Technologischer Fortschritt ist gut, keine Frage. Doch die Medaille hat eine Kehrseite: Je innovativer die Technologie, desto ausgefeilter die Angriffe von Hackern. Methoden, die bisher nur von Netzwerkangriffen bekannt waren, sind nun auch bei gewöhnlichen Cyber-Kriminellen zu beobachten. In diesem Kontext ist immer wieder zu beobachten, dass Unternehmen in Panik verfallen, unüberlegte Entscheidungen treffen und Software-Lösungen zur Bekämpfung von Cyber-Attacken anschaffen – insbesondere, nachdem sie einem Hacker-Angriff zum Opfer gefallen sind. Das hat in der Regel wenig Aussicht auf Erfolg. Natürlich sind Security-Tools wichtig. Doch es braucht Software, die zum individuellen Bedarf von Unternehmen passt. Darum sollte der Anschaffung stets eine gründliche Analyse vorausgehen: Welche Security-Lösungen und Sensoren sind bereits vorhanden? Und was ist darüber hinaus erforderlich, um Schwachstellen zu erkennen und zu beheben?
Der Faktor Mensch
Diese grundlegenden Fragen zu beantworten, ist nur der erste Punkt auf einer langen To-do-Liste. Viele Unternehmen unterschätzen etwa die Gefahr, die von ihren eigenen Mitarbeitern ausgeht. Der Mensch stellt ein grosses Risiko dar, man denke nur an Social Engineering. Ein kleiner Moment der Unachtsamkeit genügt, und Mitarbeitende geben sensible Informationen preis. Daneben kommt es auch bei der Abwehr von Angriffen auf den Menschen an. Natürlich liessen sich Detection und Response vollautomatisieren. Doch von Algorithmen getriebene Handlungen sind berechenbar: Wenn Hacker erkennen, dass ein bestimmter Vorgang stets dieselbe Reaktion auslöst, können sie das gezielt ausnutzen. Darum sollte der Mensch entscheiden, was hinsichtlich Remediation zu tun ist, wenn ein Security-Tool Alarm schlägt.
Allein das verdeutlicht: Um Cyber Security langfristig sicherzustellen, ist es nicht damit getan, Software einmalig anzuschaffen. Stattdessen ist IT-Sicherheit als Business-Prozess wie jeder andere zu verstehen. Ein Prozess, der mit Bedacht modelliert, mit Metriken gesteuert, mit Tools überwacht und kontinuierlich optimiert sein will. Diese Erkenntnis kommt nun im Management an. Jedoch gibt es vielerorts Aufklärungsbedarf. Denn häufig hat die Geschäftsführung keine greifbare Vorstellung davon, was Cyber Security überhaupt ist und welchen Mehrwert sie stiftet. Auf den ersten Blick scheint IT-Sicherheit Geld zu kosten, ohne messbare Resultate zu liefern. Das ist zu kurz gedacht. Vielmehr beeinflusst Cyber Security den Erfolg und die Zukunftsfähigkeit von Unternehmen ganz erheblich.
Verwundbarkeit erkennen
Wenn Unternehmen das verinnerlicht haben, können sie sich an die praktische Umsetzung heranwagen. Dabei sollten sie zuerst eruieren, wo sie am verwundbarsten sind. Mit dem «Mitre ATT&CK Framework» finden sie heraus, wie sie am wahrscheinlichsten angegriffen werden. Es listet alle bekannten Angriffstechniken tagesaktuell auf und erklärt, wie man sie erkennt und mögliche Angriffe abwehrt. Wichtig ist auch, sich mit der Bedrohungslage in der eigenen Branche zu beschäftigen. Hacker sind zumeist auf bestimmte Industrien und Angriffstechniken spezialisiert. Mit einer Heatmap, die zeigt, welche Technologie wo besonders oft angewendet wird, können Firmen ihre kritischsten Infrastrukturen, Daten und Systeme gezielt schützen.
Daneben ist es ebenso unverzichtbar, auch messbare Kennzahlen (KPIs) zu definieren. Nur so ist es möglich, Prozesse und ergriffene Massnahmen im Hinblick auf das angestrebte Ziel zu bewerten und valide Ergebnisse zu erzielen. Für viele Unternehmen ist der Weg hin zu dieser Erkenntnis steinig oder sogar schmerzhaft. Denn sie müssen sich im Zweifel eingestehen, dass sie das Thema IT-Sicherheit bis dato falsch angegangen sind.
Das ist etwa der Fall, wenn Firmen nicht wissen, mit welchen Lösungen und Systemen verschiedene Abteilungen arbeiten – ein weitverbreitetes Problem. Um einen belastbaren Prozess zu modellieren, müssen sie sich einen Überblick über ihre IT-Landschaft verschaffen. Nur so können sie in das richtige Personal, die richtigen Prozesse und die richtige Software investieren – mit dem Ziel, Schwachstellen und etwaige Angriffe fortlaufend zu erkennen und adäquat zu reagieren.
Sicherheit ist nicht statisch
Dabei geht es nicht darum, Risk Reports zu erstellen, sondern Prozesse operativ zu steuern. Ein Beispiel aus dem Schwachstellenmanagement: Der Security Scan einer Umgebung liefert detaillierte Ergebnisse über die zum Vermessungszeitpunkt existierenden Risiken (Risk-Score-Metrik). Der gemessene Wert könnte zunächst bei 20 000 liegen, zwei Wochen später bei 25 000. Laut Scan hat sich das Gesamtrisiko erhöht. Ob man in der Zwischenzeit an der Problembehebung gearbeitet hat und ob das Schwachstellenmanagement zuverlässig funktioniert, darauf lassen solche Einzelbetrachtungen keine Rückschlüsse zu. Denn IT-Sicherheit ist kein statisches Thema. Darum besteht die Lösung nicht darin, einen Security Score zu erstellen. Er zeigt nur die Qualität der Prävention an, nicht aber die Wirksamkeit von Detection- und Response-Massnahmen. Wenn Unternehmen dennoch alle Schwachstellen einmalig schliessen, kann die Situation einige Wochen später ganz anders sein.
Fortlaufendes Monitoring
Darum sollten Unternehmen die Bedrohungslage fortlaufend überwachen und bei Bedarf alle Systeme einem CIS-Assessment unterziehen. Die Daten lassen sich in ein Scoring überführen, das Aufschluss über die Kritikalität und etwaige Schwachstellen gibt (Vulnerability Management). Ebenso hilfreich ist ein EDR-Tool, das Aktivitäten wie das Öffnen einer Datei, aufgebaute Netzwerkverbindungen und ähnliches auf Endgeräten wie PCs, Notebooks, Tablets und Smartphones aufzeichnet, also ein Prozessmonitoring bietet.
Laufen die Meldungen, Alarme und Logfiles verschiedener Geräte, Netzkomponenten, Anwendungen und Security-Systeme in eine SIEM-Lösung, sind sie in Echtzeit korrelier- und auswertbar. Erkannte Anomalien, wie etwa ein Impossible Traveller, und andere Auffälligkeiten sind wichtige Indizien für eine akute Bedrohung. Doch auch das beste Monitoring eröffnet keinen vollständigen Schutz vor Zero Day Exploit Attacks und APTs. Zu akzeptieren, dass es keine 100-prozentige Sicherheit gibt, ist ebenso wichtig wie hochqualifiziertes Personal.
Security-Partner einbeziehen
Nur dedizierte Security-Experten haben überhaupt eine Chance, professionellen Hackern die Stirn zu bieten. Während Hacker hochspezialisiert sind, müssen unternehmenseigene Fachleute nicht nur alle Techniken kennen und beherrschen, sondern auch ausgeprägte analytische Fähigkeiten haben. Ein eigenes Security-Team leisten sich üblicherweise nur grosse Konzerne. Mittelständische Unternehmen sind gut beraten, auf die Unterstützung eines externen Security Operations Center (SOC) eines Managed Security Service Provider (MSSP) zurückzugreifen.
Die Fachleute in einem SOC überwachen alle eingehenden Alerts und bewerten, ob es sich um kritische Incidents handelt. Bei der forensischen Untersuchung ermitteln sie, wie der Angreifer in die Infrastruktur eindringen konnte, welche Ziele er verfolgt, wie tief er eingedrungen ist und welche Methoden er angewendet hat. Dafür ziehen sie neben Logging-Daten auch Informationen aus dem EDR-System sowie dem Netzwerk-Monitoring heran und analysieren auffällige Systeme bis in die Tiefe. Zumeist konzentrieren sie sich dabei auf Active Directory, DMZ und besonders schützenswerte Bereiche.
Sollte es sich tatsächlich um einen Angriff handeln, informiert das SOC das Incident Response Team, das die Eindämmungs- und Bereinigungsaktivitäten durchführt. Das Incident Response Team entscheidet, welche Handlungen ad hoc vorzunehmen (Containment) und welche vordefinierten Massnahmenpakete anzuwenden sind. Wichtig ist, die Komplexität des Angriffs, den Aufbau der jeweiligen Infrastruktur, die Monitoring-Fähigkeiten auf Endpoints und Netzwerkverkehr sowie die verfügbaren Analyse-Skills zu berücksichtigen. Schliesslich müssen die Abwehrmassnahmen den Methoden und Techniken des Angreifers entsprechen. Ist die akute Gefahr gebannt, sollten Firmen den Vorfall nachbereiten. Denn nach dem Angriff ist vor dem Angriff.
