Der Wechsel von reaktiver zu proaktiver Abwehr – Security Intelligence

Security Intelligence

Cyber-Attacken sind längst zu einer ernstzunehmenden Gefahr geworden. Ihre Häufigkeit und Qualität haben ungekannte Ausmaße angenommen. Primäre Ziele der Angreifer sind Finanzinstitute, Online-Händler, Handelsketten und Hightech-Unternehmen.

Nach Recherchen des Nachrichtenmagazins SPIEGEL wehrt sich beispielsweise das Deutsche Zentrum für Luft- und Raumfahrt (DLR) seit Monaten gegen mutmaßliche Cyber-Angriffe mindestens eines ausländischen Geheimdienstes. Die Situation ist brisant, denn das DRL hortet viele wissenschaftlich, wirtschaftlich und auch militärisch relevante Daten. An diese teils hochsensiblen Informationen versuchen Unbekannte offenbar mit Hilfe von sehr gut geplanten und koordinierten Spionageangriffen heranzukommen. Immer häufiger werden aber auch Energieversorger Opfer krimineller Hacker: Diese versuchen, Kontrolle über Steuerungsanlagen zu gewinnen und SCADA-Systeme (Supervisory Control And Data Acquisition, auf Deutsch: Überwachungskontroll- und Datensammelsysteme) zu infiltrieren. Symptomatisch für derartige Attacken ist die hohe Spezialisierung, mit der Hacker ihre Angriffsverfahren für ausgesuchte Ziele optimieren. Hinzu kommt, dass sich Cyber-Kriminelle immer besser organisieren und oft über erstaunliche Fähigkeiten verfügen.

Vor diesem Hintergrund erkennen immer mehr Unternehmen und Organisationen, dass die Gefahr eines Datenverlustes real ist – und schnell wächst. Die Hacker sind vielen Unternehmen im täglichen Katz-und-Maus-Spiel um das Aufspüren von Schwachstellen in der IT-Security immer mindestens einen Schritt voraus. Dadurch sind die Firmen einem realen existenziellen Risiko ausgesetzt.

Gefahr durch Insider-Attacken. Hinzu kommt die Gefahr eines Datenverlusts durch Insider-Attacken. Diese müssen nicht einmal von unzufriedenen Mitarbeitern ausgehen: Mit gestohlenen Benutzerauthentifizierungen können sich Hacker Zugang zum Netzwerk verschaffen und von innen heraus ihre kriminellen Aktivitäten durchführen. Die immer stärkere Vernetzung von Produzenten, Lieferanten, Händlern und Kunden spielt ihnen dabei in die Hände, öffnet sie doch immer mehr Einfallstore in die einzelnen Unternehmen.

Ein prominentes Beispiel ist die erfolgreiche Attacke auf Vodafone: Ein Angreifer mit Insider-Wissen hatte Ende 2013 die persönlichen Daten von zwei Millionen Kunden von einem in Deutschland stehenden Server gestohlen. Unter den entwendeten Daten waren Kundenname und -adresse, Geburtsdatum sowie einige Bankkontoinformationen. Als bislang schlimmster durch eine Insider-Attacke herbeigeführter Datenverlust gilt der des US-Einzelhandels-Giganten Target: Nach letzten Informationen wurden Ende 2013, Anfang 2014 die Namen, Postadressen, Telefonnummern und E-Mail-Adressen von bis zu 70 Millionen Menschen gestohlen. Auch Kreditkartendetails von bis zu 40 Millionen Kunden waren nach Angaben des Unternehmens einem erhöhten Risiko ausgesetzt. Für die Reputation eines Unternehmens ist ein solcher Vorfall katastrophal, die langfristigen Folgen sind kaum abzusehen.

Bewusstseinswandel bei Unternehmen. Das Bekanntwerden solcher Ereignisse hat Folgen: So zeichnet sich bereits ein Wandel ab, wie Organisationen ihre Netzwerke absichern. Sie haben erkannt, dass konventionelle Abwehrtechniken nicht mehr ausreichen, um sich schnell auf die sich rasch wandelnden Bedrohungen einzustellen. Denn dies führt dazu, dass die Betroffenen bei Angriffen unzureichend vorbereitet sind.

Ohne Frage haben bisherige, punktuell eingesetzte Security-Maßnahmen nach wie vor ihre Daseinsberechtigung. Sie spielen eine wichtige Rolle bei reaktiven Abwehrmaßnahmen im Netzwerk. Gleichzeitig schaffen sie es aber nicht, aktuelle, besonders ausgeklügelte Netzattacken zu stoppen, die darauf abzielen, die Kontrolle über wichtige Computersysteme zu erlangen. Um dies zu erreichen, müssen Organisationen proaktive Security-Maßnahmen ergreifen. Dazu gehört ein vollständiger, tiefer und detaillierter Einblick in die Vorgänge auf ihren Netzwerken. Kurz: Eine umfassende Visibility.

Noch vor wenigen Jahren konnten die meisten Organisationen sicher annehmen, dass sie nicht das Ziel von gezielten Cyber-Angriffen werden würden. Eine solche Einstellung ist heute jedoch gefährlich, denn bei einer erfolgreichen Attacke und dem damit einhergehenden möglichen Datenverlust müssen die Firmen mit massiven finanziellen Einbußen und erheblichem Reputationsverlust rechnen. Bedrohungen lauern heute überall, wie beschrieben können Angriffe auch von Insidern im eigenen Netzwerk erfolgen.

Der von Verizon veröffentlichte Bericht über Datenpannen (2013 Verizon Data Breach Survey) macht zudem deutlich, dass viele Schwachstellen lange unentdeckt bleiben: Zwei Drittel der Datenlecks werden erst nach Monaten oder gar Jahren erkannt und geschlossen. Daher ist es wichtig, dass Unternehmen einen anderen Standpunkt als bislang einnehmen: Sie müssen davon ausgehen, von Hackern angegriffen zu werden. Und sie müssen mit den nötigen Vorkehrungen sicherstellen, dass sie auch besonders fortschrittliche Bedrohungen rasch erkennen und so schnell wie möglich abwehren können. Diese »Wann, nicht ob«-Haltung kann den möglichen Schaden begrenzen. Gleichzeitig ist es möglich, die Schwachstellen viel schneller und genauer als bisher zu untersuchen.

Intelligente Systeme erkennen Ano-malien. Angriffe über das Internet werden immer komplexer. Gleichzeitig müssen viele Unternehmen zunehmend größere IT-Infrastrukturen verwalten, oft auch über mehrere Standorte hinweg. Zudem sind die IT-Prozesse ein integraler Bestandteil des täglichen Geschäftsbetriebs. Dabei erzeugen die Firmen mehr Datenmengen als je zuvor, und auch die Aktivitäten auf den Netzwerken nehmen zu: Von Anwendern, die auf Desktops zugreifen bis hin zu Datenpaketen, die an Cloud-Hosting-Dienste übertragen werden.

Was Organisationen in diesem Umfeld brauchen, ist eine Systemintelligenz, die entscheiden kann, welcher Zustand beziehungsweise welche Aktivitäten auf dem Netzwerk normal sind. Und die auf dieser Basis Anomalien und inkonsistente Aktivitäten erkennt und sofort bei ihrem Auftauchen unterbindet. Wenn zum Beispiel ein Mitarbeiter in München vor seinem Computer sitzt, sich aber gleichzeitig in Shanghai einloggt, ist schnell klar, dass ein Angriff erfolgt. Das Unternehmen kann dann sofort die nötigen Schritte einleiten, um den Hacker abzuwehren.

Eine grundlegende Voraussetzung für hohe Datensicherheit ist die Sichtbarkeit (Visibility) jeglicher Aktivitäten auf dem Netzwerk. Dies erfordert den Einsatz zentraler und automatisierter Protective-Monitoring-Systeme. Diese müssen im Stande sein, Daten von mehreren im Netzwerk verteilten Quellen zu verarbeiten, zum Beispiel von Datenbanken oder Anwendungen. Auch Systemereignisse gehören dazu. Ohne solche detaillierten Einblicke ins Netzwerk verbleiben blinde Flecken, die ein ideales Einfallstor für Hacker bilden.

Wenn Unternehmen diese Visibility mit einer leistungsfähigen, spezialisierten Systemintelligenz koppeln, sind sie in der Lage, die verbleibenden Sicherheitsschwachstellen aufzuspüren und zu beseitigen. Jedes Ereignis wird dabei im aktuellen, relevanten Kontext analysiert. Dadurch erhöhen sich die Chancen erheblich, einen Angriff korrekt und frühzeitig zu erkennen.

Permanente Analyse hilft beim Optimieren der IT. Unabhängig von den immer besser abgestimmten Angriffsmethoden der Hacker und dem zunehmenden generierten Datenaufkommen ist es zweifellos wichtig, das Unternehmen permanent auch auf die kleinsten Veränderungen in ihren IT-Infrastrukturen achten. Der Einsatz moderner SIEM-Lösungen (Security Information and Event Management) zur Überwachung des Netzwerks und damit die permanente Analyse sämtlicher Netzwerkaktivitäten verstärkt nicht nur die IT-Security. Organisationen haben mit diesem Instrumentarium vielmehr die Möglichkeit, die Effizienz ihrer gesamten IT-Infrastruktur zu verbessern. Dies wiederum erleichtert das Identifizieren jeglicher Schwachstelle, die sonst potenziell ausgenutzt werden kann.

Angesichts der zunehmenden Internetkriminalität und der verschärften Bedrohungslage für Netzwerke aller Art spielen Unternehmen, die keinen proaktiven Ansatz für ihre IT-Security verfolgen, mit ihren Daten und ihrer Reputation. Unternehmen sollten ihre IT-Security-Strategie auf der soliden Grundlage einer umfassenden Visibility ihrer Netzwerke aufbauen. Darüber können sie Internetkriminelle stoppen, bevor diese massive Schäden anrichten.


Roland Messmer, Sales Director Zentral- und Osteuropa, LogRhythm

Titelbild: Shutterstock.com/Lightspring