„Nahezu alle Angriffe der letzten Jahre begannen mit dem Erstzugriff auf ein IT-Netzwerk und weiteten sich dann auf die OT-Umgebung aus.“
David Atch Microsoft Threat Intelligence, Head of IoT/OT Security Research
Expertenprofil: David Atch
Die Sicherheitskarriere von David Atch und sein Weg zu Microsoft sind eher untypisch: „Ich habe bei den israelischen Verteidigungsstreitkräften (IDF) im Bereich Cybersicherheit angefangen, Angriffe abzuwehren und Bedrohungen aufzuspüren. Der Schwerpunkt meiner Arbeit lag auf Incident Response, Forensik und der Interaktion mit industriellen Steuerungssystemen.“
Während seiner Zeit bei den IDF lernte Atch zwei Kollegen kennen, die später CyberX gründeten, ein Unternehmen für industrielle IoT- und OT-Sicherheit. Nach seinem Militärdienst bei den IDF wechselte Atch zu CyberX. „Ganz im Ernst, ich hatte noch nie ein Vorstellungsgespräch. Das Militär lädt nicht zum Vorstellungsgespräch ein, sondern rekrutiert seine Leute. CyberX hat mich rekrutiert und dann wurde das Unternehmen von Microsoft übernommen. Deshalb hatte ich noch nie ein formelles Vorstellungsgespräch. Ich habe nicht einmal einen Lebenslauf.“
„Nahezu alle Angriffe der letzten Jahre begannen mit einem Erstzugriff auf ein IT-Netzwerk und weiteten sich dann auf die OT-Umgebung aus. Die Sicherheit kritischer Infrastrukturen ist eine globale Herausforderung, die nur schwer zu bewältigen ist. Wir müssen innovative Tools und Forschungsansätze entwickeln, um mehr über diese Arten von Angriffen zu erfahren.
Atch beschäftigt sich bei Microsoft hauptsächlich mit Fragen der IoT- und OT-Sicherheit. Dazu gehören die Untersuchung von Protokollen, die Analyse von Schadsoftware, die Erforschung von Sicherheitsrisiken, die Erkennung von Bedrohungen durch Nationalstaaten, die Erstellung von Geräteprofilen, um das Verhalten in Netzwerken nachzuvollziehen, und die Entwicklung von Systemen, die Microsoft-Produkte mit Wissen über IoT anreichern.
„In unserem vernetzten Zeitalter wird erwartet, dass alles miteinander verbunden ist, um ein Echtzeiterlebnis zu bieten, bei dem IT-Software in ein Netzwerk eingebunden ist und OT-Daten in die Cloud fließen können. Microsoft sieht die Zukunft meiner Meinung nach darin, dass alles mit der Cloud verbunden ist. Dies eröffnet Unternehmen neue Möglichkeiten der Datenanalyse, Automatisierung und Effizienz. Die rasant zunehmende Vernetzung dieser Geräte sowie deren unvollständige Inventarisierung und Sichtbarkeit in Unternehmen machen es Angreifern oft leicht“, erklärt Atch.
Der beste Ansatz zur Abwehr von Angreifern, die es auf IT und OT abgesehen haben, sind Zero Trust und Gerätetransparenz. Es ist wichtig zu verstehen, was in einem Netzwerk installiert ist und wie alles miteinander verbunden ist. Ist das Gerät mit dem Internet verbunden? Kommuniziert es mit der Cloud oder können externe Personen darauf zugreifen? Sind Sie im letzteren Fall in der Lage, die Zugriffe von Angreifern zu erkennen? Wie kontrollieren Sie den Zugang von Beschäftigten oder Auftragnehmern, um Anomalien zu erkennen?
Da die Patchverwaltung in manchen Unternehmen nicht möglich oder sehr zeitaufwändig ist und bestimmte Software von der Betreibercommunity nicht unterstützt wird, müssen Sicherheitsrisiken durch andere Maßnahmen entschärft werden. Ein Produktionsunternehmen kann z. B. nicht einfach den Betrieb herunterfahren, um Tests und Patches durchzuführen.
Ich muss ergänzen, dass ich diese Arbeit nicht allein mache. Durch das kompetente Team aus Forschern, Bedrohungsjägern und Abwehrstrategen lerne ich jeden Tag dazu.“