Die jüngsten Zahlen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind dramatisch: Für 2022 gab es eine Zunahme um 116 Millionen neue Schadprogramm-Varianten. Zudem entfielen 15 Millionen Meldungen auf Infektionen deutscher Systeme. Dabei findet eine deutliche Professionalisierung der Cyberangriffe statt. So kommt das BSI in seinem Lagebericht zu der alarmierenden Einschätzung, dass sich die IT-Sicherheitslage immer mehr zuspitzt.
Für Unternehmen sind die Folgen gravierend: Laut der Sicherheitsbehörde wirken sich 40 Prozent der Security-Verletzungen erheblich auf den Geschäftsbetrieb aus. So kommt es zu Ausfallzeiten, zum Diebstahl sensibler Daten und in einigen Fällen zu einem erheblichen Reputationsschaden. Im schlimmsten Fall kann dadurch sogar die Existenz von Unternehmen gefährdet sein. Keine Frage also, dass IT-Sicherheitsexperten angesichts dieser Bedrohung besonders gefordert sind.
Cyber Resilience – die große Herausforderung
Mit Alarmismus alleine kommt man jedoch nicht weiter – es gilt, neue Strategien zu entwickeln, um auf die Bedrohungslage angemessen zu reagieren. Die zentrale Frage lautet daher: Wie können Unternehmen eine wirkungsvolle Cyber-Security aufbauen und vor allem auch aufrechterhalten?
Dabei geht es nicht um die absolute Vermeidung von Cyberangriffen – eine hundertprozentige Sicherheit ist realistischerweise sowieso nicht zu erreichen. Vielmehr geht es um die Fähigkeit, Angriffe schnell zu erkennen und angemessen darauf zu reagieren. Zu diesem Zweck sollten Unternehmen einen Schwerpunkt auf proaktive IT-Sicherheitsmaßnahmen legen. Das Ziel sollte es sein, eine Kompromittierung zeitnah zu erkennen und deren Auswirkungen möglichst gering zu halten. Kurzum, es geht darum, optimal auf den Worst Case vorbereitet zu sein.
Warum traditionelle Schutzmaßnahmen nicht ausreichen
Doch schauen wir zunächst einmal, welche Schutzmaßnahmen üblicherweise zum Einsatz kommen. Da ist zum einen das Vulnerability Management (Schwachstellenmanagement). Hier kommen Tools zum Einsatz, die automatisiert nach potenziellen Angriffsmöglichkeiten suchen und IT-Schwachstellen identifizieren. Die gefundenen Sicherheitslücken werden dabei anhand von Schweregraden klassifiziert und das Analysten-Team erhält entsprechende Handlungsempfehlungen. Das Vulnerability Management beinhaltet also nicht nur die Identifikation und Bewertung von Schwachstellen, sondern auch deren Behebung.
Eine weitere wichtige Maßnahme sind Penetrationstests. Dies sind gezielte und individuell durchgeführte Überprüfungen der IT-Sicherheit eines Unternehmens. Dabei wird untersucht, inwieweit externe oder interne Angriffe die IT- oder Informationssicherheit gefährden könnten und ob die vorhandenen Sicherheitsmaßnahmen ausreichend Schutz bieten. Im Gegensatz zu automatisierten Schwachstellen-Scans verifiziert ein Penetrationstester die entdeckte Sicherheitslücke mithilfe zusätzlicher Tools, Module oder Exploits manuell. Außerdem ist der Sicherheitsexperte nicht auf eine vordefinierte Schwachstellendatenbank beschränkt. Er entdeckt also möglicherweise auch weitere Sicherheitslücken „hinter“ der ausgenutzten Schwachstelle.
Zusammenfassend kann man also sagen, dass das Vulnerability Management dabei hilft, Schwachstellen zu identifizieren, während ein Penetrationstest zeigt, ob diese auch ausgenutzt werden könnten. Doch reichen diese beiden Maßnahmen wirklich aus? Wäre es nicht genauso wichtig, die Systeme daraufhin zu untersuchen, ob Schwachstellen bereits ausgenutzt wurden? Es könnte ja schließlich sein, dass Systeme im Unternehmen schon kompromittiert worden sind und sich somit in den Händen von Angreifern befinden.
Den Angreifern auf der Spur
Bei der Beantwortung dieser Fragen kommt das Compromise Assessment ins Spiel. Mithilfe forensischer Methoden und Tools wird dabei nach Angriffsspuren gesucht. Hierzu wird ein Agent auf dem Endsystem platziert, um sogenannte Indicators of Compromise (IoC) aufzuspüren und die Ergebnisse an ein zentrales System zu übermitteln. Zu diesem Zweck werden flüchtige und nicht-flüchtige Daten auf einem System betrachtet. Das können etwa Konfigurationen, Anmeldungen oder Nutzerinteraktionen sein, aber auch installierte, ausgeführte oder heruntergeladene Software. Forensische Artefakte können die Spur eines Angreifers offenbaren. Das hat gleich einen doppelten Nutzen: Kompromittierte Systeme lassen sich so nicht nur erkennen, sondern auch die zugrundeliegenden Sicherheitslücken. Dadurch kann man etwa Empfehlungen zur Behebung der Schwachstellen ableiten.
Das Compromise Assessment betrifft nicht nur einzelne Systeme, sondern die gesamte Infrastruktur eines Unternehmens. Durch die Analysen sollen auch diejenigen Angriffe erkannt werden, die trotz präventiver Maßnahmen erfolgreich waren. Hierzu ist ein Blick in die Vergangenheit notwendig, denn oft dauert es mehrere Monate, bis ein Angriff überhaupt entdeckt wird. Das kann für das betroffene Unternehmen fatal sein, denn so hat ein Angreifer viel Zeit, um seine Ziele zu erreichen. Der Schaden nimmt also mit jedem unentdeckten Tag zu. Aufgabe eines Compromise Assessments ist es daher, die Zeit bis zur Erkennung eines erfolgreichen Angriffs auf wenige Tage zu reduzieren.
Immer wachsam, ständig auf der Hut
Es liegt auf der Hand, dass das Compromise Assessment eine hervorragende Ergänzung zu den bestehenden Sicherheitsmaßnahmen wie einem Vulnerability Management und Penetrationstests bietet. Doch man kann sogar noch einen Schritt weiter gehen: Im Sinne einer optimalen Cyber Resilience ist es sinnvoll, die IT-Systeme einer kontinuierlichen und proaktiven Überprüfung zu unterziehen. Das geschieht im Rahmen eines Continuous Compromise Assessments.
Hierbei wird zunächst ein initialer Scan durchgeführt, um eine erste Einschätzung der Gesamtsituation zu erhalten. Solch eine Untersuchung kann sehr zeitaufwändig sein, da unter Umständen Millionen forensischer Artefakte untersucht werden müssen. Bei den anschließenden regelmäßigen Scans und Auswertungen wird es jedoch erheblich einfacher, denn diese konzentrieren sich auf die Änderungen an den für einen Angreifer verräterischen Artefakten. Dies ist weniger aufwändig und geht somit auch erheblich schneller. Auf diese Weise können Cyberangriffe frühzeitig erkannt und vereitelt werden – bevor hoher Schaden entsteht. Damit bietet das Compromise Assessment, insbesondere wenn es regelmäßig durchgeführt wird, ein wertvolles Instrument, um die Cyber Resilience eines Unternehmens nachhaltig zu stärken.
Ramon Weil,
Founder & CEO
SECUINFRA
https://www.secuinfra.com/de/services/compromise-assessment/