Know your enemy: So  hätte der Bundestag-Hack früher aufgedeckt werden können    

Seit Bekanntwerden des Bundestag-Hacks Ende Mai dieses Jahres gelangen immer mehr Details an die Öffentlichkeit: Rund 16 GB an vertraulichen Daten wurden seit Anfang des Monats unbemerkt gestohlen. Darunter E-Mails, Terminkalender und sensible Daten, die aktuellen Untersuchungsergebnissen zufolge in die Hände der russischen Hacker-Gruppe »Sofacy« gefallen sind. Hätte der Cyber-Angriff auf den Bundestag bereits früher erkannt werden können? Ja, sagen Experten im Bereich Cyber- und Applikationssicherheit im deutschsprachigen Raum [1].

 

infografik cybertrap

Ende Mai 2015 wurde einmal mehr bewiesen, dass selbst die deutsche Bundesregierung nicht gegen Hacker-Angriffe immun ist: Mittels eines eingeschleusten Trojaners, der das Computernetzwerk des Bundestages »Parlacom« erfolgreich infiltrierte, konnten zahlreiche Daten ausgelesen werden – unbemerkt. Verantwortlich dafür ist eine hochprofessionelle Hacker-Gruppe, deren Ursprung in Russland vermutet wird. Doch sicher können sich die betrauten Experten nicht sein, da die Spuren solcher Angriffe absichtlich falsch gelegt sein könnten. Verifizierte Fakten gibt es also nicht. Nur die Frage, ob man diesem Angriff nicht früher auf die Schliche hätte kommen können. »Durch den Einsatz moderner high-interactive Honeynets wäre ein Angreifer schon eher im System bemerkt worden und somit der Verlust großer Datenmengen zu verhindern gewesen«, sagt Torsten Wilhelm Töllner, Geschäftsleitungsmitglied bei SEC Consult Deutschland, und macht auf neue Technologien im Bereich Cyber-Abwehr aufmerksam.

Unkonventioneller Ansatz gegen Cyber-Angriffe

Dass Firewalls und Antiviren-Programme angesichts aktueller bedrohlicher Entwicklungen keinen ausreichenden beziehungsweise umfassenden Schutz bieten, ist mittlerweile weitgehend bekannt. Im Gegensatz zu früheren Bedrohungen wie automatisierten Bots, steht man heute professionellen Hackern mit zielgerichteten Attacken gegenüber. »Die einzig wirkungsvolle Lösung für dieses Problem ist, so viele Informationen wie möglich über den Angreifer in Erfahrung zu bringen: Was sind seine Motive, Tools, Ziele? Wer sind seine Auftraggeber? Kennt man diese Antworten, können dementsprechende Sicherheitsvorkehrungen für eine nachhaltige IT-Security getroffen werden«, erklärt Töllner.

Ganz nach dem Motto »Keep your friends close, but your enemies closer« hat das in Berlin ansässige Unternehmen SEC Consult eine bisher einzigartige Lösung entwickelt: CyberTrap. Dabei handelt es sich um die »Next Generation« der Honeynet-Technologie, die weit über die Möglichkeiten bisheriger interaktiver Honeynets hinausgeht: Den Angreifern wird hierbei ein verwundbares und somit attraktives IT-System vorgetäuscht. Tatsächlich handelt es sich hinter bei ungeschützt wirkenden System um eine isolierte und kontrollierbare Netzwerk-Kopie, in die der Angreifer einbricht. Sobald dies passiert, löst CyberTrap einen Real-Time-Alert aus und Nutzer können via Live-Monitoring dabei zusehen, wie sich der Datendieb im »falschen« System ausbreitet. Damit dieser in der Falle bleibt, wird er laufend mit scheinbar kostbaren Daten versorgt. Über einen längeren Zeitraum ist es so möglich, das Verhalten und die Vorgehensweise des Hackers systematisch zu analysieren. Die Ergebnisse können anschließend in die unternehmenseigene Cyber-Security-Strategie einfließen. Anstatt selbst Opfer eines Spionageangriffs zu werden, dreht CyberTrap den Spieß um und forscht den Angreifer – bis hin zu Hintermännern und Auftraggebern – aus. Durch diese forensischen Möglichkeiten, würde die Spurenauswertung im Fall des deutschen Bundestages etwas schneller ausfallen, meint Töllner.
229 Tage bis zur Erkennung

Dass Hacker nicht nur die öffentliche Verwaltung beziehungsweise Regierung anvisieren, zeigen tägliche Hacker-Angriffe auf Wirtschaft und Industrie: Sowohl Großkonzerne als auch KMU sind vermehrt Opfer illegaler Spionageakte und Sabotagen. »Solche Angriffe dauern durchschnittlich 229 Tage [1] – genug Zeit, um unentdeckt Kundendaten oder Baupläne zu stehlen und Unternehmen somit in existenzbedrohende Situationen zu bringen«, so Töllner. »Moderne Sicherheitslösungen fangen den Hacker schon davor ab und generieren gleichzeitig wertvolle Informationen, die Unternehmen für die eigene Cyber-Security-Strategie nutzen können.«

Weitere Informationen finden Sie unter: www.sec-consult.com
[1] Quelle: M-Trends, 2014: Beyond the Breach 

Weitere Artikel zu