wenn dann der Web-Browser nach dem Aufruf einer Seite auf einmal einen neuen Prozess startet und dieser Prozess ein weiteres Programm aus Russland nachlädt, das dann die Autostart-Einstellungen ändert und beginnt Dateien zu verschlüsseln, dann ist das Verhalten recht offensichtlich. EDR-Produkt fokussieren sehr viel stärker auf solche Analysen als andere Produkte und bewertet das Verhalten meist mit KI-Unterstützung. Wenn dann eine Kompromittierung erkannt wurde, dann muss man nicht zum Gerät gehen, sondern kann über die Management-Oberfläche Prozesse auf dem betroffenen System stoppen, das System weiter analysieren oder isolieren oder sogar Änderungen rückgängig machen.

Einige der ersten Anbieter von solchen Produkten sind von größeren Herstellern aufgekauft worden und die haben das Produkt dann in eine Suite integriert, bei der das EDR-Produkt direkt mit anderen Sicherheitsprodukten zum Beispiel im Netzwerk zusammenarbeitet. Um das ganze dann werbewirksam zu vermarkten ist es naheliegend zu behaupten, dass man jetzt mehr macht als nur EDR. So ist Extended Detection and Response, also XDR entstanden. Manche Hersteller nennen das auch Cross Layer Detection and Response. Die Grundidee und die Abkürzung XDR ist aber gleich.

Das jetzt nur als Marketing-Hype abzutun wäre aber falsch, denn die direkte Integration von solchen Lösungen bringt durchaus einen Vorteil für den Kunden. Wenn verschiedene Erkennungsmechanismen direkt vom Hersteller miteinander kombiniert werden, dann hat man dabei sehr viel mehr Kontext, als wenn nur die Events in einem zentralen SIEM-System korreliert werden. Das führt zu einer besseren Erkennung und zu weniger Fehlalarmen. Vom Kostenaspekt ganz zu schweigen, denn SIEM-Lösungen sind nicht nur in der Anschaffung, sondern auch im Betrieb sehr teuer. XDR entwickelt sich hier zu einer interessanten Alternative.

Security-Insider: Den dritten Trend den Sie genannt hatten ist SASE, ein Begriff, der vom Analystenhaus Gartner geprägt wurde und bei dem es manchmal den Eindruck macht, dass Hersteller den spannender finden als ihre Kunden. Aber da in SASE steckt doch eigentlich ziemlich viel sinnvolles, warum kommt das noch nicht bei den Unternehmen an?

Strobel: Der Kern von SASE ist ja, dass man verschiedene Sicherheitsfunktionen beziehungsweise Gateways in die Cloud verschiebt. Wenn man die einschlägigen Anbieter anschaut, dann haben die meist mit einem Web-Security-Gateway und DNS-Security als Cloud-Service angefangen. Dazu kommen dann Features wie CASB, ZTNA als Alternative zum klassischen Remote-Access VPN, eine Cloud-Firewall, WAN-Vernetzung und eventuell sogar Remote-Browser-Isolation. Damit habe ich jetzt noch mehr neue Buzzwords in den Raum geworfen, über die man eigentlich reden sollte, aber irgendwo müssen wir ja auch mal Schluss machen.

Aber um auf SASE zurückzukommen: viele Unternehmen fangen durchaus an, statt einem eigenen Web-Security-Gateway im Unternehmen so einen Service in der Cloud zu nutzen. Spätestens in der Pandemie hat man gelernt, dass es viel praktischer ist, wenn man auch aus dem Homeoffice oder von unterwegs solche Sicherheitsfunktionen in der Cloud nutzen kann und nicht alles erst per VPN ins Unternehmen tunneln muss. Und wenn dann auch noch der Mail-Server und viele andere Unternehmensressourcen sowieso in der Cloud liegen, dann drängt es sich auf, auch über Sicherheitsfeatures in der Cloud nachzudenken. Bisher hat man dafür einfach oft noch nicht das neue Buzzword SASE verwendet.

Security-Insider: Wir haben jetzt viel über aktuelle Trends gesprochen, lässt sich schon absehen, mit welchen Technologietrends wir es in den nächsten Jahren zu tun haben werden? Gibt es da irgendwas, das uns vielleicht überraschen wird?

Strobel: Wenn man den normalen Entwicklungen in der IT und der Security folgt, dann wird man von Security-Trends nicht überrascht sein. Security-Trends sind dann doch meistens nur Dinge, die sich aus der Entwicklung der IT, aus Lösungen für Probleme der Vergangenheit, aus Verbesserungen bestehender Ideen oder aus Änderungen in der Bedrohungslage ergeben.

Wichtig bleibt bei alledem, dass man sich nicht von Hypes und Herstellerversprechen treiben lässt, sondern selbst reflektiert, an welchen Stellen man wie viel Sicherheit braucht. Natürlich ist dafür Kompetenz nötig und eventuell muss man dafür auch auf externe Berater zurückgreifen.

(ID:47612691)