Illustration: Absmeier, TheDigitalArtist
Die Nachrichten über den jüngsten Hackerangriff auf deutsche Regierungsstellen schlagen hohe Wellen. Auch wenn noch nicht klar ist, wer die Angreifer sind, so scheint sich schon herauszukristallisieren, dass die Hacker lange Zeit in den Netzwerken spioniert haben – und möglicherweise der Angriff noch gar nicht beendet ist.
Für Gérard Bauer, VP EMEA bei Vectra, zeigt der jüngste Vorfall, dass selbst bei sehr gut gesicherten Netzen eine fortwährende interne Überwachung des Datenverkehrs unerlässlich ist. Der Experte für den Einsatz künstlicher Intelligenz für Cybersicherheit bewertet den jüngsten Angriff wie folgt:
»Die Grenzen zwischen Cyberattacken durch Nationalstaaten und unabhängige Hacker verschwimmen zunehmend. Generell operieren die Angreifer viel zu lange versteckt, bevor sie entdeckt werden. Im Durchschnitt dauert es 99 Tage, um einen versteckten Angreifer im Netzwerk auszuspüren (M-Trends 2017 Report), aber nur 72 Stunden für den Angreifer, um Administratorzugriff auf die Domain-Controller zu erhalten – und damit die »Schlüssel zum Königreich«.
Kein Unternehmen, egal wie gut finanziell gerüstet, erfahren oder mit Ressourcen ausgestattet, kann eine perfekte Verteidigung haben. Wir müssen daher zu einer »Wird sind bereits kompromittiert«-Mentalität übergehen. Es gilt jetzt, alle verfügbaren Fähigkeiten – in Form von Menschen, Prozessen und Technologien – einzusetzen, um Cyberangriffe schnell zu erkennen, zu verstehen und zu neutralisieren. Dies muss geschehen, bevor sich entsprechende Aktivitäten zu schwerwiegenden Vorfällen entwickeln, die sich auf die angegriffenen Unternehmen und ihre Stakeholder auswirken.
Zudem herrscht ein massiver Mangel an Fachkräften für Cybersicherheit. Menschen allein können nicht mit der erforderlichen Geschwindigkeit und im notwendigen Umfang agieren, um fortschrittliche Angreifer in allen Netzwerken in Echtzeit zu überwachen und zu erkennen. Automatisierung ist daher die logische Antwort auf solch ein Szenario. Soll die Erkennung der sehr leisen und schwachen Signale von versteckten Angreifern automatisiert werden, ist das eine sehr komplexe Aufgabenstellung.
Der Einsatz von künstlicher Intelligenz in der Cybersicherheit, erweitert die Fähigkeiten spezialisierter Fachkräfte drastisch. Diese können nun Verhaltensweisen von Angreifern und Insidern besser und schneller erkennen. Diese Aktivitäten können dann priorisiert und mit kontextbezogenen Informationen versehen werden, damit Sicherheitsexperten schnell auf die kritischsten Bedrohungen reagieren können.«
Kommentar zum Angriff auf das Datennetz der Bundesverwaltung von Thomas Ehrlich, Country Manager DACH von Varonis
»Der Angriff auf das Datennetz der Bundesverwaltung, den Informationsverbund Berlin-Bonn (IVBB), zeigt uns wieder einmal, dass es Cyberkriminellen (oder in diesem Fall wahrscheinlich Cyberspionen) immer wieder gelingt, den Perimeter zu überwinden und in Netzwerke einzudringen – egal wie gut diese geschützt sind oder als wie sicher sie gelten.
Derzeit ist noch unklar, welche Daten tatsächlich gestohlen beziehungsweise gelesen wurden. Als sicher gilt jedoch, dass auch hier wieder Daten das Ziel der Angreifer waren. Somit unterscheiden sich staatliche Institutionen nicht wesentlich von Unternehmen. Auch hier sind die Daten letztlich das wertvollste Asset. Deshalb müssen sie ins Zentrum der Sicherheitsstrategie gestellt und an ihrem Schutz sämtliche Maßnahmen ausgerichtet werden.
Hierzu müssen zuallererst die Zugriffsrechte nach dem ›need-to-know‹-Prinzip durchgesetzt werden. Mitarbeiter haben so nur noch Zugriff auf die Daten, die sie wirklich benötigen. Die Anzahl zu entwendender Dateien sinkt hierdurch schon deutlich, insbesondere wenn man bedenkt, wie weitgefasst derzeit oftmals Zugriffsrechte sind: So konnte der Datenrisiko-Report 2017 [1] zeigen, dass in knapp der Hälfte der Unternehmen die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien hat. Durchschnittlich sind 20 Prozent der Ordner – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich. All diese Unternehmen – für Verwaltungen gilt dies selbstverständlich gleichermaßen – tragen das gleiche Risiko eines möglichen umfangreichen Angriffs, bei dem Hacker ins Netzwerk gelangen und über einen langen Zeitraum Daten entwenden, bevor irgendjemandem etwas auffällt. Nach derzeitigem Stand wurde der Angriff auf das Regierungsnetz im Dezember bemerkt, nachdem er möglicherweise schon über eine längere Zeit, womöglich sogar ein ganzes Jahr lief! Jede Menge Zeit also, sich im Netzwerk umzusehen und ›interessante‹ Daten zu kopieren.
Neben restriktiven Zugriffsrechten muss zudem die Überwachung des Datenzugriffs zum Standard werden. Durch intelligente Nutzeranalyse kann so automatisch schnell identifiziert werden, wenn ungewöhnliches Verhalten auftritt (wie beispielsweise der Zugriff zu ungewöhnlichen Zeiten und/oder Orten) und entsprechende Gegenmaßnahmen gestartet werden, bevor größerer Schaden entsteht. Nur so können die Daten gleichermaßen wie das Vertrauen in die Institutionen gesichert werden.«
[1] https://www.varonis.com/learn/data-risk-report-2017/
IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise
IT-Sicherheit: Sicherheitsbewusstsein allein reicht nicht für sicheres Surfen