Bedrohungen erkennen und abwehren

So arbeiten Hacker und Cyber-Kriminelle

23.03.2015 von Dipl. Oec. Michael Phan und Dipl. Inform (FH) Thomas Stasch
Cyber-Kriminelle können durch Pishing oder Trojaner schnell einen hohen finanziellen Schaden anrichten. Nur wer weiß, wie Hacker oder Cyber-Kriminelle arbeiten, kann diese Angreifer wirksam abwehren.

Wann immer sich Unternehmen oder Kommunen mit der Bedrohung durch Hacker auseinandersetzen müssen, so gibt es eigentlich nur zwei Szenarien - entweder die Gefahr wird hoffnungslos unterschätzt oder, dem Fernsehen sei Dank, man mystifiziert den Hacker zu einer dunklen, omnipotenten Gestalt mit mysteriösem Geheimwissen.

Selten trifft man auf einen eher pragmatischen Umgang mit der Bedrohung durch Hacker und noch seltener sind die jeweiligen IT-Sicherheitsverantwortlichen in der Lage die Basis ihrer Bedrohungseinschätzung zu qualifizieren oder gar zu quantifizieren.

Sicherheit
Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.
Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.
Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.
Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.
Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.
Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.
Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.
Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.

Der folgende Artikel zeigt, dass Hacking weder etwas Mystisches hat, noch dass es nur von einem besonders elitärem und technik-affinem Kreis durchgeführt wird.

Einmal Hotelsafe und zurück

Fliegt man in den Urlaub, so nutzt man ganz selbstverständlich den Safe im eigenen Zimmer und vertraut diesem Kamera, Urlaubskasse und Papiere an, völlig ignorierend, dass eine Notöffnung nur 20 Euro kostet. Dem Zimmermädchen mag der Zugriff auf diese Art und Weise verwehrt sein, doch schon der Hoteldetektiv weiß, dass sich auf der Rückseite eine Bohrung befindet, durch welche man den Safe mittels einer Stricknadel ganz einfach entriegeln kann.

Will man sich mit diesem Wissen nun einen eigenen Tresor zulegen, so stellt man sich im Rahmen einer Bedrohungsanalyse vernünftiger weise die folgenden drei Fragen:

Soweit es einfach nur darum geht das Haushaltsgeld dem Zugriff der Putzfrau zu entziehen, solange mag ein einfaches Baumarktmodel für unter 100 Euro reichen, welches im Kleiderschrank festgeschraubt wird. Wollen Sie Ihr Hab und Gut jedoch vor einem versierten Einbrecher schützen, so entscheiden Sie sich vielleicht für einen Panzerschrank der Sicherheitsklasse 6 nach EN-1143-1.

Kenne deinen Gegner

Dass Hacker nicht gleich Hacker ist, dürfte jedem spätestens seit dem ersten Bekanntwerden von Stuxnet klar sein. Die Unterscheidung nach Wissenstand, Intention und Spezialisierung vorgenommen, fällt jedoch so uneinheitlich aus, so dass für Angreifer die folgende Einteilung hilfreich sein kann:

Hacker bei Gelegenheit

Simple Script
Kiddy

Advanced Script
Kiddy

Simple Hacker

Advanced
Hacker

Know-how

Sehr gering

Gering

Mittel

Mittel

Hoch

Angriffsart

Zufällig

Zufällig

Ansatz strukturiert

Zielgerichtet

Zielgerichtet

Technikeinsatz

Keiner

Sehr gering

Gering

Mittel

Hoch

Kosten

Keiner

Sehr gering

Gering

Mittel

Hoch

Angriffsdauer

< 30 Min

< 30 Min

< 4 Stunden

< 48 Stunden

Unbegrenzt

Nutzt Social Engineering

Nein

Nein

Möglich

Ja

Ja

Motivation

Neugierde

Spieltrieb

Eigennutz

Geld / Wissen

Spionage
/ org. Verbrechen

Risiko

Sehr gering

Gering

Mittel

Mittel

Hoch

Intern

X

X

X

--

--

Extern

X

X

X

X

X

Tresorknacken für Anfänger

Die einfachste Art einen Tresor zu öffnen, ist zu probieren, ob dieser überhaupt verschlossen ist. Ein Reporter oder auch einfach nur neugieriger Mitarbeiter im Sinne des "Gelegenheitshackers" wird dem entsprechend einfach nur versuchen, ob interessante (vertrauliche) Inhalte mehr oder weniger frei zugänglich sind oder mit geringstem Aufwand zugänglich gemacht werden können.

In der Praxis bedeutet dies, dass ein Blick auf ungesperrte Rechner geworfen wird oder vielleicht in einem ungesicherten WLAN recherchiert wird, auf welche Ressourcen im Netzwerk man problemlos zugreifen kann. Wir reden also von Informationen die vergleichsweise auch öffentlich auf einem Schreibtisch oder im Abfallbehälter liegen könnten.

Jetzt wird sich der interessierte Leser dieses Beitrags (gleich ob Hacker oder Einbrecher) wahrscheinlich auf Amazon zumindest theoretisch kundig machen und feststellen, dass einfache Schranktresore mit einem Paar Sicherheitsschlüssel geliefert werden, obwohl sie mit einem Zahlenschloss ausgestattet sind.

Der Einbrecher wird also ein einfaches Lockpicking-Set und Handschuhe bei sich haben (gibt es übrigens auch im Online-Handel zu kaufen), um dann teils enttäuscht festzustellen, dass er einen Doppelbart-Pick benötigt hätte. Analog bewaffnet sich das einfach "Skript-Kiddy" mit den ihm bekannten Werkzeugen seiner Windows-Welt, um diese dann nach dem Zufallsprinzip und meist erfolglos gegen Unix-Systeme anzuwenden.

Bis zu diesem Punkt helfen einfache Maßnahmen. Beim Tresor reicht es auf die Art des Zweitschlüssels zu achten und einen sicheren Code zu nutzen, was bei Computern seine Analogie in der Aktualität der Patch-Level, der Firewall und einem starken Passwort findet.

Tresorknacken und Fortgeschrittene

Erst ab einer mittleren Wissensstufe werden sowohl die Tresorknacker als auch die Hacker zu einer ernsthaften Bedrohung für unser Hab & Gut bzw. für unsere Informationen.

Sowohl der versierte Einbrecher als auch der Hacker betreiben sogenanntes Footprinting, das heißt, sie sammeln die verfügbaren Informationen aus Web-Seiten oder New-Groups. zur Vorbereitung ihres weiteren Vorgehens. Sehen sich nun beide mit dem Objekt ihrer Begierde (Tresor oder Computer) konfrontiert, so werden auch beide gleich agieren und erst einmal die ihnen bekannten Codes, wie zum Beispiel den Hochzeitstag probieren, bevor sie sich wieder den üblichen Methoden zuwenden.

Sicherheit
Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten
BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten
CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten
ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten
EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten
Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten
NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten
Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten
Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten
Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten
ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten
AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten
NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten
Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten

Aus ihrer besseren Vorbereitung benutzen beide Täter dabei nicht unbedingt deutlich mehr Werkzeuge, doch wissen sie die verfügbaren effizienter einzusetzen Auch wird sich der Täter mittels Youtube und einschlägigen Internetseiten damit beschäftigt haben, wie man einfache Werkzeuge anwendet.

Was bedeutet dies in der Praxis: Der Angreifer wird vielleicht sogar einen Wireshark starten, um an einer gepatchten Netzwerkdose mal zu schauen, welche Pakete vorbeifliegen. Das heißt aber noch lange nicht, dass der Täter "TCP/IP spricht", er weiß nur auf welche Sequenzen er achten muss oder wie die Filter des Tools zum Erkennen von Passwörtern anwenden kann. Er oder sie wird sicherlich auch Tools wie "nmap" halbwegs beherrschen und somit in der Lage sein, einfache Sicherheitsfeatures zu umgehen.

An dieser Stelle gilt es nun sowohl dem Tresorknacker als auch dem Hacker die Basis für seine Arbeit zu entziehen, die Information. So wie man die Familie vergattert, Privates nicht im Internet zu posten oder über den Hausmüll zu entsorgen. Zusätzlich sind Systeme dahingehend zu härten, als dass sie nur über die unbedingt erforderlichen Dienste verfügen und unerwünschte Anfragen blockiert. Eine Intrusion Detection beziehungsweise Prevention runden die Maßnahmen ab, denn es ist zu erwarten, dass diese Spezies von Hackern hier auffallen wird.

Die Profiklasse

Besitz man nun hochpreisige Wertgegenstände oder elektronische Informationen, als dass man sich auch gegen jene dunklen Gestalten zu wappnen wünscht, die ihr Handwerk von der Pieke auf gelernt haben, so hilft nur der Aufstieg in eine deutlich höhere Sicherheitsklasse.

Tresorknacker und Diplominformatiker (Advanced Hacker) ziehen hier gleich, wissend, dass es etwas zu holen gibt wägen sie Kosten, Risiko und Ertrag gegeneinander ab, wählen Mittel und Methoden, kaufen Werkzeug oder Tools. Wenn es sich bei dem Ziel lohnt kommen sogar Advanced Persistent Threads, also zielgerichtete Angriffe gegen bestimmte Organisationen in Betracht. Insbesondere kommen hierbei wichtige Konzerne und Behörden mit kritischen Infrastrukturen ins Visier der Angreifer.

Dies ist sicherlich mit ein Grund für die EU-Kommission, die den Schutz von kritischen Infrastrukturen gesetzlich zu regeln versucht und hierbei in Richtung ISO-27001 auf Basis von BSI-Grundschutz schaut. Mittelfristig ist davon auszugehen, dass bis hinunter zur kommunalen Ebene die Maßnahmen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum gesetzlichen Zwang werden. Aber auch hiermit wird man das organisierte Verbrechen oder den fremden staatlichen Geheimdienst der genau "Ihr" Unternehmen angreifen will, nicht wirkungsvoll abhalten können!

Sicherheit
Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ...
Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert.
Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll.
Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen.
Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden.
Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht.
Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle.
Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift.
Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!

Zurück auf die dunkle Seite der Macht: Beiden Tätern gemein sind Zielorientierung und Mitteleinsatz. Sie sind lediglich über den Zeitfaktor und dem damit verbundenen Risikos des Entdecktwerdens vom Erreichen ihres Zieles abzuhalten. Dem Tresorknacker wird hierbei das Leben, zum Beispiel durch mehrwandige Konstruktionen und mittels Karborundpartikeln in einer Betonfüllung schwer gemacht, während dem Hacker Honey-Pots und Tarpits entgegengesetzt werden.

Doch auch hier gilt, ein bisschen was geht immer noch. Die perfekte Sicherheit (vor staatlichen Tätern wie vor der organisierten Kriminalität) ist sowohl bei Tresoren als auch bei IT-Systemen eine Illusion und endet immer in einer Abwägung von Schutzbedarf und Kosten, womit wir wieder am Anfang des Artikels und den drei wesentlichen Fragen wären.

Schutzbedarfsfestellung und Bedrohungsanalyse

In der Praxis erlebt man leider immer wieder, dass Unternehmensberater mit dem Fokus auf IT-Sicherheit alle möglichen Dinge versuchen zu implementieren. Auch durch die öffentliche Diskussion im Bereich Security ist eine gewisse Verunsicherung - auch bei Entscheidern, die teilweise persönlich haften - aufgekommen, so dass sich auf dem Feld der Informationssicherheit einfach viel Geld verdienen lässt.

Will ich mich aber wirklich schützen, sollte ich mich intensiv mit den drei Fragestellungen auseinander setzen.

Habe ich ein Unternehmen in dem es keinerlei kritische und personenbezogene Daten gibt reichen wahrscheinlich auch schon die einfachsten Schutzmaßnahmen.

Verglichen mit den Safes, reichen also die einfachen Tresore, mit einer geringen Sicherheitsstufe zum Beispiel EN 1143-1, Stufe 0, da man nur maximal 10.000 Euro hinein legen will.

Sicherheit
Cyber-Bedrohungen betreffen jedes Unternehmen
Noch vor einigen Jahren konnten Unternehmen tatsächlich davon ausgehen, dass es unwahrscheinlich ist, zum Ziel eines Cyberangriffs zu werden. Angesichts der aktuellen komplexen Bedrohungslandschaft wäre diese Annahme heute jedoch risikoreich und gefährlich. Bedrohungen können überall entstehen, auch intern im Unternehmen. Die Chance ist groß, dass viele Unternehmen in Deutschland schon angegriffen wurden und nichts davon wissen. Deshalb ist ein Umdenken so wichtig: Man sollte auch hierzulande davon ausgehen, dass man in jedem Fall angegriffen wird und die notwendigen Vorkehrungen treffen, um Bedrohungen so schnell wie möglich zu entdecken und beseitigen. Dass es zu Angriffen kommt, steht außer Frage, lediglich der Zeitpunkt ist ungewiss. Mit diesem Bewusstsein – das in anderen Industrienationen häufig schon besser ausgeprägt ist – kann die deutsche Industrie sicherstellen, dass sich der Schaden in Grenzen hält und die Angriffe schnell und mit großer Genauigkeit analysiert werden können.
Umfassendes Monitoring als Schlüssel für mehr Sicherheit
Der Schlüssel zu maximaler Datensicherheit ist eine 360-Grad-Sicht auf alle Netzwerkereignisse. Ohne einen detaillierten Einblick in die Netzwerkstruktur entstehen sogenannte „blinde Flecken“, die Hackern ideale Möglichkeiten bieten, in das Netzwerk einzudringen. Obwohl Perimeter-Lösungen lange Zeit ausreichend gewesen sein mögen, um ein Unternehmen zu schützen, bieten diese allein bei der heutigen Bedrohungslage nicht mehr genügend Schutz. Um einen tieferen Einblick in das Netzwerk zu erhalten, ist ein zentrales Monitoring-System erforderlich, das umfassenden Schutz bietet und die Daten aus verschiedensten Quellen im Netzwerk verarbeiten und auswerten kann. Dies umfasst sowohl Systemereignisse wie auch die Daten aus Anwendungen und Datenbanken.<br /><br /> Die gesammelten Daten müssen intelligent miteinander verknüpft und analysiert werden. Ein einzelnes Ereignis wie beispielsweise ein Anwender, der sich in Düsseldorf in einem Café einloggt, mag für sich allein stehend vollkommen harmlos wirken. Wenn sich dieser Anwender jedoch zehn Minuten zuvor im Münchner Büro ebenfalls im System angemeldet hat, sollten alle Alarmglocken läuten. Können Unternehmen alle verfügbaren Informationen in Bezug zueinander setzen und alle Ereignisse in einem Kontext analysieren, können sie auch Angriffe und Bedrohungen besser erkennen.
Atypische Netzwerkereignisse erkennen
Wie wollen Sie wissen, ob etwas Ungewöhnliches in Ihrem Netzwerk passiert, wenn Sie nicht wissen, was der Normalzustand ist? Wahrscheinlich finden zu jedem Zeitpunkt zahlreiche Netzwerkereignisse statt – seien es Anwender, die sich an ihren Desktops anmelden, oder Datenpakete, die an einen Cloud-Provider übermittelt werden. Ohne zu wissen, wie sich Anwender, Systeme und Anwendungen im Normalfall verhalten, ist es nahezu unmöglich festzustellen, wann Abweichungen auftreten. Unternehmen sollten deshalb eine Basis für die normalen Aktivitäten definieren und alles andere eingehend prüfen. Dabei muss sichergestellt sein, dass alle atypischen Ereignisse als solche gekennzeichnet sind.
Lassen Sie interne Bedrohungen nicht außer Acht
Wenn es um Datendiebstahl geht, sind die Mitarbeiter eines Unternehmens leider eine ebenso große Bedrohung wie Angreifer von außen. LogRhythm hat im Jahr 2013 in einer Marktuntersuchung herausgefunden, dass 23 Prozent der Angestellten auf vertrauliche Daten zugegriffen oder sich diese angeeignet haben. 94 Prozent dieser Datendiebe konnten nicht gefasst werden. Dieselbe Untersuchung hat auch ergeben, dass 75 Prozent der Unternehmen kein System im Einsatz haben, das den unbefugten Zugriff von Mitarbeitern auf sensible Geschäftsdaten verhindert. Deshalb sollten sich Unternehmen nicht ausschließlich auf die Überwachung und den Schutz vor unerlaubtem Zugriff von außerhalb konzentrieren, sondern auch ein Auge darauf haben, was innerhalb ihrer eigenen Wände passiert – ohne dabei die Privatsphäre ihrer Mitarbeiter einzuschränken. Es ist ein schmaler Grat zwischen Kontrolle und kompletter Überwachung und Unternehmen tun - insbesondere in Deutschland - gut daran, nicht auf der falschen Seite zu landen.
Betrachten Sie Fehler als Chance
Fehler sind dazu da, um aus ihnen zu lernen. Ist ein Unternehmen Opfer eines Angriffs geworden und konnte diesen entdecken und eingrenzen, sollten weitere Untersuchungen folgen. Einerseits um zu verstehen, wie das passieren konnte und andererseits, was getan werden muss, um ein derartiges Sicherheitsrisiko in Zukunft zu umgehen. Mit dem passenden Monitoring-Tool im Einsatz kann jede Aktivität und jedes Ereignis im Netzwerk erfasst, dokumentiert und als Basis für die Analyse genutzt werden. Wenn sich Unternehmen eingehend mit diesen Informationen befassen, können sie feststellen, warum sie diese Bedrohung nicht erkannt haben, welche Schwachstellen ihr Sicherheitssystem hat und möglicherweise auch, wer der Eindringling war.<br /><br /> Es ist von großer Bedeutung zu verstehen, ob eine Bedrohung lediglich eine interne Angelegenheit ist und die Daten nicht kompromittiert werden, oder ob ein sicherheitsrelevantes Ereignis auch Kunden oder andere Interessensgruppen betrifft und – vielleicht auch von Rechts wegen – die Benachrichtigung einer dritten Partei erfordert. Damit steht dann fest, wie dieses Ereignis einzustufen ist, welche Maßnahmen aufgesetzt und welche Schritte eingeleitet werden müssen.
Kommunizieren Sie auch Misserfolge
Zu verstehen, was passiert ist, ist das Eine. Es kann jedoch auch nützlich sein, diese Informationen mit anderen zu teilen. Das ist vor allem für Unternehmen mit einer großen Anzahl an Standorten wichtig, denn diese Standorte könnten demselben Sicherheitsrisiko ausgesetzt sein. Wenn Unternehmen die Information, welche Bedrohung aufgetreten ist und wie diese entdeckt und beseitigt wurde, weitergeben, kann dies den Unterschied machen zwischen einem weit verbreiteten und verheerendem Angriff oder einer bloßen Unannehmlichkeit. <br /><br /> Außerdem können dadurch Kunden und Partner gegebenenfalls bei sich selbst noch zusätzliche Sicherheitsmaßnahmen ergreifen, wie zum Beispiel die Änderung ihre Passwörter oder die Verfolgung verdächtiger Vorgänge auf ihrem Online-Banking-Account. <a href="http://www.johnsonking.com/library_de/LogRhythm_GER%20Q4%20survey.pdf" target="_blank">In einer weiteren Studie</a> stimmten sogar fast Zweidrittel der Befragten in Deutschland dafür, dass Unternehmen bedingungslos jeden Datenverlust sofort melden muss. Unternehmen müssen erkennen, dass sie sich dadurch weniger an den Pranger stellen – hauptsächlich hilft die Kommunikation von Datenlecks sich und anderen und schafft zusätzliches Vertrauen. Denn dass jedes Unternehmen heute – häufig auch erfolgreich – angegriffen wird, ist Fakt; ein Unternehmen, das die Betroffenen auch sofort darüber in Kenntnis setzt ist hingegen schon eine Besonderheit.<br /><br /><br /><em>(zusammengestellt von Roland Messmer, Director für Zentral- und Osteuropa bei LogRhythm)</em>

Spannender ist es sicherlich bei Behörden. Hier herrscht vielfach die Meinung, dass in einer öffentlichen Verwaltung eh nichts zu holen ist und die meisten Daten ja sowieso öffentlich erhältlich sind. Doch ist das wirklich so? Zwei kleine Beispiele, die vielleicht das Gegenteil beweisen:

Maßnahmen gegen Bedrohungen richtig abschätzen

Zurück zum Safe: Will man sich einen Tresor besorgen, klingt das nach einem Modell der Sicherheitsstufe Grad 5 oder mehr. Hier sind dann mehrere 100.000 Euro an Vermögen im Spiel. Dabei ist die Hürde recht hoch, um diesen Tresor zu knacken. Wie sieht aber dann der kommunale Tresor aus, in dem die wertvollsten Unterlagen liegen? Was bedeutet dies in der Praxis der Informationssicherheit?

Nachdem man sich die zwei ersten Fragen gestellt und auch beantwortet hat, gleiche man die Antworten mit der Tabelle der Hacker-Level ab. Wie lange müssen die Systeme wem gegenüber standhalten? Dies bedingt, dass man sich intensiv mit Angriffsvektoren und Tools auseinander setzen muss - gegebenenfalls ist das die Stelle, an der man auf externe Unterstützung zurückgreifen sollte.

Basierend auf diesen Erkenntnissen heißt es, Abwehrmaßnahmen zu identifizieren und die Kosten hierfür zu ermitteln. Passen die Kosten in das Budget so kann man beruhigt aufatmen und mit der Umsetzung beginnen. Kritischer wird es wenn es eine Lücke zwischen den zu erwartenden Kosten und dem notwendigen Budget gibt. In diesem - gar nicht so seltenen - Fall, gilt es die Maßnahmen zu identifizieren, die das Schutzniveau am positivsten beeinflussen, das heißt die Zeitdauer zum Durchdringen der Sicherheitsmaßnahmen zu erhöhen.

Zur Verifizierung der Maßnahmen bietet es sich dann an, einen Penetrationstest gegen sich selbst zu beauftragen. Hierbei wird sich die Wirksamkeit der Maßnahmen zeigen und übersehene Lücken auffallen. Wichtig ist es hierbei, die Ergebnisse des Tests im Anschluss mit den selbstgesteckten Zielen abzugleichen. Erst dann ist die Verifizierung vollständig.

Vereinfacht kann man das Ziel so beschreiben: Der Schwierigkeitsgrad muss so hoch sein, dass der Angreifer die Lust verliert und sich im Zweifel ein leichteres Opfer sucht. Hiervon gibt es noch genug! Da diese aber auch mit der Zeit besser werden und neue Tools und Angriffsvektoren auftauchen, bleibt das Themenfeld IT-Sicherheit an dieser Stelle eine Art Wettrüsten im Rahmen eines stetigen Verbesserungsprozesses.