Microsoft Exchange, Colonial Pipeline und jüngst Kaseya: Die Liste von Unternehmen, die allein in diesem Jahr Cyberangriffen zum Opfer fielen, wird jeden Tag länger. Die Entwicklung zeigt: Präventive Security reicht längst nicht mehr aus – für optimalen Schutz sind neue Ansätze nötig. Ein smartes, KI-gestütztes Netzwerkmonitoring als ergänzender Baustein des IT-Sicherheitskonzepts spürt solche Bedrohungen auf, bevor Unternehmen oder Behörden geschädigt werden.

Kaum ein Tag vergeht, an dem nicht über einen erfolgreichen Ransomware-Angriff berichtet wird. Mangels Alternativen und nicht selten auch aus blanker Angst um die eigene wirtschaftliche Existenz bleibt vielen Betroffenen keine andere Wahl, als sich dem Willen der Erpresser zu beugen und Lösegeld zu zahlen – so etwa geschehen im Falle von Colonial Pipeline: Der Angriff führte in den Vereinigten Staaten zu Engpässen in der Benzinversorgung und kompromittierte die Systeme des Betreibers derart schwer, dass der Firmenvorstand in die Zahlung von mehreren Millionen US-Dollar einwilligte. Die Attacken gegen Kaseya und Microsoft Exchange wiederum legten den Betrieb auch bei einer Reihe von deutschen Mittelständlern schlagartig lahm, die von den Geschehnissen völlig überrascht wurden. Denn sie selbst waren gar nicht das direkte Ziel des ursprünglichen Angriffs – sie wurden allerdings verwundbar, da die Systeme, die sie von den beiden Anwendern nutzen, von Schadsoftware befallen waren. Die Fälle zeigen, dass auch große Unternehmen wie etwa gestandene IT-Anbieter nicht vor Attacken gefeit sind.

Die Suche nach der Nadel im Heuhaufen. Gängigerweise folgen Ransomware-Angriffe einem typischen Muster: Über Phishing-Mails installieren die Angreifer unbemerkt Schadsoftware innerhalb eines Systems, das ansonsten durch eine Firewall abgesichert wäre, und stellen so eine Datenverbindung ins Innere des Unternehmens her. In der Folge können sie sich in aller Ruhe tage- oder gar wochenlang umsehen und die wichtigsten Daten identifizieren – und im Anschluss stehlen oder verschlüsseln.

Die beste Firewall ist also für sich allein genommen für die Verteidigung gegen einen Ransomware-Angriff nicht ausreichend. Opfer finden nämlich erst dann etwas über die Vorgänge in ihrem System heraus, wenn sie von den Angreifern damit konfrontiert werden. Es ist folglich elementar, die Hacker aufzuspüren, bevor sie gefunden haben, was sie suchen.

Manuell gestaltet sich diese Aufgabe aber wie die sprichwörtliche Suche nach der Nadel im Heuhaufen. Unternehmensnetzwerke sind ungeheuer komplex und daher über herkömmliche Analysen kaum zu überwachen – insbesondere, da dies im laufenden Betrieb geschehen muss und so immer die Gefahr von Fehlalarmen besteht. Die wirklich gefährlichen Vorfälle bleiben so nicht selten unentdeckt.

Aufspüren und reagieren. Um die Suche nach Anomalien zu unterstützen, kommen Algorithmen ins Spiel, die auf künstlicher Intelligenz (KI) basieren. Die Grundidee hinter dem Konzept der Network Detection and Response (NDR) besteht in der automatisierten Überwachung des Datenverkehrs innerhalb eines Unternehmens auf verdächtige Aktivitäten hin – mithilfe von KI-Algorithmen, die das Netzwerk konstant monitoren und im Bedarfsfall wie eine Alarmanlage anschlagen.

Eine solche Lösung setzt idealerweise direkt auf dem existierenden Netzwerk eines Unternehmens auf und benötigt folglich keine zusätzliche Hardware. Sie kann erlernen, welche Vorgänge im Netzwerk normal sind, wie sich atypische Verhaltens- oder Verbindungsmuster äußern, identifiziert fehlkonfigurierte Geräte und entdeckt zugleich bestehende Sicherheitsprobleme – beispielsweise versteckte Datenlecks wie Browser-Plug-ins oder nicht autorisierte Cloud-Dienste.

Die eigentliche Entdeckung von Angreifern erfolgt über die automatisierte Analyse der Netzwerkdaten. Nicht selten verraten sich Hacker beispielsweise durch vertikale oder horizontale Scanvorgänge in einem Netzwerk. Eine andere Angriffsmöglichkeit besteht in der Nutzung von Domain-Generation-Algorithmen – auch diese erkennt eine moderne NDR-Lösung. Besonders effektiv gestaltet sich die Detektion von Angreifern, wenn außerdem externe Quellen (Blacklists) zum Einsatz kommen.

Die für die Lösung verwendete KI vergleicht kontinuierlich die erwarteten mit den tatsächlichen Netzwerkaktivitäten, beurteilt Abweichungen und löst im Bedarfsfall Alarme aus, die je nach Schwere direkt auch priorisiert werden. Dank passender Visualisierung und Aufbereitung der Daten bleibt IT-Mitarbeitern deutlich mehr Zeit, um auf die Bedrohung zu reagieren. Sowohl das Set-up wie auch der Betrieb der Lösung brauchen deutlich weniger Ressourcen, wie händische Analysen. Darüber hinaus bieten moderne NDRs auch die Möglichkeit, Daten von anderen Sicherheitssystemen heranzuziehen, etwa Endpoint Detection, Geräteüberwachung, aber auch Informationen von herkömmlichen Antivirus-Programmen.

Fazit. Cyber-Sicherheitsbedrohungen werden immer ausgefeilter. Entsprechend anspruchsvoller wird auch der Schutz von Unternehmensnetzwerken. Es ist deshalb für Unternehmen elementar wichtig, ihre IT-Infrastruktur in Echtzeit zu überwachen, um so auf mögliche Cyberattacken reagieren zu können, bevor ein Schaden eintritt – genau das, was moderne, auf KI basierende Network-Detection- and -Response-Lösungen leisten. Dieses automatisierte Netzwerkmonitoring stärkt nicht nur die Unternehmensinfrastruktur, es entlastet auch Security-Teams nachhaltig, da manuelle Analysen entfallen und die Ursache von Anomalien über Visualisierungen und Drilldowns sehr leicht gefunden werden kann.

Dr. David Gugelmann,
CEO und Gründer
von Exeon

Illustration: © andamanec, PainterMaster/shutterstock.com

4065 Artikel zu „Netzwerk Sicherheit“

NEWS | FAVORITEN DER REDAKTION | IT-SECURITY

Datensicherheit jenseits des Netzwerks: SASE-Plattformen

27. Dezember 2020

Unternehmen sind überaus anpassungsfähig, wie sich in der Pandemiekrise gezeigt hat. Schnell wurden neue Workflows geschaffen, die den Geschäftsbetrieb vollständig digital aufrecht erhalten. Die Zusammenarbeit erfolgt über Collaboration-Tools, die Bearbeitung von wichtigen Dokumenten über Cloudanwendungen und die persönliche Abstimmung in Einzelfällen über Messenger-Dienste auf privaten Mobilgeräten. Die Veränderungen in der digitalen Arbeitsumgebung machen es für…

Dr. David Gugelmann, CEO und Gründer von Exeon

4065 Artikel zu „Netzwerk Sicherheit“

Dr. David Gugelmann,
CEO und Gründer
von Exeon