5 Erkenntnisse von der Troopers-Konferenz 2019
Die Onapsis Research Labs nahmen Onapsis Research Labs an der Troopers Conference in Heidelberg teil, die nicht nur zu den führenden Cybersicherheitsveranstaltungen in Europa zählt, sondern seit Jahren auch dazu beiträgt, das Bewusstsein für die Absicherung geschäftskritischer Anwendungen zu schärfen, indem sie einen eigenen Themenbereich für SAP-Sicherheit anbietet.
Es war eine geschäftige und ereignisreiche Woche auf der Konferenz, in deren Rahmen unsere Forscher Nahuel Sanchez und Pablo Artuso zu Beginn der Woche unser „SAP Security In-Depth Training“ hielten. Onapsis nimmt schon seit Jahren an der Troopers teil, aber für mich persönlich war es das erste Mal hier, daher möchte ich fünf Sätze, die mir während der Konferenz aufgefallen sind, sowie meine Gedanken dazu mit Ihnen teilen. Los geht’s…
1. „Offensive Sicherheit sollte die defensive Sicherheit leiten.“
Dieser Gedanke wurde von Rodrigo Branco, Chef-Sicherheitsforscher bei Intel, in seiner Eröffnungsrede angesprochen. Es war ein großartiger Auftakt der Veranstaltung, bei dem der erfahrene brasilianische Forscher den Karriereweg eines Forschers im Vergleich zu dem eines InfoSec-Experten analysierte – also denjenigen, der Schwachstellen aufspürt und meldet, im Gegensatz zu demjenigen, der für deren Behebung und Abwehr verantwortlich ist.
Wie sieht die Sichtweise eines Forschers aus, der sich für eine Karriere im Bereich der offensiven Sicherheit entschieden hat? Er unterschätzt in der Regel, wie schwierig es ist, Schwachstellen zu beheben – und zwar nicht nur, indem er einen gemeldeten Proof-of-Concept einzeln patcht, sondern indem er die Sicherheit eines Systems oder einer Anwendung verbessert. Und worin unterscheidet sich das von den InfoSec-Fachleuten auf der defensiven Seite? Diese unterschätzen in der Regel, wie wichtig es ist, offensive Experten zu verstehen und mit ihnen zusammenzuarbeiten.
Wie in Brancos Vortrag erwähnt, lässt sich eine starke defensive Sicherheitsstrategie am besten durch eine offensive Strategie vorantreiben. Dies ist ein wesentlicher Bestandteil unserer Arbeit bei Onapsis. Seit unserer Gründung hat unser Forschungsteam über 600 Sicherheitslücken sowohl bei SAP als auch bei Oracle gemeldet und damit diesen Anbietern geholfen, die Produktsicherheit zu verbessern und ihre Kunden besser zu schützen. Aus Sicht der Informationssicherheit erkennen sie, wie wichtig es ist, Fehlern zuvorzukommen, indem man aktiv nach ihnen sucht. Es ist eine gemeinsame Anstrengung, von der letztendlich alle profitieren.
2. „CVSS kann die Auswirkungen verschleiern.“
Diese Erkenntnis stammt nicht von mir – sie war Teil der Präsentation „Dark Clouds Ahead: Attacking a Cloud Implementation“ der Onapsis-Forscher Nahuel Sanchez und Pablo Artuso, in der sie über mehrere Fehler sprachen, die sie in SAP HANA XSA entdeckt hatten. Das Interessante, was zu dieser Schlussfolgerung führte, ist, dass sie während einer Live-Demonstration zeigten, wie die Nutzung mehrerer Fehler in ein und demselben Angriff – darunter auch solche, die ursprünglich mit niedrigen Werten (wie CVSS v3 5,3/10) bewertet wurden – Teil größerer Angriffe sein kann, deren Folgen denen eines einzelnen Fehlers mit CVSS 10/10 ähneln. CVSS ist ein nützlicher Wert, um Details zu einer Schwachstelle besser zu verstehen, kann jedoch nicht zur vollständigen assess Systemrisikos herangezogen werden, ohne ein tieferes Verständnis des Systems, eine umfassende Bewertung aller Schwachstellen und eine zusätzliche Ebene des geschäftlichen Werts dieses bestimmten Systems zu berücksichtigen.
3. „Der CISO sollte die letztendliche Verantwortung für die SAP-Sicherheit tragen.“
Troopers veranstaltete zudem eine Podiumsdiskussion mit BIZEC, einem gemeinnützigen Zusammenschluss, der sich auf Sicherheitslücken in SAP-Geschäftsanwendungen konzentriert. Mehrere unserer Teammitglieder, darunter ich selbst als Moderator sowie Frederick Weidemann von Virtual Forge (kürzlich von Onapsis übernommen), Martin Gallo und Jörg Schneider-Simon als Diskussionsteilnehmer, diskutierten über „Vergangenheit, Gegenwart und Zukunft der SAP-Sicherheit“.
Zu Beginn der Diskussion sprachen wir über den Stand der SAP-Sicherheit vor zehn Jahren. Damals war sich niemand ganz sicher, wer für die SAP-Cybersicherheit zuständig sein sollte: das SAP-Sicherheitsteam, das sich bis dahin hauptsächlich auf Rollen und die Aufgabentrennung konzentriert hatte, oder das Infosec-Team, dem das Thema ERP-Sicherheit bis dahin noch nicht voll bewusst war. Alle drei Diskussionsteilnehmer waren sich einig, dass dies auch zehn Jahre später in manchen Unternehmen noch immer ein Problem darstellt. SAP-Sicherheitsteams fehlt es manchmal an Cybersicherheitswissen, und umgekehrt fehlt es dem Infosec-Team manchmal an spezifischem Verständnis für SAP. Nach fast einer Stunde Diskussion stellte ich den Podiumsteilnehmern eine letzte Frage, um die Debatte abzuschließen: Obwohl beide Teams Teil der Lösung sein sollten, wer trägt die letztendliche Verantwortung für die SAP-Sicherheit? Die Antwort war einstimmig: Der CISO. Als Hauptverantwortlicher für die Informationssicherheit waren wir uns einig, dass es keinen anderen Verantwortlichen geben könne.
4. „Ein Hacker ohne Ethik ist ein wildes Tier, das auf diese Welt losgelassen wurde.“
Ehrlich gesagt hat das niemand gesagt. Und es war auch nicht meine Idee. Aber es gibt ein berühmtes Zitat von Albert Camus, das lautet:„Ein Mensch ohne Ethik ist ein wildes Tier, das auf diese Welt losgelassen wurde.“ Dieses Zitat kam mir während einer zweistündigen Ethikdiskussion bei Troopers in den Sinn – meiner Meinung nach ein perfektes Thema für eine Cybersicherheitskonferenz. Enno Rey, der Hauptorganisator der Konferenz, hielt einen Vortrag mit dem Titel „Einführung in die praktische Ethik für Sicherheitsexperten“, einen interessanten Überblick über verschiedene praktische Situationen, in denen sie als Fachleute (und als Unternehmen) eine ethische Entscheidung treffen mussten. Ab wann kann ein forensisches Projekt mit der Bespitzelung eines Mitarbeiters verwechselt werden? Würden Sie einen ausbeuterischen POC entwickeln, von dem der Kunde behauptet, er werde nur für interne Zwecke verwendet? Dieses und andere Szenarien wurden ausführlich erläutert und anschließend in einer Podiumsdiskussion mit Rey, Bigezy, Dror-John Roecher und Rodrigo Branco weiter erörtert.
Einer der Diskussionsteilnehmer sagte etwas, das mir sehr gut gefallen hat. Wann immer man eine ethische Entscheidung treffen muss, gilt die 10-80-10-Regel. Ethische Entscheidungen sind in Situationen erforderlich, in denen sich 10 % der Menschen unethisch verhalten würden, 10 % ethisch, aber 80 % Zweifel hätten, wie sie sich verhalten sollen. Wenn die Grenze nicht klar ist, braucht man einen Ethikausschuss, schlug Rey vor. Bei der Cybersicherheit dreht sich alles um Ethik, und ich finde es toll, dass dies während der Konferenz hervorgehoben wurde.
5. „Wenn es funktioniert, hack es.“
Dies ist Teil unseres Onapsis-Manifests. Wenn es funktioniert, hack es. Wir sind stets auf der Suche nach neuen Wegen, um Dinge zu tun, die unserer Community, unseren Kunden und unseren Mitarbeitern helfen. Innovation ist der Schlüssel. Dies ist ein wesentlicher Bestandteil unserer Arbeit, und es ist immer schön zu sehen, dass zwei Tage mit zahlreichen Vorträgen zu so vielen verschiedenen Themen … denselben Geist verkörpern.
Die Troopers 19 war eine großartige Konferenz – und dazu noch international! Wie Enno Rey bei der Eröffnung der Konferenz erwähnte, waren Referenten aus 25 Ländern und Teilnehmer aus 40 Ländern dabei! Cybersicherheit ist eine globale Aufgabe, an der wir gerne mitwirken.
Vielen Dank an alle, die zu unseren Schulungen und Vorträgen gekommen sind, sowie an das Troopers-Team für die Einladung. Wir hoffen, euch auf der Konferenz im nächsten Jahr wiederzusehen!
Über den Autor
