IT Strategien umsetzen, Technologietrends bewerten & Innovationsmanagement

Der Wunsch nach einer umfassenden und nachhaltigen Integration der Business-IT-Landschaft stellt für viele Organisationen nach wie vor eine echte Herausforderung dar, bietet gleichzeitig aber auch gigantische Potenziale. Im Rahmen seines Vortrags stellt Ernst Tiemeyer ein in der Praxis bewährtes Vorgehensmodell zum Erstellen und Umsetzen einer erfolgreichen Integrationsstrategie vor.

Cloud-Technologien mit modernisierter Anwendungsintegration, IoT, Daten-Virtualisierung sowie B2B-Lieferketten haben zur Konsequenz, dass mittels einer hybriden Integrationsplattform sowohl auf der Entwicklungs- als auch auf der Managementebene neue Möglichkeiten für die IT-Integration genutzt werden müssen. Dies betrifft sowohl die Integration von Applikationen und Daten, aber auch neue Formen wie Prozess-, Partner- sowie Infrastruktur- und Netzwerkintegrationen.  

Enterprise IT-Verantwortliche stehen vor der Herausforderung, im Team eine nachhaltige Integrationsstrategie zu entwickeln und umzusetzen. Insbesondere das Vorliegen einer Business-Strategie sowie von Digitalisierungs-, Cloud-, Daten-, und Servicestrategien bilden dafür eine gute Basis. 

Ein Rahmenkonzept, Handlungsfelder und Roadmaps für eine Integrationsstrategie werden in dem Beitrag ebenso aufgezeigt wie die Implementation bzw. die Governance der Integrationslösungen.

Unternehmen tauschen seit den frühen 1990er Jahren (Stichwort: Electronic Data Interchange – EDI) höchst erfolgreich Daten aus – dies jedoch oft begrenzt auf lineare oder sehr hierarchische Wertschöpfungsketten. Der Einsatz von ein- oder mehrseitigen Plattformen durchbricht jedoch – etwa für Internet of Things (IoT)-Anwendungsfälle — dieses strikte Punkt-zu-Punkt-Kommunikationsmuster (P2P) erstmals. Da diese Daten-Plattformen jedoch einen zentralen vertrauenswürdigen Intermediär voraussetzen, wurden diese Konzepte in den letzten 5-7 Jahren durch dezentralere Konzepte wie Datenräume und Datenökosysteme (bspw. Gaia-X) ergänzt. Vor dem Hintergrund von Praxisbeispielen vermittelt der Vortrag eine tragfähige Begriffsklärung (auch verwandter Begriffe wie Data Hub, Data Mesh u.a.m.), aktuelle IT-Architekturansätze und konkrete Handlungsempfehlungen, wie sich Unternehmen diesen strategischen Optionen nähern bzw. sie umsetzen können.

An einem Kundenbeispiel mit umfangreichem IT-Bedarf,  beleuchten wir die im Projekt gemeinsam mit dem Kunden gesammelten  Erfahrungen.
Wir reflektieren die komplette Prozesskette, von der Anschaffung der Hard-und Software, über Betrieb und Monitoring von Server- und Netzwerk sowie Service Desk, Onsite Support und das Aufsetzen von IT-Prozessen.
Die Transition und der Betrieb aus den Perspektiven eines Kunden und eines Dienstleisters für Managed Services stehen im Fokus.
Schwerpunkte des Vortrages liegen auf dem Mehrwert für das Business in diesem Serviceumfeld, die erkannten“ lessons learned“ und die „best practices“.
Da Sicherheitsanforderungen und Datenschutz mehr denn je wichtig Themen sind, wollen wir auch hierzu neue Informationen und Erfahrungen teilen.

IT-Service-Management erfordert die Messung, Bewertung und Verbesserung von IT-Service-Prozessen. Metriken und KPIs liefern quantifizierbare Informationen über den Status Ihres Services, zeigen Möglichkeiten zur Serviceverbesserung auf und geben Aufschluss über den Fortschritt bei der Erreichung Ihrer Geschäftsziele. Sie möchten die wichtigsten Leistungskennzahlen entdecken, Ihr IT-Team beurteilen oder Einblicke in die Service-Desk-Exzellenz gewinnen? Erfahren Sie es in unserem Vortrag.

• Herausforderung
• Strategischer Einsatz von Salesforce und Herangehensweise
• Ausblick

“Cyber Security by Design” ist ein Gamechanger und reflektiert System-Anforderungen, wie wir sie heute im sicherheitskritischen IoT Umfeld antreffen. Als Grundlage dafür wird «Threat Modelling» als Methodik verwendet. Sie erkennt und analysiert potenzielle Gefahren bei der Entwicklung von komplexen Systemen durch Modellierung. In der Praxis ist diese Analyse oft umfangreich: Es stellt sich die schwierige Frage der Relevanz und Priorisierung der erkannten Schwachstellen. Ebenso sind branchenspezifische Regulatorien und Normen zu erfüllen.

Damit Security im vernetzten IoT Umfeld umsetzbar und in der Folge wirksam wird, muss sie Teil der gesamten Funktionalität werden. Es geht nicht nur um die Analyse potenzieller Schwachstellen einzelner Elemente im Systemmodell, sondern auch um das Erkennen möglicher Angriffspunkte und -pfade. Die Frage ist: Welche Ziele verfolgen Angreifer im System und welche Schritte auf welchem Pfad führen sie dorthin? Letztlich sind diese Pfade der Nerv jedes Systemmodells!

Das AIT Austrian Institute of Technology hat mit «ThreatGet» eine einzigartige Methodik für «Cyber Security by Design» entwickelt. Einerseits überprüft sie Systemmodelle und deren Elemente bei der Entwicklung und erspart damit teure Anpassungen zu einem späteren Zeitpunkt. Die wesentliche Grundlage dafür sind die von der AIT entwickelten Wissensdatenbanken und Gefahrenkataloge. Sie stehen aktuell für die Bereiche Automotive und Industrie zur Verfügung und berücksichtigen auch regulatorische Anforderungen. Andererseits erkennt ThreatGet auch potenzielle Angriffspunkte und -pfade. Jetzt ist es durch die Verbindung und gleichzeitige Visualisierung von Schwachstelle und Angriffspfad in der Systemarchitektur möglich, die Komplexität von Cyber Security zu reduzieren. Davon profitiert das gesamte Ökosystems des Unternehmens, weil Systeme über Organisationsgrenzen hinweg vor Angriff und Angreifer geschützt sind.

Die Daten wurden „sicher“ verschlüsselt durch Ransomware! Warum funktioniert das „Geschäftsmodell“ Ransomware so gut? Warum Lösegeld auch schon „gewinnbringend“ veranlagt wurde und warum Kapital trotzdem besser nicht in Form von Lösegeldzahlungen veranlagt werden sollte.

Im Gegensatz dazu stehen externe Speichermedien wie Festplatten oder USB-Sticks, die extra damit werben sicher zu sein, weil eine AES-Hardwareverschlüsselung implementiert ist. Bei diesen Geräten ist es oftmals möglich die gespeicherten Daten zu entschlüsseln. SySS zeigt die aktuellen Ergebnisse einer Forschungsarbeit anhand eines praktischen Beispiels.

Für Betreiber kritischer Infrastrukturen sind die Security-Anforderungen nicht nur durch die generell steigende Bedrohungslage höher geworden, sondern auch durch gesetzliche Anforderungen und die steigende Digitalisierung.

Aus unserer Sicht lassen sich alle Aufgaben der IT/OT-Security und Informationssicherheit in drei Bereiche zusammenfassen. Diese sind in strategische, offensive und defensive Bereiche gegliedert. Eine Zusammenarbeit dieser Bereiche ist unabdingbar, da sie voneinander abhängig sind und voneinander bzw. miteinander lernen können.

Im defensiven Bereich setzt man hierfür zum Beispiel ein Security Operations Center (SOC) ein. Es hat die Aufgabe, alle IT/OT-Systeme zu überwachen unabhängig von Hard- oder Software, und gegebenenfalls mit Unterstützung von international agierenden Partnern (z.B. AEC). Das SOC ist außerdem in enger Abstimmung mit den anderen beiden Bereichen (strategisch und offensiv).

Eine Kernfrage, die sich uns beim Aufbau des SOC gestellt hat war, wie neue Angriffsmethoden erkannt werden können und man diese testen kann. Gerade bei neuen Zero-Day Schwachstellen ist es wichtig zu überprüfen ob die eigenen Systeme verwundbar sind und das SOC eine Ausnutzung dieser erkennt.

Um diese Frage beantworten zu können, bedarf es interner White-hat Hacker, welche anhand von neuen Angriffstechniken versuchen, in Systeme einzudringen. Sie versuchen öffentlich verfügbare PoCs (Proofs of Concept) auf das Unternehmen und dessen Infrastruktur anzupassen oder eigene zu entwickeln, um Schwachstellen auszunutzen und einer Erkennung durch das SOC zu entgehen.

Durch dieses Vorgehen entsteht eine kontinuierliches Katz- und Maus-Spiel. Ein solches lässt sich auch bei Anti-Viren Programme beobachten. Erste Anti-viren Programme arbeiteten signatur-basiert. Da Angreifer jedoch diese Signaturen umgehen konnten, zum Beispiel durch den 1-Byte Change Trick wo das erste Byte von Shellcode verändert wird, mussten neue Erkennungsmethoden entwickelt werden. Erste Anti-Viren / EDR Software begann über sogenannte Syscall Hooks die Funktionsaufrufe der WinAPI zu überwachen. Da diese Hooks im User Space definiert wurden, war es Angreifern möglich diese bei Programmstart zu entfernen, zum Beispiel indem die WinAPI Module neu in den Speicher geladen werden. Da diese Methode aktuell nicht mehr ausreicht um maliziöses Verhalten zu erkennen, verwenden aktuelle EDRs eine Kombination aus unterschiedlichen Quellen (z.B. Hooks im User-land / Kernel-land, dem Microsoft Etw-Ti Provider) um Funktionsaufrufe überwachen zu können.

Ein Beispiel aus der Praxis ist die Schwachstelle Follina. Hier wurde durch das Red Team ein eigener Proof of Concept entwickelt und getestet, ob der Code auf den Clients des Unternehemens ausgeführt werden kann. Gleichzeigt hat das Red Team Feedback vom Blue-Team bekommen, ob diese Angriffe erkannt wurden. Da zu diesem Zeitpunkt weder das EDR-Tool, noch die NTA (Network Traffic Analysis), und auch nicht die E-Mail-Security Lösung den Angriff erkannt haben, hat das Red-Team gemeinsam mit dem Blue-Team Indicators of Compromise definiert und daraus eine  Hunting Query erstellt. Diese wird regelmäßig ausgeführt und benachrichtigt das Blue-Team, wenn ein neuer Angriffsversuch erkannt wird. Gleichzeitig entwickelt das Blue-Team Gegenmaßnahmen um die Schwachstelle auf den eigenen Systemen zu schließen.

Durch das ständige Testen von neuen Angriffen und der Erkennung dieser kann behauptet werden, dass ein einzelnes IT/OT-Security System zur Erkennung von Angriffen bei weitem nicht ausreicht. Daraus ergibt sich eine Systemlandschaft aus verschiedenen Tools sowohl für das Red-Team als auch für das Blue-Team.

Wichtig hierbei sind nicht die Produkte im Detail sondern die Kombination und Verschneidung der Fähigkeiten dieser Produkte. Wichtig für uns war eine einheitliche Sicht auf alle Security Alerts im Unternehmen. Deswegen war unser primärer Ansatz, alle Informationen in einem Ticket-Tool zu sammeln, um diese gesammelt darstellen zu können.

Die einzelnen Security Tools bilden eine Art Puzzle für das SOC und erkennen unterschiedliche Angriffsvektoren vom OSI Schichtenmodell 2 – 7.