Cyberbedrohungen und wie sie aufzuspüren sind: Entdecken, nachverfolgen, bekämpfen

Microsoft Exchange, Colonial Pipeline und jüngst Kaseya: Die Liste von Unternehmen, die allein in diesem Jahr Cyberangriffen zum Opfer fielen, wird jeden Tag länger. Die Entwicklung zeigt: Präventive Security reicht längst nicht mehr aus – für optimalen Schutz sind neue Ansätze nötig. Ein smartes, KI-gestütztes Netzwerkmonitoring als ergänzender Baustein des IT-Sicherheitskonzepts spürt solche Bedrohungen auf, bevor Unternehmen oder Behörden geschädigt werden.

Kaum ein Tag vergeht, an dem nicht über einen erfolgreichen Ransomware-Angriff berichtet wird. Mangels Alternativen und nicht selten auch aus blanker Angst um die eigene wirtschaftliche Existenz bleibt vielen Betroffenen keine andere Wahl, als sich dem Willen der Erpresser zu beugen und Lösegeld zu zahlen – so etwa geschehen im Falle von Colonial Pipeline: Der Angriff führte in den Vereinigten Staaten zu Engpässen in der Benzinversorgung und kompromittierte die Systeme des Betreibers derart schwer, dass der Firmenvorstand in die Zahlung von mehreren Millionen US-Dollar einwilligte. Die Attacken gegen Kaseya und Microsoft Exchange wiederum legten den Betrieb auch bei einer Reihe von deutschen Mittelständlern schlagartig lahm, die von den Geschehnissen völlig überrascht wurden. Denn sie selbst waren gar nicht das direkte Ziel des ursprünglichen Angriffs – sie wurden allerdings verwundbar, da die Systeme, die sie von den beiden Anwendern nutzen, von Schadsoftware befallen waren. Die Fälle zeigen, dass auch große Unternehmen wie etwa gestandene IT-Anbieter nicht vor Attacken gefeit sind.

Die Suche nach der Nadel im Heuhaufen. Gängigerweise folgen Ransomware-Angriffe einem typischen Muster: Über Phishing-Mails installieren die Angreifer unbemerkt Schadsoftware innerhalb eines Systems, das ansonsten durch eine Firewall abgesichert wäre, und stellen so eine Datenverbindung ins Innere des Unternehmens her. In der Folge können sie sich in aller Ruhe tage- oder gar wochenlang umsehen und die wichtigsten Daten identifizieren – und im Anschluss stehlen oder verschlüsseln.

Die beste Firewall ist also für sich allein genommen für die Verteidigung gegen einen Ransomware-Angriff nicht ausreichend. Opfer finden nämlich erst dann etwas über die Vorgänge in ihrem System heraus, wenn sie von den Angreifern damit konfrontiert werden. Es ist folglich elementar, die Hacker aufzuspüren, bevor sie gefunden haben, was sie suchen.

Manuell gestaltet sich diese Aufgabe aber wie die sprichwörtliche Suche nach der Nadel im Heuhaufen. Unternehmensnetzwerke sind ungeheuer komplex und daher über herkömmliche Analysen kaum zu überwachen – insbesondere, da dies im laufenden Betrieb geschehen muss und so immer die Gefahr von Fehlalarmen besteht. Die wirklich gefährlichen Vorfälle bleiben so nicht selten unentdeckt.

Aufspüren und reagieren. Um die Suche nach Anomalien zu unterstützen, kommen Algorithmen ins Spiel, die auf künstlicher Intelligenz (KI) basieren. Die Grundidee hinter dem Konzept der Network Detection and Response (NDR) besteht in der automatisierten Überwachung des Datenverkehrs innerhalb eines Unternehmens auf verdächtige Aktivitäten hin – mithilfe von KI-Algorithmen, die das Netzwerk konstant monitoren und im Bedarfsfall wie eine Alarmanlage anschlagen. 

Eine solche Lösung setzt idealerweise direkt auf dem existierenden Netzwerk eines Unternehmens auf und benötigt folglich keine zusätzliche Hardware. Sie kann erlernen, welche Vorgänge im Netzwerk normal sind, wie sich atypische Verhaltens- oder Verbindungsmuster äußern, identifiziert fehlkonfigurierte Geräte und entdeckt zugleich bestehende Sicherheitsprobleme – beispielsweise versteckte Datenlecks wie Browser-Plug-ins oder nicht autorisierte Cloud-Dienste.

Die eigentliche Entdeckung von Angreifern erfolgt über die automatisierte Analyse der Netzwerkdaten. Nicht selten verraten sich Hacker beispielsweise durch vertikale oder horizontale Scanvorgänge in einem Netzwerk. Eine andere Angriffsmöglichkeit besteht in der Nutzung von Domain-Generation-Algorithmen – auch diese erkennt eine moderne NDR-Lösung. Besonders effektiv gestaltet sich die Detektion von Angreifern, wenn außerdem externe Quellen (Blacklists) zum Einsatz kommen.

Die für die Lösung verwendete KI vergleicht kontinuierlich die erwarteten mit den tatsächlichen Netzwerkaktivitäten, beurteilt Abweichungen und löst im Bedarfsfall Alarme aus, die je nach Schwere direkt auch priorisiert werden. Dank passender Visualisierung und Aufbereitung der Daten bleibt IT-Mitarbeitern deutlich mehr Zeit, um auf die Bedrohung zu reagieren. Sowohl das Set-up wie auch der Betrieb der Lösung brauchen deutlich weniger Ressourcen, wie händische Analysen. Darüber hinaus bieten moderne NDRs auch die Möglichkeit, Daten von anderen Sicherheitssystemen heranzuziehen, etwa Endpoint Detection, Geräteüberwachung, aber auch Informationen von herkömmlichen Antivirus-Programmen. 

Fazit. Cyber-Sicherheitsbedrohungen werden immer ausgefeilter. Entsprechend anspruchsvoller wird auch der Schutz von Unternehmensnetzwerken. Es ist deshalb für Unternehmen elementar wichtig, ihre IT-Infrastruktur in Echtzeit zu überwachen, um so auf mögliche Cyberattacken reagieren zu können, bevor ein Schaden eintritt – genau das, was moderne, auf KI basierende Network-Detection- and -Response-Lösungen leisten. Dieses automatisierte Netzwerkmonitoring stärkt nicht nur die Unternehmensinfrastruktur, es entlastet auch Security-Teams nachhaltig, da manuelle Analysen entfallen und die Ursache von Anomalien über Visualisierungen und Drilldowns sehr leicht gefunden werden kann.

 


Dr. David Gugelmann,
CEO und Gründer
von Exeon

 

Illustration: © andamanec, PainterMaster/shutterstock.com

 

4065 Artikel zu „Netzwerk Sicherheit“

Datensicherheit jenseits des Netzwerks: SASE-Plattformen

Unternehmen sind überaus anpassungsfähig, wie sich in der Pandemiekrise gezeigt hat. Schnell wurden neue Workflows geschaffen, die den Geschäftsbetrieb vollständig digital aufrecht erhalten. Die Zusammenarbeit erfolgt über Collaboration-Tools, die Bearbeitung von wichtigen Dokumenten über Cloudanwendungen und die persönliche Abstimmung in Einzelfällen über Messenger-Dienste auf privaten Mobilgeräten. Die Veränderungen in der digitalen Arbeitsumgebung machen es für…

DNS-over-HTTPS: Diskussionspapier macht Vorschläge für mehr Sicherheit in Netzwerkumgebungen 

DNS-over-HTTPS (DoH) hilft Man-in-the-Middle-Angriffe zu verhindern. Eigene DoH-Resolver ermöglichen aktuelle, sichere und hochleistungsfähige Internet-Services. DNS (Domain Name System)-Anfragen – zum Beispiel das Aufrufen einer Website im Browser – sind noch häufig unverschlüsselt. Das birgt Sicherheitsrisiken. Um dies zu ändern, nutzt das 2018 vorgestellte DNS-over-HTTPS (DoH)-Protokoll die etablierte HTTPS-Verschlüsselung. Mit den bevorstehenden Updates von Apple iOS…

Security über das Netzwerk hinaus – Integration von Endgerätesicherheit in die Zero-Trust-Strategie

Während der Begriff »Zero Trust« sofort an Netzwerksicherheit denken lässt, geht eine richtige Zero-Trust-Strategie mittlerweile über das Netzwerk hinaus – wie Palo Alto Networks meint. Endpunkte spielen eine wichtige Rolle, da sie Daten auf der ganzen Welt speichern und auf sie zugreifen, was sie zu verwundbaren Einstiegspunkten für Cyberangreifer macht. Da auf Daten und Anwendungen…

Steigende Sicherheitsrisiken durch veraltete Netzwerkgeräte

Eine neue Studie zeigt die Cybersecurity-Risiken für Unternehmen durch die rasante Zunahme von Remote Working und veraltete Netzwerkgeräte.   Laut NTT sind 48 % der Geräte in Unternehmen wegen verlängerter Wiederbeschaffungszyklen und dem Trend zu Multi-Cloud-Umgebungen veraltet oder technisch überholt. 2017 waren es nur 13 %.   Der »2020 Global Network Insights Report« von NTT…

Darum ist eine automatisierte Verwaltung wichtig für die Netzwerksicherheit – Die Automatisierung des Sicherheitsmanagements

Eine Studie des Netzwerksicherheitsanbieters AlgoSec aus dem Jahr 2019 ergab, dass über 42 Prozent der Unternehmen einen Anwendungs- oder Netzwerkausfall erlebten, den ein menschlicher Fehler oder eine falsche Konfiguration verursachte. Warum ist diese Zahl so hoch und wie kann Automatisierung hier Abhilfe schaffen?

Zögerliche Prozessautomatisierung gefährdet die Netzwerksicherheit

Automatisierung von Sicherheitsprozessen ist eine Grundvoraussetzung für die erfolgreiche Umsetzung digitaler Transformationsinitiativen. Zunehmende Netzwerkkomplexität und mangelnde Kenntnis des Sicherheitsstatus leistet Fehlkonfiguration Vorschub, die Angriffsfläche für Datenschutzverletzungen bieten.   Die von FireMon veröffentlichte Studie mit dem Titel »2019 State of the Firewall« zeigt die größten Herausforderungen auf, denen sich Unternehmen in Sachen Firewall-Management aktuell stellen müssen…

Digitale Transformation: Die Netzwerksicherheit ist geschäftskritisch

So bedienen Unternehmen die Anforderungen an Konnektivität und Datensicherheit. Die digitale Transformation führt zu einem rasanten Wachstum an Netzwerkendpunkten, die es zu versorgen und zu managen gilt. Gleichzeitig steigt die Gefahr durch Cyberangriffe. Gemischte Netzwerkarchitekturen aus On-Premises- und Cloud-Lösungen sind das Mittel der Wahl.   Sicherheitsexperten gehen davon aus, dass mehrere hundert Millionen Malware-Proben im…

Sind Artificial Intelligence & Machine Learning die Lösung für mehr Sicherheit im Netzwerk?

Wie können Unternehmen ihre Netzwerksicherheit verbessern? Netzwerksicherheit ist und bleibt eines der brennenden Themen für IT-Verantwortliche. Jeden Tag gibt es neue Cyberangriffe, die nicht nur finanzielle Folgen haben, sondern auch dem Ruf von Unternehmen erheblich schaden können. Der Netzwerk-Edge-Bereich ist dabei der Punkt, an dem sich Unternehmens- und Kundendaten treffen, wo Benutzer interagieren, IoT-Geräte angebunden…

Netzwerksicherheit: große Herausforderungen und neue Lösungsansätze

Infografik zeigt Probleme und Lösungswege auf. Im Vorfeld der IT Security Fachmesse it-sa steht das Thema Sicherheit sogar noch stärker im Fokus vieler Unternehmen als sonst. Vor allem die Netzwerksicherheit gehört für viele IT-Verantwortliche heute zu den Top-Prioritäten, denn ohne Netzwerke findet kein Austausch von Informationen statt. Zudem bilden sie die Grundlage für die Digitalisierung…

Unternehmensnetzwerke – mit Automatisierung die Sicherheit erhöhen

Die Sicherheit zu erhöhen, ist die Top-Priorität unter den Netzwerkmaßnahmen von Unternehmen. Dafür wird es auch höchste Zeit, wie unsere Infografik, die in Zusammenarbeit mit Extreme Networks entstanden ist, zeigt. Nur knapp die Hälfte der Führungskräfte sehen ihr Unternehmen so gut wie möglich auf IT-Angriffe vorbereitet. Ein Lösungsansatz zur Erhöhung der Sicherheit können automatisierte Netzwerke…

Drastische Zunahme von privaten Endgeräten und IoT-Devices in Unternehmensnetzwerken sorgt für enorme Sicherheitsrisiken

Durchschnittlich 1.856 private Endgeräte und IoT-Devices verbinden sich in Deutschland pro Tag und Unternehmen mit dem Netzwerk der Organisation – ungemanagt von der IT. Zugleich glauben fast 90 Prozent der IT-Verantwortlichen, eine effektive Sicherheits-Policy zu haben. Infoblox, Spezialist für Netzwerksteuerung und Anbieter von Actionable Network Intelligence, veröffentlicht Ergebnisse einer neuen Studie, die besorgniserregende Sicherheitslücken durch…

Kritische Beurteilung der Ausfallsicherheit für jedes vierte Unternehmensnetzwerk

Das IT-Netzwerk ist das zentrale Nervensystem im Unternehmen – trotzdem wird es in vielen Unternehmen stiefmütterlich behandelt. Zu diesem Ergebnis kommt eine aktuelle Studie, die den Status quo und die Prozesse rund um das Netzwerkmanagement in mittelständischen und großen Unternehmen untersucht [1]. Ein Viertel der befragten IT-Verantwortlichen urteilt, dass das eigene Netzwerk sich hinsichtlich Ausfallsicherheit…

Sicherheitslücken in IP-Kameras öffnen Netzwerk für Angreifer

Unsichere IP-Kameras sind weiteres Beispiel für IoT-Geräte, deren Hersteller die Grundzüge der IT-Sicherheit vernachlässigen und so Nutzer und Netzwerke gefährden.   Der Sicherheitsanbieter F-Secure hat 18 zum Teil kritische Sicherheitslücken in IP-Kameras des Herstellers Foscam gefunden. Angreifer können aufgrund der Schwachstellen die Kontrolle über die Kameras übernehmen, auf den Video-Feed zugreifen und Daten auf den…

IFA-Trends unter der IT-Sicherheitslupe: Der Feind in meinem Netzwerk

Die IFA steht kurz bevor und dieses Jahr drehen sich viele Neuerungen rund um das große Schlagwort Vernetzung. Zwei große Trends der diesjährigen Messe, nämlich sogenannte Wearable-Technologies und Smart Homes, sollen Verbrauchern den Alltag erleichtern – könnten aber durch unzureichende Sicherheitsvorkehrungen schnell zum Einfallstor für Schadsoftware werden. Ransomware ist seit Jahren ein Dauerthema. Im zweiten…

Sicherheitspraxis: Benutzerbasierte Überwachung im Netzwerk

Lückenlose Identifizierung der Nutzer und Geräte gilt unter Sicherheitsexperten als entscheidende Komponente einer Präventionsstrategie für die Netzwerksicherheit. Mitarbeiter, Kunden und Partner verbinden sich zu unterschiedlichen Aufbewahrungsorten von Daten innerhalb des Netzwerks sowie zum Internet, um ihre Arbeit zu verrichten zu können. Diese gesamte Gruppe einschließlich ihrer vielen Geräte stellen die Nutzer des Netzwerks dar. Sicherheitsexperten…

Schwachstellenanalyse: Sicherheitslücken in Unternehmensnetzwerken

In fast 85.000 Fällen boten vor allem falsch konfigurierte Systeme und ungepatchte Software Angreifern die Möglichkeit, das Unternehmensnetzwerk zu infiltrieren. Eine im Frühjahr 2016 durchgeführte Untersuchung von Firmennetzwerken durch die finnischen Cyber-Security-Spezialisten von F-Secure identifizierte tausende von schwerwiegenden Sicherheitslücken, durch die sich Angreifer unbemerkt Zugang zu den Unternehmen verschaffen hätten können. Mit Hilfe von F-Secure…

Industrielle Steuerungssysteme: Fünf Sicherheitstipps für SCADA-Netzwerkmanagement

  Gerade im Zusammenhang von Industrie 4.0 beziehungsweise Smart Factory und Digitalisierung in der Produktion ist das SCADA-Netzwerk ein heißes Eisen für die IT-Abteilungen vieler Unternehmen. SCADA (Supervisory Control and Data Acquisition) ist ein industrielles Steuerungssystem, das in vielen Bereichen – wie etwa Fertigung, Energie, Wasser, Energie und Transport – zum Einsatz kommt. SCADA-Systeme stellen…

Automatisierung der Netzwerksicherheit erhöht Schutzlevel spürbar

Sicherheitsprofis führen gegen eine Automatisierung oft Argumente ins Feld, die auf subjektiver Wahrnehmung beruhen. IT-Sicherheitsprofis sehen sich täglich mit einer endlos scheinenden To-do-Liste konfrontiert: Regeln aktualisieren, Berichte erstellen, Schutzmaßnahmen erweitern, Ergebnisse analysieren, versteckte Bedrohungen finden, mehrere Implementierungen verwalten etc. Automation scheint die perfekte Antwort darauf zu sein. Die meisten Sicherheitsexperten sind aber hin- und hergerissen…

Netzwerksicherheit: SaaS-Anwendungen müssen sicher bereitgestellt werden

Der Bericht »Application Usage and Threat Report (AUTR)« [1], der auf der Grundlage von Daten von mehr als 7.000 Unternehmen weltweit basiert, behandelt reale Trends in der Anwendungsnutzung und kritische Entwicklungen, wie Angreifer versuchen, Unternehmen zu infizieren. Er bietet auch praktische Empfehlungen zur Verhinderung von Cyberangriffen. SaaS nimmt zu Die Ergebnisse unterstreichen die rasant wachsende…

IT-Sicherheitsgesetz hin oder her: Geschützte Prozessnetzwerke sind heute ein Muss

Vor allem kleinere Betreiber kritischer Infrastrukturen warten derzeit noch ab, ob sie wirklich unter das neue IT-Sicherheitsgesetz fallen. Das könnte sich als schwerer Fehler herausstellen. Unabhängig davon, ob das Gesetz auch für sie gilt oder nicht, sind sie einer realen Bedrohung durch Cyber-Angriffe ausgesetzt – und sollten deshalb unbedingt für ein Mindestmaß an Sicherheit sorgen.…