Wir alle sind Zeitreisende: Wir bewegen uns mit dem atemberaubenden Tempo von 86.400 Sekunden pro Tag durchs Leben. Mein Besuch der IT-Security-Messe it-sa 2024 in Nürnberg hingegen glich eher einer Reise in die Vergangenheit: Ich fühlte mich mitunter zurückversetzt auf die CeBITs jener „guten alten Zeit“ vor dem Platzen der E-Business-Blase.
Security liegt im Trend. Wie jene Hannoveraner Jahrmärkte aus der Frühzeit der IT-Branche, so bot die it-sa – zumindest zeitweise – übervolle Gänge, lärmende Standpräsentationen und eigenartig verkleidete Marketing-Lockvögel: diverse Wachleute natürlich, aber mir begegneten auch ein grünes Chamäleon und zwei Cosplay-Menschen, die wohl Raumfahrer darstellen sollten. Oder Aliens in Alu-Schlafanzügen.
Laut dem Veranstalter NürnbergMesse drängten sich 897 Aussteller in den vier Hallen des Security-Markttreibens, umringt von 25.830 Besuchern. Letztere Zahl kann ich bestätigen: Exakt 25.829 blockierten stets trödelnd und/oder palavernd den Weg, sobald ich von einem Messestand zum nächsten Termin hetzte. (Note to self: Künftig mehr Zeit für Ortswechsel zwischen Interviews einplanen!)
Beinahe schien es, als ob man sich heutzutage nicht jederzeit, oft auch interaktiv, über alles online informieren könnte. Und als ob man nicht jegliche benötigte Hard- oder Software „as a Service“ aus einer Cloud ordern könnte, um sie kostenlos zu testen. Der Mensch ist eben nicht nur Online-Shopper, sondern auch Herdentier. Schauen wir also, was die zeitreisenden Aussteller so zu berichten und vorzustellen hatten.
NIS 2 liegt in der Luft
Besonders gut laufen derzeit laut Stefan Strobel, Chef des Security-Beratungshauses Cirosec, Schulungen für Geschäftsführer zur neuen EU-Sicherheitsrichtlinie NIS 2. Knapp 30.000 Unternehmen sind laut dem kommenden NIS-2-Umsetzungs- und Cybersicherheitsverschönerungsgesetz (oder so) betroffen. Deshalb fragen sich viele Unternehmenslenker laut Strobel, wie sich das kommende NIS-2-etc.-Gesetz auf sie auswirken wird.
Das (Un-)Sicherheitsbewusstsein ist durch NIS 2 also schon mal gestärkt. Ein Teilerfolg. Strobel bemängelte, dass man zum Nachweis der NIS-2-Konformität eigentlich eine Zertifizierung brauche – dies sorge für hohen Dokumentationsaufwand und viel Bürokratie.
Eine gute Nachricht: Der Experte zeigte sich im Interview zufrieden, dass die Schläge der Polizeibehörden gegen Cyberkriminelle wie die Ransomware-Gruppierung Lockbit und die für deren Geldwäsche wichtigen Kryptowährungs-Mixer Wirkung zeigen. Auch habe man inzwischen gute Einblicke in die Clanstrukturen der Cybercrime-Szene. Diese werde „durchgewürfelt“, berichtete er, an die Stelle der dezimierten Lockbit-Gruppe träten nun kleinere Ransomware-Gruppierungen.
Dennoch bleibt für die Verteidiger und die Lieferanten passender Hard- und Software noch genug zu tun. Am Cirosec-Stand vertreten waren die Cutting-Edge-Lösungen von BlueVoyant (KI-gestützter SOC-Betrieb), Semperis (Active-Directory-Sicherheit), Serpenteq (SAP-Security) und Ampeg (Attack-Surface-Management).
SD-Karte schützt Maschinen
Ein Highlight meiner kleinen Nürnberger Zeitreise: Secure-Storage-Spezialist Swissbit liefert mit dem Security Upgrade Kit einen Flash-Controller auf einer Micro-SD-Karte mit eingebauter Verschlüsselung und Sicherheitspartition. Laut Swissbit-Fachmann Roland Marx lassen sich dadurch z.B. Maschinensteuerungen, Messstationen etc. mit geschütztem Boot-Code und Update-Mechanismus ausstatten. Was man über den Zustand der Industrie- und IoT-Sicherheit so hört, sollte es dafür einen recht großen Markt geben.
Swissbit hat übrigens seinen Hauptsitz in der Schweiz, produziert aber in Deutschland. So erklärt sich, dass der Hersteller die Schweiz im Namen trägt, aber mit „Made in Germany“ wirbt.
Logischer Aufbau des Security Upgrade Kits von Swissbit.
Bild: Swissbit
Sicherheit aus deutschen Landen
À propos „Made in Germany“: Firewall-Hersteller Genua aus Kirchheim bei München bietet nun zusammen mit Utimaco VS-NfD-konforme Arbeitsplätze. Auch Genuas Virtual Firewall Genugate Virtual 10.7 ist VS-NfD-zertifiziert. Zusammen mit Cloud-Provider Ionos wollen die Kirchheimer sichere Cloud-Services aus deutschen Landen bieten – der Trend geht ja aus Compliance- wie auch politischen Gründen heute zu mehr Regionalität. Genuas neues Secure E-Mail Gateway erkennt laut Herstellerangaben Anomalien und Dinge wie verdächtige Absenderadressen, Links oder Anhänge sofort und soll so Unternehmen zuverlässig vor Spam, Phishing, Viren und Malware schützen.
Hornetsecurity aus Hannover wiederum hat den 365 Multi-Tenant Manager für MSPs (Managed Service Provider) vorgestellt. Die neue Lösung soll den MSPs, die Microsoft-365-Services vermarkten, pro Tenant bis zu 80 Prozent des Zeitaufwands für Onboarding und Verwaltung sparen.
Von MSPs zu MSSPs (Managed Security Service Provider): Thomas Maxeiner von Palo Alto Networks berichtete von einem Trend hin zum Managed SOC (Security Operations Center) und Managed EDR (Endpoint Detection and Response). NIS 2 lässt grüßen, der Fachkräftemangel grüßt freundlich zurück.
Im Kontext von Software zur Unterstützung des SOC-Betriebs – bei den Kalifoniern Cortex XSIAM genannt – gehe es vor allem um die Entlastung der Analysten und damit um Automation, so Maxeiner. Dazu biete Cortex XSIAM über 4.000 KI/ML-gestützte Module.
NIS 2 in der Industrie
Nochmal zurück zu NIS 2 und zur industriellen Produktion: Christoph Schuhwerk, CISO in Residence EMA bei Zscaler, berichtete, dass sich fast alle hiesigen Industrieunternehmen schon seit mindestens einem Jahr mit der neuen (aber immer noch nicht in deutsches Recht gegossenen) EU-Richtlinie NIS 2 auseinandersetzen. Oft kämpfe man aber mit Umsetzungsdefiziten und – das Reizwort war omnipräsent – Fachkräftemangel.
ISO-27001-zertifizierte Organisationen mappen laut Schuhwerk einfach die ISO-Norm auf NIS 2 und schauen, was noch zu tun bleibt. Für viele Unternehmen, insbesondere Mittelständler, sei NIS 2 aber noch ein „Buch mit sieben Siegeln“. Dann trifft sich’s ja, dass ich kürzlich für Security-Insider einen Guide mit zehn Schritten zur NIS-2-Konformität verfasst habe.
Schuhwerk betonte, mit großen Plattformen wie eben der von Zscaler seien schon in wenigen Tagen Fortschritte möglich: Ein Anwenderunternehmen könne zunächst alle Applikationen in eine Gruppe packen und über Zscaler schützen lassen. Das verringere schon mal die Angriffsfläche. Im Anschluss könne das Unternehmen dann für gestaffelte Absicherung sorgen.
Von der Produktion zum Produkt: Bei der Sicherheit vernetzter Fahrzeuge gebe es zu wenig Standardisierung, beklagte Thomas Ernst von Check Point. Jeder Hersteller koche sein eigenes Süppchen. Nicht nur für E-Autos fehlten einheitliche Standards, sondern auch für die Ladeinfrastruktur. Ein Angreifer könne sich „mit relativ niedrigem Aufwand“ an die Autoelektronik herantasten. Es müsse mehr interdisziplinäre Zusammenarbeit für Security by Design geben, monierte Ernst, auch die im IT-Bereich üblichen Penetrationstests müssten sich stärker etablieren.
Deepfakes: KI als Angriffswaffe
Eine schlechte Nachricht: Deepfakes als Angriffswaffe sind inzwischen Realität. Martin Krämer von KnowBe4 berichtete von dem Deepfake-Angriff, den der Security-Awareness-Anbieter aus den USA jüngst auf seinem Blog gemeldet hatte: Ein Nordkoreaner hatte sich mittels gestohlener Identität und Deepfake-Foto als US-Programmierer ausgegeben. Erst als der Mann kurz nach seiner Anstellung Malware auf seinen neuen Firmenrechner lud, flog der Schwindel auf.
Nachdem KnowBe4 diesen Infiltrationsversuch publik gemacht hatte, meldeten sich laut Krämer mehrere Dutzend Unternehmen bei dem Anbieter, die von Ähnlichem berichteten. Es könnte wohl Hunderte solcher Fälle geben, schätzt er.
Vermutet, dass zahlreiche Unternehmen mit Infiltrationsversuchen kämpfen: Security-Awareness-Evangelist Martin Krämer von KnowBe4.
Bild: KnowBe4
Der Experte warnte davor, bei Security-Awareness-Schulungen Anleitungen zur Deepfake-Erkennung zu geben – dies sei „grob fahrlässig“, denn schon heute seien professionell gemachte Deepfakes nicht mehr zu erkennen. Wie gut, dass die Tipps zur Deepfake-Erkennung in meinem neuesten YouTube-Videoclip satirisch gemeint sind (wischt Schweiß von Stirn).
Verschnaufpause. Demnächst erscheint der zweite Teil meines Zeitreiseberichts. Bis dahin werden wir jedoch erst mal ein paar hunderttausend Sekunden in die Zukunft reisen müssen. Aber stellt ruhig schon mal ein bisschen Popcorn bereit für „Back to the Future, Part II“ – demnächst in diesem Lichtspielhaus!
Hat euch dieser Text gefallen? Dann erzählt doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Titelbild: (c) NürnbergMesse – Thomas Geiger
IT Info 2 Go 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.