Im Rahmen einer gemeinsam von Rapid7 mit der US-Botschaft in Wien veranstalteten Security-Informationsveranstaltung zum Thema „Mobilising Threat Intelligence“ hielten die beiden Rapid7-Securityexperten Jaya Baloo (CSO, Chief Security Officer EMEA) und Raj Samani (SVP, Chief Scientist) aufrüttelnde Vorträge. ITWELT.at hat im Anschluss Jaya Baloo zu aktuellen Sicherheitsbedrohungen interviewt. [...]
Als IT-Security-Expertin mit über 20 Jahren Erfahrung im Bereich Network-Security, weiß Jaya Baloo genau, wovon sie spricht. Sie leitet als Chief Security Officer (CSO) bei Rapid7 die Weiterentwicklung des internen Sicherheitsprogramms des Unternehmens, ist laufend mit Kunden und der Security-Community in Kontakt und arbeitet mit allen Rapid7-Teams zusammen, um Best Practices aufzeigen zu können. Auch bevor sie zu Rapid7 kam, war sie bereits in leitender Funktion als CISO bei Avast und bei KPN, dem größten Telekommunikationsanbieter in den Niederlanden, tätig. Wichtig ist ihr, das Wissen weiterzugeben, weswegen sie seit 2017 auch an der Singularity University unterrichtet.
Zudem berät Baloo das National Cyber Security Centre der Niederlande, PQCrypto und EU Quantum Flagship’s Strategic Advisory Board. Auch ist sie Mitglied des Prüfungsausschusses des Cybersicherheitsfonds TIIN Capital und Vorstandsmitglied des niederländischen Rundfunks (NOS).
Security ist in der heutigen Informationstechnologie ein sehr wichtiges Thema. Trotz aller Bestrebungen Unternehmen abzusichern, gelingen doch immer wieder Cyberattacken. Werden wir jemals sicher sein?
Die Frage, die sich jeder CISO stellen muss, ist: Mache ich genug? Es reicht nicht, sich über einen Mangel an Ressourcen und dergleichen zu beklagen. Sowohl in Europa als auch in den Vereinigten Staaten besteht ein allgemeiner Konsens, dass wir mehr für die Informationssicherheit tun müssen. So hat z. B. die ENISA (European Union Agency for Cybersecurity) Unternehmen in Europa vorgeschrieben, dass sie ab Kenntnis einer Sicherheitslücke diese innerhalb von 24 Stunden an die ENISA melden müssen. Ich halte das für katastrophal, bedeutet es doch, dass Informationen über Sicherheitslücken in Umlauf gebracht werden, bevor diese behoben werden können. Warum sollte man irgendwo einen zentralen Vorrat mit allen Informationen über Schwachstellen in allen Produkten anlegen, wenn wir wissen, dass die Angreifer nur nach einer Möglichkeit suchen, diese Zero-Day-Schwachstellen und Exploits auszunutzen.
In den Vereinigten Staaten gibt es wiederum eine Art Haftungsperspektive für Chief Information Security Officers. Ich glaube, dass dies auch nicht der richtige Weg ist, weil es zu weniger Transparenz in den Unternehmen geführt hat. Und wir wollen ganz im Gegenteil, dass die Unternehmen uns mitteilen, wann und wie sie gehackt wurden, damit wir voneinander lernen können, um zu verhindern, dass so etwas wieder passiert. Wenn sie aber nichts sagen, weil sie Angst haben, von ihren Kunden und der SEC verklagt zu werden und als CISO sogar mit Gefängnistrafen bedroht sind, dann wird das eher nicht passieren.
Die Regulierungsbehörden von regulierten Branchen wie Banken, Energiesektor, Telekommunikation verfolgen die Idee der Sorgfaltspflicht gibt, die im Grunde bedeutet, dass diese regulierten Branchen immer beweisen müssen, dass sie alles tun, um die nötige Sicherheit zu gewährleisten. Auch das führt tendenziell eher zu einem Compliance-Mangel als zu höherer Sicherheit.
Sie wollen, dass Menschen, Unternehmen und Länder im Sicherheitsbereich zusammenarbeiten und Informationen austauschen. Doch schon im Fall der USA und der EU sehen wir, dass es an Vertrauen mangelt, Beispiel Privacy Shield. Wie soll das gehen?
Nein, ich glaube, da besteht ein Unterschied, wenn es speziell um Privacy Shield und auch um Initiativen für nationale und staatliche Clouds geht. Es ist ganz einfach. Unternehmen müssen sich entscheiden: Möchte ich in Europa Geschäfte machen? Und wenn die Antwort ja ist, dann muss ich sicherstellen, dass meine Produkte keine Informationen über europäische Bürger oder Unternehmen sammeln und an irgendwen weitergeben. Es muss lokale Instanzen geben. Das sind Entscheidungen, die die Unternehmen je nach Markt und Kunden treffen. Aber es stimmt, dass wir nicht viel Vertrauen haben, und es stimmt, dass die Zusammenarbeit zwischen Europa und den USA nur besser werden kann. Und dabei geht es nicht einmal so sehr um den Schutz der Privatsphäre, sondern um alle Bereiche der Innovation. Ich persönlich glaube, dass wir Partner (die USA und die EU, Anm.) sind und uns wie Partner verhalten sollten. Das ist meine ganz persönliche Überzeugung, dass wir mehr Zusammenarbeit brauchen, nicht weniger.
Es gibt auch ein Sicherheitsproblem die KI betreffend, Stichwort „prompt injection“. Damit versucht man, die Trainingsdaten zu manipulieren oder das Grounding der Daten zu verändern. Was ist Ihre Meinung dazu?
Das ist ein unglaublich herausforderndes Gebiet. Ich bin ein großer Fan von KI, weil ich glaube, dass wir mit unserem Gehirn an eine gewisse Grenze stoßen, um die schiere Menge an Wissen zu speichern und dann die Verbindungen zwischen verschiedenen Informationen herzustellen. Hier kann KI helfen. Ich selbst benutze eine bezahlte Lizenz von ChatGPT, weil die Möglichkeiten sehr beeindruckend sind. Ich denke jedoch, dass wir erkennen müssen, dass nicht nur die prompt injection eine Bedrohung darstellt, sondern auch die sogenannte Halluzination. Die KI versucht, diese verschiedenen Informationen miteinander zu verbinden. Die prompt injection ist keine Bedrohung für Ihr LLM (Large Language Model, Anm.), das Sie vielleicht darauf trainiert haben, Gutes zu tun, und das jetzt plötzlich Schlechtes tut, sondern wegen der Art und Weise, wie Sie Ihre Prompts erstellt haben. Das ist die eine Sache.
Die andere Bedrohung, die mir Sorgen bereitet, sind so genannte Halluzinationen, bei denen die Informationen, die Sie erhalten, grundlegend falsch sind, Informationen, die wir für die Entscheidungsfindung oder als Wissensgrundlage verwenden. Das macht mir wirklich Sorgen. Hinzu kommt die Möglichkeit von Deepfakes bei Phishing-Versuchen – das ist beängstigend. Insbesonders in einem Wahljahr werden wir gefälschte Informationen sehen, die sehr gut ausgearbeitet sind und nicht zu 100 Prozent der Wahrheit entsprechen. Hier können Cybersicherheitsfachleute einen sehr bedeutenden Einfluss auf die Erkennung und Unterscheidung von Fake und Wahrheit haben. Doch auch KI kann hier helfen, von KI erstellte Scams zu erkennen. Mein früheres Unternehmen, Avast, hat ein auf KI basierendes Tool zur Betrugserkennung entwickelt. Im Grunde ist es eine Art Wettrennen zwischen dem Erstellen von Deepfakes und dem Aufspüren dieser Betrügereien.
Hier spielt X eine große Rolle, da dort versucht wird, die Meinung zu beeinflussen, insbesondere bei bevorstehenden Wahlen. Es geht dabei nicht nur um das Aufspüren der Bots auf X, die Falschmeldungen verbreiten, sondern auch um das Auffinden der Konten und der Verbreitungsmethoden für diese Falschmeldungen. Früher gab es das Sicherheitstool Maltego (gibt es noch immer, Anm.), das in der Lage war, diese Beziehungen herzustellen – es verglich, welches Konto mit welchem Konto kommuniziert, und fand so heraus wie diese Informationen verbreitet werden. Diese Herausforderung haben Sicherheitsunternehmen angenommen und ihre Arbeit merkbar verbessert.
Ich glaube, dass KI eine zweischneidige Sache ist – für Optimierungsvorhaben und im geschäftlichen Einsatz ist sie großartig. Aber was Demokratie, Fake News usw. angeht, ist sie eine große Gefahr.
Dem stimme ich voll und ganz zu, und deshalb sage ich, dass wir in der Cybersicherheitsbranche die bedeutende Aufgabe haben, die Lügen von der Wahrheit zu trennen.
Sie forschen und arbeiten auch im Bereich des Quantencomputing. Was wichtig ist so genanntne quantum-ready Verschlüsselung?
Ich bin ein großer Befürworter von Quantum-ready-Algorithmen, aber wenn man einen Hammer hat, sieht in der Informationssicherheit manchmal alles aus wie ein Nagel. Ich möchte die Gefahr des Quantencomputer nicht kleinreden, aber auch nicht überbewerten. Ehrlich gesagt, wenn Sie ausschließlich ruhende Daten haben, d.h. wenn es sich um ein verschlüsseltes Backup handelt und die Verschlüsselung nur auf das Backup angewendet wird, es sich also nicht um bewegte Daten handelt, dann hat Post-Quanten-Sicherheit nicht oberste Priorität. Sie können eine symmetrische Verschlüsselung für ruhende Daten verwenden!
Bei der Prioritätensetzung sollten in Bewegung befindlichen Daten im Fokus sein. Hier geht es um asymmetrische Verschlüsselung. Symmetrisch bedeutet, dass man denselben Schlüssel zum Ver- und Entschlüsseln hat, und asymmetrisch bezeichnet jene Variante (Publi-Key-Kryptographie), bei der man verschiedene Schlüssel verwendet. Die Kommunikation mit unserer Bank oder über das Internet erfolgt asymmetrisch. Diese Art Verschlüsselungen kann ein Quantencomputer potentiell leicht entschlüsseln, auch wenn das mit unseren derzeitigen Quantenrechner die nächsten Jahre noch nicht möglich ist. Daher ist es zunächst wichtig, dass wir Post-Quanten-Algorithmen prioritär für die Kommunikation im Internet und für die Kommunikation von Daten in Bewegung verwenden. Also bewegte Daten: Post-Quanten-Algorithmen. Ruhende Daten: Letztendlich auch Post-Quanten-Algorithmen, aber nicht sofort. Mit einem sehr langen symmetrischen Verschlüsselungsalgorithmus für ruhende Daten kommt man auch mit einem Quantencomputer zurecht. Wichtig ist: Bei Informationssicherheit geht es nicht um perfekte Sicherheit. Es geht darum, dass die Kosten für die Sicherheit höher sind, als der Angreifer vernünftigerweise bezahlen kann. Wenn man es dem Angreifer also nur ein bisschen komplizierter macht, hat man einen guten Job gemacht.
Könnten Sie einen kleinen Ausblick auf die Zukunft oder einen Aufruf zum Handeln geben. Was würden Sie empfehlen?
Mich beunruhigt die Zeit, die wir benötigen, um einen Angreifer in einem Netzwerk zu entdecken, nämlich durchschnittlich 212 Tage. Immerhin ist das schon besser als noch vor einigen Jahren, als diese Zahl noch bei 280 Tagen lag. Ein weiteres Problem in der Cybersicherheitsbranche ist, dass wir weltweit nicht die Fachleute finden, die wir brauchen. Dennoch will jedes Unternehmen sein eigenes SOC, sein eigenes Red Team und dergleichen mehr haben. Woher sollen diese Leute kommen?
Der öffentliche Sektor ist völlig unterbesetzt. Verwaltung und öffentliche Einrichtungen finden nicht genügend qualifizierte Fachleute für Cybersicherheit. Sollten wir in Anbetracht des Fachkräftemangels und der Tatsache, dass der Angreifer im Vorteil ist, weil wir so lange brauchen, um einen Angriff zu entdecken, nicht anders vorgehen? Sollten wir nicht mehr kooperieren, mehr teilen, uns auf unsere Stärken konzentrieren anstatt zu versuchen, alles selbst zu machen?
Ich glaube, dass es darauf ankommt, zusammenzuarbeiten und hier entsprechende Partner zu finden, sei es das nationale Cybersicherheitszentrum, Europol oder die EU CER (Critical Entities Resilience Directive) oder wer auch immer.
Ich weiß, es ist langweilig, über Schwachstellen und Patches zu reden, aber das Problem ist, dass jedes Mal, wenn Microsoft oder Cisco einen Patch herausgeben, ein paar Tage bis ein paar Stunden vergehen, bis ein Exploit gegen diesen Patch gefunden ist. Früher brauchte es Wochen und Monate, jetzt dauert es Tage und Stunden, bis ein Exploit gegen einen Patch entwickelt ist. Und während die Schwachstelle im Umlauf ist, gibt es keinen Patch. Wenn wir in diesen Bereichen nicht besser werden, werden die Angreifer weiterhin im Vorteil sein.
Be the first to comment