Illustration: Absmeier, TheDigitalArtist
Hackerangriff auf Datennetzwerke des Bundes und von Sicherheitsbehörden zeigt wie wichtig Zusammenarbeit auf höchster Ebene bei Bekämpfung von Cyberkriminalität ist.
Wie letzte Woche bekannt wurde, haben sich Hacker bereits im letzten Jahr Zugang zu Datennetzwerken des Bundes und von Sicherheitsbehörden verschafft. Dr. Christopher Brennan, Regional Director DACH, Eastern Europe, Russia and Israel bei Skybox Security, sieht darin einen Beleg für die Wichtigkeit eines konzertierten und kooperativen Vorgehens aller bedrohten Unternehmen, Behörden und Organisationen und die Dringlichkeit, das Thema zur Chefsache zur erklären.
»Der gestern bekannt gewordene Vorfall zeigt die Tragweite, die Cyberangriffe haben können. Es gelang Hackern in Datensysteme einzudringen, die höchster Geheimhaltung unterlagen. Wurden in den letzten Monaten primär erpresserische Attacken wie WannaCry bekannt, die zur unmittelbaren Bereicherung von Cyberkriminellen führen, zeigt der aktuelle Fall, eine anderweitige Motivation: Einsicht in geheime Informationen von Staaten. Egal welcher Beweggrund zugrunde liegt: sie sind unisono zu verurteilen und deren Bekämpfung sollte höchste Priorität eingeräumt werden.
Ein Zeichen, dass betroffene Stellen dies erkannt haben und auch bereit sind, hierfür zu kooperieren, ist eine kürzlich im Rahmen der Münchener Sicherheitskonferenz vorgestellte Charta of Trust. Die von namhaften Unternehmen unterzeichnete Charta fordert Industrie und Politik auf, in 10 Handlungsfeldern aktiv zu werden, um Cybersicherheit herzustellen. Der aktuelle Vorfall zeigt, dass besonders die Forderung nach der Einrichtung eines Ministeriums auf Regierungsebene mit dem Fokus auf Cybersicherheit nicht unbegründet ist. Cybersecurity ist Chefsache, da sowohl Staaten als auch Unternehmen substantiell bedroht werden. Die Zusammenarbeit auf allen Ebenen und über Organisationen hinweg ist eine Notwendigkeit, um professionell geplante Attacken abzuwehren.
Man rechnet in den nächsten Monaten mit einer weiteren, rapiden Zunahme von Angriffen auf kritische Schwachstellen von Unternehmen, Behörden und Organisationen. Es ist daher unerlässlich, dass diese sich tiefgehende und umfassende Kenntnis zu ihrer Angriffsfläche verschaffen. Nur dann können sie auch vor der eigentlichen Attacke proaktiv Abwehrmaßnahmen ergreifen und ihre Systeme schützen. Es gibt IT-Security-Plattformen auf dem Markt, die einem genau diese Einblicke und Kenntnisse auf die Angriffsfläche geben. Risiken können so im Vorfeld von Angriffen minimiert werden und eine Attacke, wie wir sie aktuell sehen, läuft somit ins Leere.«
Die Nachrichten über den jüngsten Hackerangriff auf deutsche Regierungsstellen schlagen hohe Wellen. Auch wenn noch nicht klar ist, wer die Angreifer sind, so scheint sich schon herauszukristallisieren, dass die Hacker lange Zeit in den Netzwerken spioniert haben – und möglicherweise der Angriff noch gar nicht beendet ist.
Für Gérard Bauer, VP EMEA bei Vectra, zeigt der jüngste Vorfall, dass selbst bei sehr gut gesicherten Netzen eine fortwährende interne Überwachung des Datenverkehrs unerlässlich ist. Der Experte für den Einsatz künstlicher Intelligenz für Cybersicherheit bewertet den jüngsten Angriff wie folgt:
»Die Grenzen zwischen Cyberattacken durch Nationalstaaten und unabhängige Hacker verschwimmen zunehmend. Generell operieren die Angreifer viel zu lange versteckt, bevor sie entdeckt werden. Im Durchschnitt dauert es 99 Tage, um einen versteckten Angreifer im Netzwerk auszuspüren (M-Trends 2017 Report), aber nur 72 Stunden für den Angreifer, um Administratorzugriff auf die Domain-Controller zu erhalten – und damit die »Schlüssel zum Königreich«.
Kein Unternehmen, egal wie gut finanziell gerüstet, erfahren oder mit Ressourcen ausgestattet, kann eine perfekte Verteidigung haben. Wir müssen daher zu einer »Wird sind bereits kompromittiert«-Mentalität übergehen. Es gilt jetzt, alle verfügbaren Fähigkeiten – in Form von Menschen, Prozessen und Technologien – einzusetzen, um Cyberangriffe schnell zu erkennen, zu verstehen und zu neutralisieren. Dies muss geschehen, bevor sich entsprechende Aktivitäten zu schwerwiegenden Vorfällen entwickeln, die sich auf die angegriffenen Unternehmen und ihre Stakeholder auswirken.
Zudem herrscht ein massiver Mangel an Fachkräften für Cybersicherheit. Menschen allein können nicht mit der erforderlichen Geschwindigkeit und im notwendigen Umfang agieren, um fortschrittliche Angreifer in allen Netzwerken in Echtzeit zu überwachen und zu erkennen. Automatisierung ist daher die logische Antwort auf solch ein Szenario. Soll die Erkennung der sehr leisen und schwachen Signale von versteckten Angreifern automatisiert werden, ist das eine sehr komplexe Aufgabenstellung.
Der Einsatz von künstlicher Intelligenz in der Cybersicherheit, erweitert die Fähigkeiten spezialisierter Fachkräfte drastisch. Diese können nun Verhaltensweisen von Angreifern und Insidern besser und schneller erkennen. Diese Aktivitäten können dann priorisiert und mit kontextbezogenen Informationen versehen werden, damit Sicherheitsexperten schnell auf die kritischsten Bedrohungen reagieren können.«
Kommentar zum Angriff auf das Datennetz der Bundesverwaltung von Thomas Ehrlich, Country Manager DACH von Varonis
»Der Angriff auf das Datennetz der Bundesverwaltung, den Informationsverbund Berlin-Bonn (IVBB), zeigt uns wieder einmal, dass es Cyberkriminellen (oder in diesem Fall wahrscheinlich Cyberspionen) immer wieder gelingt, den Perimeter zu überwinden und in Netzwerke einzudringen – egal wie gut diese geschützt sind oder als wie sicher sie gelten.
Derzeit ist noch unklar, welche Daten tatsächlich gestohlen beziehungsweise gelesen wurden. Als sicher gilt jedoch, dass auch hier wieder Daten das Ziel der Angreifer waren. Somit unterscheiden sich staatliche Institutionen nicht wesentlich von Unternehmen. Auch hier sind die Daten letztlich das wertvollste Asset. Deshalb müssen sie ins Zentrum der Sicherheitsstrategie gestellt und an ihrem Schutz sämtliche Maßnahmen ausgerichtet werden.
Hierzu müssen zuallererst die Zugriffsrechte nach dem ›need-to-know‹-Prinzip durchgesetzt werden. Mitarbeiter haben so nur noch Zugriff auf die Daten, die sie wirklich benötigen. Die Anzahl zu entwendender Dateien sinkt hierdurch schon deutlich, insbesondere wenn man bedenkt, wie weitgefasst derzeit oftmals Zugriffsrechte sind: So konnte der Datenrisiko-Report 2017 [1] zeigen, dass in knapp der Hälfte der Unternehmen die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien hat. Durchschnittlich sind 20 Prozent der Ordner – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich. All diese Unternehmen – für Verwaltungen gilt dies selbstverständlich gleichermaßen – tragen das gleiche Risiko eines möglichen umfangreichen Angriffs, bei dem Hacker ins Netzwerk gelangen und über einen langen Zeitraum Daten entwenden, bevor irgendjemandem etwas auffällt. Nach derzeitigem Stand wurde der Angriff auf das Regierungsnetz im Dezember bemerkt, nachdem er möglicherweise schon über eine längere Zeit, womöglich sogar ein ganzes Jahr lief! Jede Menge Zeit also, sich im Netzwerk umzusehen und ›interessante‹ Daten zu kopieren.
Neben restriktiven Zugriffsrechten muss zudem die Überwachung des Datenzugriffs zum Standard werden. Durch intelligente Nutzeranalyse kann so automatisch schnell identifiziert werden, wenn ungewöhnliches Verhalten auftritt (wie beispielsweise der Zugriff zu ungewöhnlichen Zeiten und/oder Orten) und entsprechende Gegenmaßnahmen gestartet werden, bevor größerer Schaden entsteht. Nur so können die Daten gleichermaßen wie das Vertrauen in die Institutionen gesichert werden.«
[1] https://www.varonis.com/learn/data-risk-report-2017/
IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise