CISO Andreas Schneider im Interview

Wie sich die TX Group vor Cybergefahren schützt

Uhr
von Yannick Chavanne und Übersetzung: René Jaun; jor

Andreas Schneider, CISO der TX Group, spricht am 10. März an den Swiss Cyber Security Days. Im Interview gibt er Einblick in seine Sicherheitsstrategie, erzählt von aktuellen Bedrohungen und von der heftigen DDoS-Attacke auf die Unternehmensgruppe.

Andreas Schneider, CISO der TX Group. (Source: TX Group)
Andreas Schneider, CISO der TX Group. (Source: TX Group)

Wie ist die IT der TX Group organisiert?

Andreas Schneider: Zur TX Group gehören viele Unternehmen, von denen jedes auf unterschiedliche Technologien setzt. Sie alle verfolgten in den letzten Jahren einen "Cloud First"-Ansatz, den wir nun durch eine "Cloud-Only"-Strategie ablösen wollen.

Wie sieht es mit der Cybersecurity aus?

Nach einem grossen Sicherheitsvorfall im Jahr 2016 hat der Konzern beschlossen, mehr in Cybersicherheit zu investieren. Daraufhin wurde ein SOC eingerichtet und eine Sicherheitseinheit war Teil der IT. Inzwischen ist dies nicht mehr der Fall: Ich berichte direkt an ein Mitglied der Geschäftsleitung und bin der Hauptverantwortliche für die IT-Sicherheit der gesamten Gruppe. Allerdings kann ich nicht genau beziffern, wie viele Mitarbeitende ich im Sinne von Vollzeitäquivalenten betreue, da es sich um kleine Teams innerhalb der einzelnen Unternehmen handelt, die sich manchmal nur teilweise der Cybersicherheit widmen. Wir haben auch einen Nearshoring-Entwickler in Belgrad und wir arbeiten mit Drittanbietern zusammen, darunter die Westschweizer Firma SCRT für die Durchführung von Sicherheits-Audits und Bugcrowd für Bug-Bounty-Programme.

Auf welche Ansätze setzen Sie bei der Cyberabwehr heute?

Nach meinem Stellenantritt 2018 haben wir entschieden, das SOC nicht mehr zu nutzen, da es nicht mehr zu unserer Cloud-Strategie passte. Dafür starteten wir eine Entwicklungspartnerschaft mit der israelisch-amerikanischen Firma Cybereason, um eine Lösung zu entwickeln, die als SOC der nächsten Generation bezeichnet werden kann. Zudem nutzen wir ihre Lösung für Endpoint Detection and Response (EDR). Im Gegensatz zu herkömmlichen Antivirenprodukten konzentriert sich diese mehr auf die Erkennung von Verhaltensmustern.

Was ist der Unterschied zu klassischen Sicherheitstools?

Meiner Meinung nach konzentrieren sich herkömmliche SOCs und Sicherheitstools zu sehr auf die Computer der Benutzer und generieren viel zu viele Warnmeldungen. Statt mit Warnungen bezüglich Phishing-E-Mails oder Klicks auf einen verdächtigen Link überschwemmt zu werden, scheint es mir relevanter zu sein, primär über Verbindungsversuche mittels geleakter Zugangsdaten zu informieren. Dieser Ansatz stützt sich auf sichere Identitäts- und Zugriffsverwaltungstechniken, die auf maschinellem Lernen basieren.

Welchen Cyber-Bedrohungen ist Ihre Unternehmensgruppe besonders häufig ausgesetzt?

Als Betreiberin eines Netzwerks aus privaten Medien und digitalen Plattformen in der Schweiz ist die TX Group im digitalen Raum äusserst präsent. Entsprechend gibt es auch viele Angriffsvektoren und wir sind besonders anfällig auf DDoS-Attacken. Ransomware hingegen ist keine echte Bedrohung: Wir haben keine Vorfälle dieser Art erlebt, vor allem deswegen, weil sich die EDR-Technologie in diesem Bereich als effektiver Schutz erweist und wir die Office-Tools von Google denen von Microsoft vorgezogen haben. Durch die Möglichkeit, Office-Dokumente direkt im Browser zu öffnen, wird die Malware-Bedrohung um 80 Prozent reduziert. Wir haben auch BeyondCorp, das Zero-Trust-Framework von Google, implementiert. Dadurch kann sich Ransomware nicht im gesamten Unternehmensnetzwerk ausbreiten und unsere kritischen Geschäftsanwendungen sind geschützt.

Welche Arten von Angriffen fordern Sie besonders heraus?

Website-Hacking. Die Herausforderung ergibt sich aus der grossen Anzahl von Standorten, die wir verwalten, und der Vielfalt der zugrunde liegenden Technologien. Homegate nutzt zum Beispiel AWS und Serverless, während Ricardo die Google Cloud Platform und Kubernetes verwendet – also völlig unterschiedliche Technologie-Stacks. Meine Aufgabe ist es, alle Unternehmen der Gruppe auf den gleichen Reifegrad in Sachen Cybersicherheit zu bringen. Sie alle teilen sich die Kosten für die Cybersicherheit ziemlich gleichmässig. Das Ziel dabei ist es, sie zu ermutigen, Massnahmen zu ergreifen, die als zu kostspielig angesehen werden könnten, wenn sie von jedem Unternehmen separat

verwaltet würden. Eine weitere Herausforderung, die für unsere Branche spezifisch ist, betrifft die Cyber-Überwachung. Es ist selten, aber es kann vorkommen, dass Journalisten überwacht werden, insbesondere von staatlichen Akteuren. Da hierbei jeder Fall einzigartig ist, biete ich eine individuelle Beratung an, um zu erklären, wie man sich schützen kann. Manchmal analysiere ich die Geräte, die ein Journalist benutzt, der glaubt, dass er ausspioniert wird, um mögliche Überwachungswerkzeuge zu finden und zu beseitigen.

An den Swiss Cyber Security Days referieren Sie über eine DDoS-Attacke auf die TX Group, die einen Monat lang dauerte. Können Sie uns ein paar Worte dazu sagen?

Normalerweise müssen wir DDoS-Angriffe abwehren, die etwa drei Tage andauern, daher hat uns dieser Angriff durch seine Dauer überrascht. Zuerst wurde unsere Paywall angegriffen, ein veraltetes On-Demand-System, das für kurze Zeit teilweise betroffen war. Aber sobald die Paywall wieder lief, gingen die Angreifer überraschenderweise zu Attacken auf die meisten unserer Websites über – die Ziele wechselten täglich, und oft wurden mehrere Portale gleichzeitig angegriffen.

Was waren die Folgen des Angriffs?

Glücklicherweise haben wir dank unseres DDoS-Schutzmechanismus die Kontrolle über unsere Dienste behalten. Der Zweck dieser Angriffe war es, einen Dienst offline zu bringen und ein Lösegeld für die Aufhebung der Blockade zu fordern. Letztendlich haben wir jedoch keine Lösegeldforderungen erhalten. Ausserdem waren wir dank unseres Zero-Trust-Frameworks, unserer EDR-Lösung und der bisher implementierten Bug-Bounty-Programme sicher, dass es sich nicht um einen Köder handelte, um von einem anderen Angriff abzulenken, wie es bei DDoS-Attacken oft der Fall ist. Dieser Vorfall ermöglichte es uns auch, blinde Flecken zu identifizieren, wie beispielsweise veraltete und vergessene Websites. So können wir uns noch besser auf einen zukünftigen Angriff dieser Art vorbereiten.

Welches Ihrer aktuellen Projekte ist für Sie am wichtigsten?

Gemeinsam mit unserem Nearshoring-Entwickler arbeiten wir derzeit an einem "Pocket-CISO", wenn Sie den Ausdruck erlauben. Dabei handelt es sich um einen virtuellen Assistenten, der in Verbindung mit Daten aus EDR-, MDM- oder Identitätsmanagement-Lösungen den Mitarbeitenden via Slack personalisierte Empfehlungen geben wird. Wenn beispielsweise jemand die Zwei-Faktor-Authentifizierung per SMS nutzt, empfiehlt der virtuelle Agent nicht nur eine bessere Alternative, sondern erklärt auch, warum das SMS-Verfahren nicht das sicherste ist. Natürlich bieten wir auch gelegentliche Schulungen an, um die Mitarbeitenden zu sensibilisieren. Aber dieser Bot hat den Vorteil, dass er kontinuierlich für Aufmerksamkeit sorgt. Mit diesem Tool kann ich mich noch mehr auf die Sicherheit auf Produktebene konzentrieren, statt auf der Ebene der Client-Workstations. Dies ist das Hauptziel unserer gesamten Cybersicherheitsstrategie.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_209652

Kommentare

« Mehr