Illustration: Absmeier KeithJJ

Organisationen verstärken aufgrund der Gefahrenlage ihre Abwehr gegen Cyberangriffe von außen. Dabei vergessen sie oft jedoch den Blick nach innen. Neue Technologien helfen dabei, Angreifer zu stoppen, die sich bereits im Netzwerk befinden.

Für Cyberkriminelle bedeutet die Corona-Krise und ihre Folgen eine Goldgräberstimmung – noch nie waren viele Unternehmen so verwundbar wie heute. Die IT-Sicherheit zieht jedoch langsam nach, um die durch die verteilten Mitarbeiter vergrößerte Angriffsfläche abzusichern – und erhöht die Sicherheitsmauern rund um das Unternehmen und seinen Mitarbeitern im Home Office. Dabei übersehen viele Organisationen, dass die eingesetzten Lösungen nur nach außen gerichtet sind und nicht nach innen – wo die mitunter größeren Gefahren lauern.

Cybererpresser gehen immer zielgerichteter vor

Die Verschlüsselung von Daten durch Ransomware ist ein gutes Beispiel für Bedrohungen von außen. Sie werden von den Angreifern im Gießkannenprinzip weit gestreut und der Erfolg ist für die Kriminellen eher zufällig, je nachdem welcher Mitarbeiter auf eine Phishing-E-Mail klickte. Aber selbst wenn Daten verschlüsselt wurden, können Unternehmen mit Entschlüsselungstools, Recoverware oder einfachen Backups dagegenhalten und die Daten wiederherstellen. Als Reaktion darauf gehen viele Cybererpresser zielgerichteter vor. Sie zielen mit ihren Angriffen vermehrt auf Organisationen, deren Daten als wertvoller angesehen werden oder bei denen der Reputationsschaden potenziell am größten ist. Denn diese Unternehmen sind eher bereit ein Lösegeld zu zahlen – und sei es dafür, dass die Daten nicht öffentlich werden. Die Kriminellen studieren hierzu potenzielle Opfer individuell und sehr detailliert, um das Potenzial für einen erfolgreichen Angriff genau einschätzen zu können. Letzten Endes entscheiden sie anhand der Gewinnerwartung, welche Organisationen sie angreifen. Diese neuen, viel gezielteren Bedrohungen erfordern eine andere Reaktion als die eher wahllosen Angriffe bei Ransomware.

Neue Bedrohungen erfordern eine intelligentere Reaktion

Aus Sicht des IT-Sicherheitsbetriebs liegt ein großer Teil der Herausforderung zur Abwehr von Cyberkriminellen in der Erkennung und Untersuchung potenzieller Angriffe anhand von Indicators of Compromise (IOCs). Dies können verdächtige und/oder auf der schwarzen Liste stehende IP-Adressen sein, oder auch bekannte Phishing-URLs sowie Signaturen für bösartige Dateien. Im Idealfall verhindern klassische Sicherheitstools anhand dieser IOCs wie Intrusion Detection, Firewalls und Endpoint-Security, dass bevor Organisationen Opfer eines erfolgreichen Angriffs werden.

Dieser Ansatz mag bei Ransomware funktionieren, bei der Daten nach erfolgreichem Angriff sofort verschlüsselt werden. Bei zielgerichteten Angriffen müssen sich die Kriminellen eine Zeit lang im Netzwerk umsehen, um die für sie richtigen Daten zu finden, die es abzugreifen lohnt. Unternehmen haben mitunter Petabyte an Daten an zahlreichen verschiedenen Orten gespeichert. Um an diese wertvollen Daten zu gelangen, müssen die Kriminellen deutlich mehr Zeit und Aufwand investieren. Nach außen gerichtete Sicherheitstools können jedoch keine kompromittierten Insider erkennen, da sich diese auf den ersten Blick komplett legitim im Netzwerk bewegen. Um Angriffe in einem solchen Stadium erkennen zu können, benötigen Unternehmen andere Sicherheitswerkzeuge. Und da sich die Kriminellen mitunter eine längere Zeit im Netzwerk aufhalten können, geht es darum, sie frühestmöglich zu erkennen, bevor sie größeren Schaden anrichten können.

Der Zeitfaktor bietet der IT-Sicherheit einen kleinen Vorteil

Mitunter verbringen die Kriminellen Monate oder gar Jahre innerhalb einer Infrastruktur und betreiben dabei großen Aufwand unentdeckt zu bleiben, während sie sich ihren Weg durch die Verteidigungskette zu den Daten-Kronjuwelen des Unternehmens bahnen. Dies bietet der Verteidigung jedoch auch kleine Vorteile: Zum einen haben sie im Vergleich zur Ransomware mehr Zeit um nach den Eindringlingen zu suchen – und zum anderen hinterlassen die Kriminellen bei ihren Bewegungen im Netzwerk Spuren. Diese Chancen kann die IT-Security nutzen, um Schlimmeres zu verhindern – vorausgesetzt sie verfügt über die notwendigen Werkzeuge, um den Sicherheitsblick nach innen zu richten. Denn IOCs sind ausnahmslos nach außen gerichtet, was sie für die Entdeckung von sich bereits im Netzwerk befindlichen Angreifern nutzlos macht.

SIEM und UEBA: Die effektive Innenverteidigung

SIEM-Lösungen (Security Information and Event Management) stellen Logs aus einer Vielzahl von Quellen zusammen und analysieren sie nach normalem und verdächtigem Verhalten in Netzwerk. SIEMs der neuesten Generation bauen hierfür auf UEBA (User Entity Behaviour Analytics) das auf Algorithmen des maschinellen Lernens aufbaut und das Verhalten der Nutzer und Geräte im Netzwerk kontinuierlich überwacht. Etwa wenn auf ungewöhnliche Dateien zugegriffen wird oder auffällige Anwendungen ausgeführt werden. Diese Analyse der Logdaten im Netzwerk muss automatisch geschehen, weil es davon einfach zu viele gibt, als dass Sicherheitsteams sie manuell effektiv und in Echtzeit untersuchen könnten.

Automatisierung und Orchestrierung verkürzen die Reaktion auf Angriffe

Verdächtiges Verhalten zu erkennen, ist jedoch nur ein Teil der Aufgabe. Denn nun muss schnellstmöglich reagiert werden, um drohenden Schaden zu verhindern oder weitestgehend einzuschränken. Um den Umfang der Reaktion definieren zu können muss der Vorfall vollumfänglich untersucht werden. Hierzu gehört die Erstellung eines Zeitstrahls, welcher alle Aktivitäten der beteiligten Nutzer und Geräte aufzeigt und bewertet, ob diese normal oder ungewöhnlich sind. Sobald dies geschehen ist kann die Reaktion geplant und durchgeführt werden. Hierbei werden die IT-Sicherheitsteams von SOAR-Lösungen (Security Orchestration, Automation and Response) zur Automatisierung und Orchestrierung notwendiger Abwehrmaßnahmen durch verschiedene Security-Produkte unterstützt. SOAR ist sozusagen der Libero der Verteidigung, der schnellstmöglich nach der Erkennung und Analyse zielgerichtet auf die Angriffe reagiert. Über festgelegte Playbooks lassen sich Abwehrmaßnahmen, wie beispielsweise die Isolierung eines Hosts oder die Sperrung einer IP-Adresse zur Begrenzung der Auswirkungen, komplett automatisieren. Neben einer schnelleren Reaktionsdauer reduziert dies die mittlere Wiederherstellungszeit (MTTR/Mean Time To Recover) in diesen kritischen Szenarien, in denen die Zeit von entscheidender Bedeutung ist.

Sich niemals in Sicherheit wähnen

Selbst wenn die nach außen gerichteten Verteidigungslösungen wie wie Intrusion Detection, Firewalls und Endpoint-Security nicht Alarm geschlagen haben, sollte die IT-Sicherheit in Unternehmen immer damit rechnen, dass sich Cyberkriminelle auf irgendeine Art und Weise im Netzwerk aufhalten – und proaktiv versuchen die Angreifer aufzuspüren. Dafür benötigt sie Sicherheitslösungen, die nach innen gerichtet sind.«

Egon Kando ist Area Vice President Of Sales Central, Southern and Eastern Europe bei Exabeam

Der diplomierte Ingenieur ist seit über 19 Jahren im IT-Security-Markt tätig und begann seine Karriere einst bei der BinTec AG in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt.

2737 Artikel zu „Sicherheit Innen“

NEWS | IT-SECURITY | TIPPS

Wie das Gesundheitswesen den Kampf um die Cybersicherheit gewinnen kann – drei Entwicklungen und vier Lösungsansätze

16. November 2020

Nicht erst seit Covid und den jüngsten Ransomware-Attacken ist das Gesundheitswesen einer der dynamischsten Schauplätze von Cyberkriminalität Im Laufe der letzten Jahre haben sich nach Meinung von Vectra AI drei wesentliche Erkenntnisse über Cyberangriffe im Gesundheitswesen herauskristallisiert: Die wirkliche Bedrohung liegt bereits in den Netzwerken des Gesundheitswesens selbst in Form des Missbrauchs des privilegierten…