Technologischer Fortschritt ist gut, keine Frage. Doch die Medaille hat eine Kehrseite: Je innovativer die Technologie, desto ausgefeilter die Angriffe von Hackern. Methoden, die bisher nur von APTs bekannt waren, sind nun auch bei gewöhnlichen Cyberkriminellen zu beobachten. Die Lage verschärft sich seit Jahren spürbar, die Zahl der Cyberattacken steigt. Um dem vorzubeugen, haben die meisten Unternehmen individuelle Security-Konzepte erarbeitet und IT-Krisenprozesse definiert. Aber: Sich dem Thema IT-Sicherheit nur einmalig zu widmen, ist bei Weitem nicht genug. Cyber Security ist vielmehr Ergebnis eines fortlaufenden Prozesses.
In diesem Kontext ist immer wieder zu beobachten, dass Unternehmen in Panik verfallen, unüberlegte Entscheidungen treffen und Softwarelösungen zur Bekämpfung von Cyberattacken anschaffen – insbesondere, nachdem sie einem Hackerangriff zum Opfer gefallen sind. Das hat in der Regel wenig Aussicht auf Erfolg. Natürlich sind Security-Tools wichtig. Doch es braucht Software, die zum individuellen Bedarf von Unternehmen passt. Darum sollte der Anschaffung stets eine gründliche Analyse vorausgehen: Welche Security-Lösungen und Sensoren sind bereits vorhanden? Und was ist darüber hinaus erforderlich, um Schwachstellen zu erkennen und zu beheben?
Der Faktor Mensch. Diese grundlegenden Fragen zu beantworten, ist nur der erste Punkt auf einer langen To-do-Liste. Viele Unternehmen unterschätzen etwa die Gefahr, die von ihren eigenen Mitarbeitern ausgeht. Der Mensch stellt ein großes Risiko dar, man denke nur an Social Engineering. Ein kleiner Moment der Unachtsamkeit genügt, und Mitarbeitende geben sensible Informationen preis. Daneben kommt es auch bei der Abwehr von Angriffen auf den Menschen an. Natürlich ließen sich Detection und Response vollautomatisieren. Doch von Algorithmen getriebene Handlungen sind berechenbar: Wenn Hacker erkennen, dass ein bestimmter Vorgang stets dieselbe Reaktion auslöst, können sie das gezielt ausnutzen. Darum sollte der Mensch entscheiden, was hinsichtlich Remediation zu tun ist, wenn ein Security-Tool Alarm schlägt.
Den Mehrwert von Cyber Security erkennen. Allein das verdeutlicht: Um Cyber Security langfristig sicherzustellen, ist es nicht damit getan, Software einmalig anzuschaffen. Stattdessen ist IT-Sicherheit als Business-Prozess wie jeder andere zu verstehen. Ein Prozess, der mit Bedacht modelliert, mit Metriken gesteuert, mit Tools überwacht und kontinuierlich optimiert sein will. Diese Erkenntnis kommt nun im Management an. Jedoch gibt es vielerorts Aufklärungsbedarf. Denn häufig hat die Geschäftsführung keine greifbare Vorstellung davon, was Cyber Security überhaupt ist und welchen Mehrwert sie stiftet. Auf den ersten Blick scheint IT-Sicherheit Geld zu kosten, ohne messbare Resultate zu liefern. Das ist zu kurz gedacht. Vielmehr beeinflusst Cyber Security den Erfolg und die Zukunftsfähigkeit von Unternehmen ganz erheblich.
Die eigene Verwundbarkeit erkennen. Wenn Unternehmen das verinnerlicht haben, können sie sich an die praktische Umsetzung heranwagen. Dabei sollten sie zuerst eruieren, wo sie am verwundbarsten sind. Mit dem MITRE ATT&CK Framework finden sie heraus, wie sie am wahrscheinlichsten angegriffen werden. Es listet alle bekannten Angriffstechniken tagesaktuell auf und erklärt, wie man sie erkennt und mögliche Angriffe abwehrt. Wichtig ist auch, sich mit der Bedrohungslage in der eigenen Branche zu beschäftigen. Hacker sind zumeist auf bestimmte Industrien und Angriffstechniken spezialisiert. Mit einer Heatmap, die zeigt, welche Technologie wo besonders oft angewendet wird, können Firmen ihre kritischsten Infrastrukturen, Daten und Systeme gezielt schützen.
Die eigene IT-Infrastruktur kennen(lernen). Daneben ist es ebenso unverzichtbar, auch messbare Kennzahlen (KPIs) zu definieren. Nur so ist es möglich, Prozesse und ergriffene Maßnahmen im Hinblick auf das angestrebte Ziel zu bewerten und valide Ergebnisse zu erzielen. Für viele Unternehmen ist der Weg hin zu dieser Erkenntnis steinig oder sogar schmerzhaft. Denn sie müssen sich im Zweifel eingestehen, dass sie das Thema IT-Sicherheit bis dato falsch angegangen sind. Das ist etwa der Fall, wenn Firmen nicht wissen, mit welchen Lösungen und Systemen verschiedene Abteilungen arbeiten – ein weit verbreitetes Problem. Um einen belastbaren Prozess zu modellieren, müssen sie sich einen Überblick über ihre IT-Landschaft verschaffen. Nur so können sie in das richtige Personal, die richtigen Prozesse und die richtige Software investieren – mit dem Ziel, Schwachstellen und etwaige Angriffe fortlaufend zu erkennen und adäquat zu reagieren.
IT-Sicherheit ist nicht statisch. Dabei geht es nicht darum, Risk Reports zu erstellen, sondern Prozesse operativ zu steuern. Ein Beispiel aus dem Schwachstellenmanagement: Der Security Scan einer Umgebung liefert detaillierte Ergebnisse über die zum Vermessungszeitpunkt existierenden Risiken (Risk Score Metrik). Der gemessene Wert könnte zunächst bei 20.000 liegen, zwei Wochen später bei 25.000. Laut Scan hat sich das Gesamtrisiko erhöht. Darauf, ob man in der Zwischenzeit an der Problembehebung gearbeitet hat und ob das Schwachstellenmanagement zuverlässig funktioniert, lassen solche Einzelbetrachtungen keine Rückschlüsse zu. Denn IT-Sicherheit ist kein statisches Thema. Darum besteht die Lösung nicht darin, einen Security Score zu erstellen. Er zeigt nur die Qualität der Prevention an, nicht aber die Wirksamkeit von Detection- und Response-Maßnahmen. Wenn Unternehmen dennoch alle Schwachstellen einmalig schließen, kann die Situation einige Wochen später ganz anders sein.
Die Bedrohungslage verändert sich ständig. Darum sollten Unternehmen die Bedrohungslage fortlaufend monitoren und bei Bedarf alle Systeme einem CIS-Assessment unterziehen. Die Daten lassen sich in ein Scoring überführen, das Aufschluss über die Kritikalität und etwaige Schwachstellen gibt (Vulnerability Management). Ebenso hilfreich ist ein EDR-Tool, das Aktivitäten wie das Öffnen einer Datei, aufgebaute Netzwerkverbindungen und ähnliches auf Endgeräten wie PCs, Notebooks, Tablets und Smartphones aufzeichnet, also ein Prozessmonitoring bietet. Laufen die Meldungen, Alarme und Logfiles verschiedener Geräte, Netzkomponenten, Anwendungen und Security-Systeme in eine SIEM-Lösung, sind sie in Echtzeit korrelier- und auswertbar. Erkannte Anomalien, wie etwa ein Impossible Traveller, und andere Auffälligkeiten sind wichtige Indizien für eine akute Bedrohung. Doch auch das beste Monitoring eröffnet keinen vollständigen Schutz gegen Zero Day Exploit Attacks und APTs. Zu akzeptieren, dass es keine 100-prozentige Sicherheit gibt, ist ebenso wichtig wie hochqualifiziertes Personal.
Das SOC als Security-Partner. Nur dedizierte Security-Experten haben überhaupt eine Chance, professionellen Hackern die Stirn zu bieten. Während Hacker hochspezialisiert sind, müssen unternehmenseigene Fachleute nicht nur alle Techniken kennen und beherrschen, sondern auch ausgeprägte analytische Fähigkeiten haben. Ein eigenes Security-Team leisten sich üblicherweise nur große Konzerne. Mittelständische Unternehmen sind gut beraten, auf die Unterstützung eines externen Security Operations Centers (SOC) eines Managed Security Service Providers (MSSP) zurückzugreifen. Die Fachleute in einem SOC überwachen alle eingehenden Alerts und bewerten, ob es sich um kritische Incidents handelt. Bei der forensischen Untersuchung ermitteln sie, wie der Angreifer in die Infrastruktur eindringen konnte, welche Ziele er verfolgt, wie tief er eingedrungen ist und welche Methoden er angewendet hat. Dafür ziehen sie neben Logging-Daten auch Informationen aus dem EDR-System sowie dem Netzwerk-Monitoring heran und analysieren auffällige Systeme bis in die Tiefe. Zumeist konzentrieren sie sich dabei auf Active Directory, DMZ und besonders schützenswerte Bereiche.
Richtig reagieren – bei und nach einem Angriff. Sollte es sich tatsächlich um einen Angriff handeln, informiert das SOC das Incident Response Team, das die Eindämmungs- und Bereinigungsaktivitäten durchführt. Das Incident Response Team entscheidet, welche Handlungen ad hoc vorzunehmen (Containment) und welche vordefinierten Maßnahmenpakete anzuwenden sind. Wichtig ist, die Komplexität des Angriffs, den Aufbau der jeweiligen Infrastruktur, die Monitoring-Fähigkeiten auf Endpoints und Netzwerkverkehr sowie die verfügbaren Analyse-Skills zu berücksichtigen. Schließlich müssen die Abwehrmaßnahmen den Methoden und Techniken des Angreifers entsprechen. Ist die akute Gefahr gebannt, sollten Firmen den Vorfall nachbereiten. Denn nach dem Angriff ist vor dem Angriff.
Timo Schlüter,
Business Consultant Cyber Security
bei Arvato Systems