Neue Verfahren für die IT-Sicherheit: Mit Simulationen so agil werden wie die Cyberangreifer selbst

https://pixabay.com/de/

Cyberangriffe, Ransomware, Malware oder Phishing-Attacken: die Liste potenzieller Bedrohungen für die IT-Sicherheit eines Unternehmens ist lang und schier unerschöpflich. Obwohl die Angriffsmethoden immer komplexer werden und sich stetig weiterentwickeln, nutzen die meisten Unternehmen weiterhin reaktive, technologiebasierte Lösungen zum Schutz ihrer IT-Infrastruktur. Doch Endpoint-Security und Firewalls allein reichen als Schutz längst nicht mehr aus. Kontinuierliche Simulationen dagegen bieten mit permanenten Tests in Echtzeit einen aktuellen und genauen Überblick über die Gefährdungslage in einem Unternehmen. Damit passt sich die Cybersecurity in Unternehmen der Agilität der Angreifer selbst an.

Der wirtschaftliche Schaden durch Attacken wie Datendiebstahl, Spionage und Sabotage von Industrieunternehmen ist enorm: Laut einer aktuellen Studie des IT-Verbands Bitkom beläuft sich der finanzielle Schaden in den vergangenen zwei Jahren auf rund 43 Milliarden Euro. Täglich tauchen rund 100.000 neue Schadprogramme auf; das bedeutet, dass etwa alle vier Sekunden online ein neues Malware-Muster entsteht. Die Bedrohungen sind jedoch nicht nur zahlreich, sondern sie werden auch zunehmend komplexer.

 

Exploit-Attacken und Zero-Day: Die Bedrohungen werden vielschichtiger

Besonders gerne setzen Hacker sogenannte Exploit-Schadprogramme als Infizierungsmethode ein, die Sicherheitslücken von Unternehmenssoftware ausnutzen. Dabei können die Geräte der Nutzer über den Besuch einer Website, die den schädlichen Code enthält, infiziert werden oder durch das Öffnen einer Datei, die per Spam- oder Phishing-Mail auf dem Endgerät landet. Startet der Exploit einmal, hat der Hacker Zugriff auf Unternehmenssysteme und kann weitere Schadprogramme hochladen.

Brandaktuell sind sogenannte Zero-Day-Attacken. In diesem Fall nutzen Hacker bis dato unbekannte Schwachstellen. »Zero-Day« steht für die Zeitspanne, die zwischen der Entdeckung der Sicherheitslücke und dem Cyberangriff liegt: nämlich null Tage. Die Schwachstelle wird also erst entdeckt, wenn der Angriff bereits erfolgt ist und das infizierte Unternehmen hat keinerlei Vorlaufzeit, sich und seine Kunden durch Gegenmaßnahmen wie Patches zu schützen.

Um diesen komplexen Cyberangriffen wirkungsvoll zu begegnen, sind umfassende Abwehrmechanismen gefragt. Denn Hacker müssen nur einmal erfolgreich sein – die Sicherheit sollte hingegen immer up-to-date bleiben. Die Schwierigkeit für Unternehmen besteht darin, die IT-Infrastruktur nicht nur ständig neuen Anforderungen und wechselnden Prozessen anzupassen, sondern auch die entsprechenden Sicherheitsparameter nachzujustieren. Darüber hinaus müssen Sicherheitsverantwortliche das externe Bedrohungsumfeld genau beobachten, um schnellstmöglich hinsichtlich der Komplexität, des Vektors, des Targets und anderer Parameter Anpassungen vorzunehmen. Doch nicht jeder Hersteller und nicht jede Technologie kann unmittelbar auf jede Bedrohung reagieren, um Abwehrmechaniken bereitzustellen. Auch die Beobachtung der Bedrohungslage ist oft nicht effizient umsetzbar.

 

Penetrationstests bleiben eine Momentaufnahme

Gängige Maßnahme, um die Sicherheit in IT-Infrastrukturen zu überprüfen, sind Penetrationstests, die im Idealfall mehrmals pro Jahr durchgeführt werden: Gezielte Angriffe auf die IT-Infrastruktur sollen Schwachstellen feststellen.

Das Problem dabei: Da keine kontinuierlichen, sondern punktuelle Prüfungen erfolgen, geben Penetrationstests nur Aufschluss über den Sicherheitsstatus zum Testzeitpunkt. Alle Anpassungen nach dem Penetrationstest bedeuten allerdings fast immer auch eine Veränderung des Sicherheitsstatus. So bleiben Sicherheitslücken unentdeckt, die selbst durch minimale Veränderungen an den Unternehmenssystemen entstehen. Darüber hinaus werden alte, bereits gepatchte Probleme gern von Angreifern ausgenutzt. Oft passiert es zudem, dass sich bei der Reparatur von Fehlern neue Lücken auftun.

Wer Penetrationstests regelmäßig vornimmt, zählt schon zu jenen, die IT-Sicherheit ernst nehmen. Doch die meisten Unternehmen führen selbst diese Tests nicht durch. Viele hoffen schlicht, dass der Kelch an ihnen vorüberzieht und sie von Angriffen verschont bleiben. Doch Attacken auf Sicherheitslücken können prinzipiell jedes Unternehmen treffen – egal ob Krankenhaus, Autohaus oder DAX-notierten Großkonzern. Manchmal wird damit bewusst Geld erpresst, manchmal wird Malware auch einfach als Experiment gestreut. Ob ein Unternehmen davon betroffen ist oder nicht, unterliegt dann dem Zufall. Es kann infiziert werden, ohne per se ausgewähltes Ziel eines Angriffs gewesen zu sein. Diese Kollateralschäden können alle betreffen – Argumente wie »wer soll uns schon angreifen, wir sind doch viel zu klein« zählen hier nicht. Statistisch gesehen, bestehen sogar erhebliche Risiken, Opfer einer weit angelegten Angriffskampagne zu werden – selbst wenn man nicht Ziel der ersten Welle ist. Eine Studie ergab, dass Angreifer im Schnitt etwa sieben Tage Vorsprung haben. Bei 34 Prozent der für die Studie analysierten Schwachstellen gab es bereits am gleichen Tag einen Exploit.

Die großen Player sind sich über die Bedrohungen der IT-Sicherheit im Klaren: ein Bewusstsein, das auch in kleinen Unternehmen geschaffen werden muss. Haben sie dieselben Sicherheitslücken wie die großen, machen sie sich genauso angreifbar.

Punktuell Sicherheitsdienste und Sicherheitswerkzeuge einzusetzen, ist schön und gut, aber keine reelle Antwort auf die Gefährdungslage. Ein neuer Ansatz ist gefragt, der nicht nur an einzelnen neuralgischen Punkten der Infrastruktur ansetzt, sondern der den Sicherheitsstatus dauerhaft abbilden kann – und nicht nur als bald schon veraltete Momentaufnahme. Um den Schutz dauerhaft aufrechtzuerhalten, ist ein kontinuierlicher Prozess notwendig. Die Diagnostik muss sich der Agilität der Angreifer anpassen.

 

Simulierte Angriffe rund um die Uhr

Die Continuous Attack and Threat-Simulation (CAT-Simulation) von TÜV Hessen beispielsweise ist ein solcher Ansatz. Sie ist ein auf der LION-Plattform (Learning I/O Network) basierender Managed Service, der die zu sichernde Infrastruktur von außen kontinuierlich und rund um die Uhr in Echtzeit mit simulierten Angriffen penetriert. Damit wird Sicherheit erstmals messbar: Die Ergebnisse spiegeln Erfolg und Effizienz der Sicherheitstechnologien und der zugrundeliegenden Prozesse im Unternehmen wider. So ist es möglich, Abwehrmaßnahmen zu bewerten und zu verbessern.

Mit einer genauen Beobachtung der Bedrohungssituation werden die aktuellsten Angriffsmethoden und Skripte gesammelt, einzelnen Angriffsvektoren zugeordnet, eventuell kombiniert und entschärft. Durch den permanenten Beschuss der Infrastruktur kann genau eruiert werden, wie sicher die IT gegen reelle Angriffe ist. Unternehmen wissen damit jederzeit 24 Stunden am Tag, wo sie stehen.

Herkömmliche Lösungen stellen bei einem Abwehrszenario die angegriffene Infrastruktur in den Fokus. Bei der CAT-Simulation dagegen besteht eine erfolgreiche Abwehr auch in der genauen Kenntnis des Angriffs, worauf er zielt und welche Schwachstellen er ausnutzt – inklusive den zugrundeliegenden involvierten Prozessen. Die Simulation kombiniert dafür zwei Teams: Ein Red Team versucht einen Angriff erfolgreich durchzuführen und ein Blue Team optimiert die Sicherheit. Verschiedene Aspekte stehen dabei im Fokus der Untersuchung: E-Mail-Bedrohungen, Netzwerkanalyse und WAF-Analyse prüfen die Wirksamkeit vorhandener Sicherheitslösungen und simulieren Angriffe auf bestimmte Schwachstellen.

Das Gefährdungspotenzial wird anschließend in Prozent angegeben. Im Falle einer ermittelten Gefahrenanfälligkeit bietet der Service die Grundlage für Cybersecurity-Experten, um sichere Lösungen zu implementieren.

Da die CAT-Simulation Klarheit darüber verschafft, welche Angriffe stattfinden, steigen Transparenz und die Erfolgsrate bei der Behebung von Sicherheitslücken und Schwachstellen. Mit diesem Wissen können IT-Verantwortliche ihre Infrastruktur effizienter schützen. Die Agilität der CAT-Simulation entspricht der Kontinuität des Bedrohungspotenzials.

Weltweit setzen bisher 25 bis 30 Unternehmen eine vergleichbare kontinuierliche Simulation ein. Die Tendenz zeigt dabei nach oben. Führt ein Unternehmen Penetrationstests zudem regelmäßig durch, so bietet die CAT-Simulation diesen gegenüber Vorteile. Da Ausgaben für Sicherheits-Infrastruktur zunächst einmal keinen erlebten Mehrwert oder gesteigerten Umsatz erzeugen, zögern Unternehmen diese Ausgaben gerne hinaus. Die CAT-Simulation kann zudem im Vergleich mit Pen-Tests wirtschaftlicher sein.

Auch geht ein Mehr an Sicherheit oft mit einem Minus an Bequemlichkeit einher – erhöhte Sicherheit ist umständlich. Angesichts stetig komplexer werdender Bedrohungslagen werden Unternehmen künftig aber nicht mehr umhinkommen, ihre IT-Sicherheit mit Priorität zu betrachten. Die CAT-Simulation stellt hierfür ein zeitgemäßes, agiles Tool dar.

Nadja Müller, IT-Journalistin für Wordfinder PR

 

Weitere Informationen: TÜV Hessen, Bereich Cyber- und Informationssicherheit, Jürgen Bruder

 

101 search results for „Penetration“

Darauf sollte bei Penetrationstests geachtet werden

Penetrationstests mit gezielten Angriffsszenarien zeigen den Unternehmen auf, ob in den untersuchten Systemen Sicherheitsschwächen bestehen. Diese Erkenntnisse versetzen Unternehmen in die Lage, gezielte Maßnahmen zum Schutz vor echten Angriffen und potenziellen Verlusten zu ergreifen. Security Analyst André Zingsheim von der TÜV TRUST IT beschreibt einige wichtige Aspekte, auf die bei der Planung und Durchführung von…

Penetrationstests decken IT-Sicherheitslücken rechtzeitig auf

  Schwachstellen in der Unternehmens-IT selbst erkennen, bevor sie ein Angreifer finden und ausnutzen kann – das ist die Idee eines Penetrationstests. Sorgfältig geplant und von einem professionellen Dienstleister auf Netzwerk- und Systemebene oder auf Applikationsebene vorgenommen, erweist sich solch ein Test als effiziente Maßnahme gegen die wachsende Bedrohung durch Cyberkriminalität. Cybersecurity und IT-Sicherheit gehören…

Penetrationstests: 3 Argumente für den Security-Beauftragten

Es gibt einige gesetzliche Vorschriften die zur Durchführung von Penetrationstests zur Bestimmung von Lücken in der IT-Sicherheit motivieren. Dennoch stufen viele Unternehmen das Thema noch als wenig bedeutsam ein. Entsprechend stiefmütterlich werden Penetrationstests in vielen Unternehmen behandelt. Mit Hilfe von drei Argumenten können gewissenhafte Security-Beauftragte ihre Chefs aber von umfassenden, individuell angepassten Penetrationstests überzeugen. Wie…

Mit dem Risiko leben: die neue Normalität

Es klingt wie eine Binsenweisheit zumindest für diejenigen, die sich täglich mit nichts anderem befassen als mit den Herausforderungen der IT-Sicherheit: die Risiken sind omnipräsent und sie treffen (fast) unterschiedslos alle. Allerdings hat der soeben veröffentlichte 2019 Thales Data Threat Report – Global Edition auf Basis der Erhebungen und Analysen von IDC auch andere Erkenntnisse…

Elf Bausteine zur wirksamen Bekämpfung von Insiderbedrohungen

Organisationen behandeln Insiderbedrohungen häufig als Tabuthema. Nur zögerlich werden Mitarbeiter, die zu einer Bedrohung für das Unternehmen geworden sind, als solche wahrgenommen. Auch Meldungen und Maßnahmen gegen diese Personen erfolgen zögerlich. Es scheint beinahe so, als ob Insiderbedrohungen ein blinder Fleck innerhalb von Prozessen im Management seien.   Der Verizon Insider Threat Report zielt darauf,…

Cyberkriminalitäts-Analyse fokussiert sich auf Bedrohungen durch Insider

  Die Data Breach Investigations Report (DBIR)-Serie von Verizon gibt Einblicke in die Welt der Cyberkriminalität. Jetzt wurde die Analyse von Daten und Vorfällen neu ausgerichtet und fokussiert sich auf die Rolle von Insidern. Daraus entstanden ist der Verizon Insider Threat Report [1]. 20 Prozent der im Rahmen des Verizon 2018 DBIR erfassten Cybersicherheitsvorfälle und…

Nur wer seine IT-Systeme und deren Schutzbedarf kennt, kann IT-Security richtig leben

Die Sicherheit der IT-Systeme wird in Unternehmen nicht immer so ernst genommen, wie es sein sollte. Dabei helfen technische und organisatorische Maßnahmen sowie ein IT-Sicherheitskonzept, Kosten zu sparen. Denn die fallen in aller Regel geringer aus als der Schaden, der durch Cyberattacken, Datendiebstahl oder -verlust entsteht. »Das Problem ist, dass der Begriff Informationssicherheit für Viele…

»Made in Germany« war uns von Anfang an sympathisch

EDV-Systemhaus TARADOR nimmt G DATA Sicherheitslösungen ins eigene Produktportfolio auf. Seit 2010 existiert das EDV-Systemhaus TARADOR GmbH, das sich auf Dienstleistungen im IT-Sicherheitsumfeld spezialisiert hat. Das in Potsdam ansässige Unternehmen ist Platinum Partner der G DATA Software AG und hat sich vor allem wegen dem Gütesiegel »Made in Germany« für diese Partnerschaft entschieden. Sebastian Lindner…

State of Software Security Report: Europäische Unternehmen müssen in 2019 nachrüsten

Organisationen in Europa hinken den Benchmarks für die Behebung offener Schwachstellen weit hinterher. Unternehmen mit DevSecOps-Programmen beheben Fehler mehr als 11,5-mal schneller.   Veracodes Bericht zum »State of Software Security« (SoSS) enthält vielzählige Anzeichen dafür, dass DevSecOps mehr Sicherheit und Effizienz für Unternehmen bieten. Dafür besteht in Europa allerdings noch einiges an Nachholbedarf, da die…

Digitale Wirtschaft trifft in Deutschland auf bessere Rahmenbedingungen als im Vorjahr

Das Bundesministerium für Wirtschaft und Energie (BMWi) veröffentlichte Ende November die Ergebnisse des »Monitoring-Report Deutschland DIGITAL – der IKT-Standort Deutschland im internationalen Vergleich«. Die neue Studie analysiert zum einen die Positionierung des Digitalstandorts Deutschland im internationalen Vergleich, zum anderen die volkswirtschaftliche Bedeutung der deutschen Digitalen Wirtschaft.   Standortindex DIGITAL: Digitalstandort Deutschland überholt Japan Wie hoch…

Tag des Internets: Was passiert in einer Minute im Internet?

  Am 29. Oktober feiert die Welt den internationalen Tag des Internets. Mit weit über vier Milliarden Nutzern ist bereits mehr als die Hälfte der Erdbevölkerung online. In deutschen Haushalten werden mit Blick auf die genutzten Datenmengen Rekorde gebrochen und laut Studie bis 2025 Gigabitanschlüsse Standard sein. Für M-net ein Anlass, um einen Blick auf…

Cyberattacken auf deutsche Industrie werden immer mehr

  ■  8 von 10 Industrieunternehmen stehen heftiger unter Beschuss als vor zwei Jahren. ■  5 Prozent der Großunternehmen setzen für IT-Sicherheit auf künstliche Intelligenz. ■  Bitkom veröffentlicht Studienbericht zu Wirtschaftsschutz in der Industrie.   Die deutsche Industrie steht immer häufiger im Fadenkreuz von Cyberkriminellen: Für gut acht von zehn Industrieunternehmen (84 Prozent) hat die…

Heute bestehen 70 Prozent unserer Arbeit darin, Veränderung zu ermöglichen

Wir sprachen mit Dr. Thomas Greutmann, Leiter Enterprise Architecture bei Otto, über die veränderten Aufgaben der Architektur und darüber, wie er und sein Team es heute schaffen, schnelle Veränderungen bei Otto zu ermöglichen und trotzdem eine vernetzte und funktionierende IT-Landschaft aufrecht zu erhalten.   Wie steht es um die Enterprise-Architecture? Greutmann: Mir erscheint es zurzeit…

Weitere Artikel zu