Zu viel Cyber, zu wenig Security!

Die Anzahl der Cyberangriffe, die damit einhergehenden Schäden und die Professionalität der Täter nimmt immer weiter zu. Daher wächst derzeit der Security Markt stärker, als jeder andere. Dennoch oder gerade deshalb tauchen viele Anbieter auf dem Markt auf, die in der Security nichts zu suchen haben. Wie erkennen Sie einen guten Security Dienstleister?

Es gibt zahlreiche Anbieter im Bereich des Security Consultings. Diese können alles, haben lange Listen starker Referenzkunden und sind seit Jahrzehnten am Markt präsent. Die Bewertung und Unterscheidung der Qualität der Arbeit ist dennoch sehr häufig ein Problem, insbesondere für fachfremdes Personal. Selbst die derzeit eingesetzten Administratoren, Netzwerkarchitekten und/ oder IT-Leiter besitzen in der Regel nicht die tiefgreifenden Security-Fachkenntnisse, um zwischen den verschiedenen Security-Dienstleistern abzuwägen oder sogar ein Fachinterview zu führen.

Was tun?

Es gibt unterschiedlichste Kriterien, welche ich Ihnen empfehlen würde, um die Kompetenzen eines Security Dienstleisters zu bewerten. Grundsätzlich gibt es vier Anhaltspunkte, welche Ihnen die Möglichkeit bieten, die Fachkompetenz des potentiellen Dienstleister zu bewerten:

1. Veröffentlichung von Schwachstellen und/ oder Security Tools

Sofern der potentielle Dienstleister spezifische Kompetenzen im Bereich der technischen Security besitzt, hat dieser in der Regel ein Interesse daran seine Reputation in der Security Community zu erhöhen oder allgemein idealistisch die Informationssicherheit aller Systeme zu erhöhen. Hierfür gibt es zwei weit verbreitete und anerkannte Möglichkeiten: Die Veröffentlichung von Sicherheitslücken oder Tools zur Erhöhung der Security eines Systems.

Dienstleiter können bisher unbekannte Schwachstellen detektieren und veröffentlichen (in der Regel nach der Information an den Hersteller) und hierfür sogenannte CVEs beantragen. Dies steht für Common Vulnerabilities and Exposures, einem Industriestandard für Schwachstellen. Der Dienstleister erhält diese, wenn er eine valide Sicherheitslücke an die MITRE Coporation übermittelt, ein amerikanisches Forschungsunternehmen, das für verschiedene Bundesbehörden, Gerichte und Bundesministerien in den USA tätig ist. Sofern der Antrag valide ist, wird eine einzigartige CVE-ID generiert, welche die Schwachstellen öffentlich eindeutig katalogisiert und bewertet.

Kann Ihr potentieller Anbieter CVEs/ Schwachstellen vorweisen und sind diese sogar in einer weit verbreiteten Software im Einsatz?

Während der Bearbeitung spannender Projekte wird man als Dienstleister häufig vor Probleme gestellt, für die es noch keine automatisierte oder zumindest teil-automatisierte Lösung gibt. Daher entwickeln Dienstleister häufig kleine Tools/ Scripte, um gewisse Aufgaben zu erleichtern. Häufig werden diese dann über github oder gitlab der Community (in abgeschwächter Form) zur Verfügung gestellt. Dies hat neben den oben genannten Zielen noch einen weiteren Vorteil,: Die Open-Source-Projekte können von der gesamten Community (sofern ein tatsächlich Mehrwert generiert wird) weiterentwickelt werden.

Entwickelt der potentielle Dienstleister Tools zur Optimierung der Security für die Community und werden diese sogar gut bewertet?

2. Blogs der Anbieter

Hier kann von Fachbeiträgen zu aktuellen Security-Themen, über Anleitungen für Hacking bis hin zu der Entwicklung oder Verschleierung von Malware alles Mögliche festgehalten sein. Manchmal kann man anhand der Blogbeiträge einen Rückschluss auf die Tätigkeiten aus vergangenen Projekten schließen.
Wenn beispielsweise ein Blogbeitrag das Injizieren einer Malware in eine gängige Software beschreibt, ist es denkbar, dass der Dienstleister genau dies für einen Penetrationstest bei seinem Kunden genutzt hat.

Lesen Sie einige Beiträge des potentiellen Dienstleisters, um eine Idee für dessen technischen Fähigkeiten zu erlangen. Beschreibt der Blog  ausschließlich aktuelle Themen der Security oder widmet sich ihnen auf sehr strategischer und management-lastiger Ebene, ist der Dienstleister gegebenenfalls mehr für konzeptionelle Aufträge als für technische Sicherheitsanalysen geeignet.

3. Social Media

Der Community-Gedanke war im Bereich Security schon immer von sehr hoher Bedeutung. Waren es früher IRC Chaträume in denen man sein Wissen ausgetauscht hat, wird heute vorrangig Twitter genutzt.
Twitter ist in der Security Welt mit Abstand das beste Medium um auf dem aktuellsten Stand zu bleiben (Malware, Angriffsvektoren, Security Tools, Exploit Code, 0Days, etc.).
Anhand der Anzahl der Follower können auch Nicht-Security-Personen relativ schnell erkennen, ob der potentielle Dienstleister oder Consultant einen Mehrwert für die Community liefert. Hierbei sollte man jedoch zusätzlich auf die Reaktionen der Tweets achten (Likes, Retweets), um auszuschließen, dass Follower gekauft worden sind. Hat beispielsweise ein Account 10.000 Follower, jedoch lediglich zwei bis drei Likes pro Tweet, ist dies äußerst verdächtigt.

Schauen Sie sich die Social-Media-Accounts (insbesondere Twitter) an, um abzuschätzen, ob und welchen Stellenwert der potentielle Dienstleister in der Community einnimmt.

4. Beiträge auf Security-Konferenzen

Es gibt zahlreiche hochkarätige Konferenzen, bei denen Security Consultants als Referent teilnehmen. Nachfolgend ein Auszug der anerkanntesten Konferenzen in der technischen Security Community:

Wenn Ihr potentieller Dienstleister auf den obigen Konferenzen als Referent tätig war, können Sie davon ausgehen, dass er auf einem sehr hohem Niveau arbeitet.