Was haben der Industriekonzern KraussMaffei, der Juwelier Wempe und das Klinikum Fürstenfeldbruck gemeinsam? Sie alle wurden Opfer raffinierter Trojaner-Angriffe, die zum Teil die komplette IT-Infrastruktur lahmlegten und hohe Schäden im fünf- bis sechsstelligen Bereich verursachten. Und sie sind nur die Spitze des Eisbergs. Laut dem "Cyber Security Report 2019", der vom Beratungsunternehmen Deloitte und dem Institut für Demoskopie Allensbach erstellt wurde, sehen sich 85 Prozent aller mittleren und großen Unternehmen in Deutschland Cyber-Angriffen ausgesetzt.
28 Prozent der Firmen berichten von täglichen Angriffen, bei weiteren 19 Prozent kommt es mindestens einmal wöchentlich zu einem Vorfall. Bei rund 20 Prozent der Umfrageteilnehmer haben diese Attacken bereits spürbare, teilweise auch erhebliche Schäden verursacht. Dem Branchenverband Bitkom zufolge entsteht der Deutschen Wirtschaft durch Cyberkriminalität jährlich ein Schaden von 55 Milliarden Euro.
Der hohe Anteil erfolgreicher Angriffe zeigt deutlich, dass traditionelle Verteidigungsmethoden wie Firewall und Virenscanner nicht mehr ausreichen um den immer raffinierteren Methoden der Cyberkriminellen Paroli bieten zu können. Folgende Angriffsszenarien sind aktuell besonders problematisch:
- Social Engineering: Bei dieser Methode nutzen Angreifer Informationen auf sozialen Medien oder von den Webseiten des Unternehmens, um ausgewählte Personen gezielt anzusprechen. Die bekannteste Variante ist das sogenannte "Whaling", auch "CEO Fraud" oder Geschäftsführerbetrug genannt. In diesem Fall gibt sich der Angreifer als hochrangige Führungskraft aus und verlangt von einem Mitarbeiter, Geld auf ein Konto im Ausland zu überweisen.
- Spear und Dynamite Phishing: Auch hier sind die Angriffe individuell auf die Zielperson zugeschnitten. Die Kriminellen nutzen dafür häufig E-Mail-Konten und Kontaktinformationen, die sie in vorangegangenen Attacken erbeutet haben. Der Trojaner Emotet liest beispielsweise nicht nur Kontaktadressen auf infizierten Rechnern aus, sondern registriert auch, welche E-Mails mit wem ausgetauscht wurden. Der Angreifer generiert daraufhin eine Nachricht, die von einem bekannten Geschäftspartner zu stammen scheint und sich auf eine aktuelle Konversation bezieht. Solche Mails sind kaum als Fälschung zu erkennen und führen häufig dazu, dass der Empfänger die angehängten infizierten Dokumente öffnet, darin enthaltene Makros aktiviert und den Trojaner so weiter verbreitet.
- Zero-Day-Attacken: Sicherheitslücken in Softwareprogrammen werden häufig für Angriffe verwendet, bevor sie von Security-Experten entdeckt und gemeldet werden konnten. Erst ab dem Tag der Meldung (Day Zero) hat der Softwarehersteller die Chance, die Lücke zu schließen, daher der Name.
Mehr Angriffsfläche, höhere Risiken
Die zunehmende Mobilität von Anwendern, Applikationen und Workloads und eine extreme Vermehrung potenzieller Angriffspunkte durch das Internet der Dinge (IoT) erschwert die Verteidigung zusätzlich. Aber auch die steigende Vernetzung der Unternehmen erhöht das Risiko. In Branchen wie der Automobilindustrie fließen heute umfangreiche Datenmengen durch die Supply Chain, häufig sogar über automatisierte Datenverbindungen.
Das wissen auch die Hacker. Statt den meist gut gesicherten Automobilkonzern am Ende der Supply Chain anzugreifen, attackieren sie den mittelständischen Zulieferer in der Kette, der ihnen am schwächsten erscheint. Die Folgen können für das betroffene Unternehmen existenzbedrohend sein, denn zu der aufwendigen Reinigung und Wiederherstellung der eigenen Infrastruktur kommen womöglich erhebliche Schadensersatzansprüche von Partnerfirmen und Kunden sowie die sofortige Kündigung von Liefer- und Dienstleistungsverträgen hinzu.
Für Unternehmen, Behörden, aber auch Krankenhäuser und andere Einrichtungen der Gesundheitsfürsorge ist es allerdings nahezu unmöglich geworden, sich zu einhundert Prozent vor einer Infektion zu schützen. Um so wichtiger ist es deshalb, das eigene Risiko richtig einzuschätzen, Schwachstellen und aktuelle Bedrohungen zu kennen, vorbeugende Maßnahmen zu ergreifen und schnell und entschieden auf Angriffe reagieren zu können. Alle Maßnahmen sollten in ein übergreifendes, ganzheitliches Sicherheitskonzept eingebettet sein, das die besonders sensiblen Bereiche und Daten des Unternehmens definiert, die dafür nötigen Schutzmaßnahmen festlegt und deren Einhaltung überwacht.
Ganzheitliche Verteidigungsstrategie wird unverzichtbar
Eine solche ganzheitliche Verteidigungsstrategie lässt sich nur mithilfe eines Security Operations Center (SOC) umsetzen. Das SOC bildet eine eigenständige, von der IT-Abteilung unabhängige Organisationseinheit innerhalb des Unternehmens, die rund um die Uhr den Sicherheitsstatus der IT-Systeme überwacht und im Angriffsfall sofort eingreift. Idealerweise besteht die Mannschaft aus gut ausgebildeten Security-Spezialisten, die sich darüber hinaus kontinuierlich weiterbilden.
Ein SOC benötigt eine Reihe von Hilfsmitteln für seine Arbeit. Unerlässlich ist ein Security Information and Event Management (SIEM), in dem Meldungen, Alarmsignale und Logfiles von Computern, Netzwerkkomponenten, Anwendungen und Security-Systemen gesammelt, korreliert und analysiert werden. Durch die Korrelation der Daten an einer zentralen Stelle kann das SOC schnell Unregelmäßigkeiten erkennen, etwa wenn eine verdächtig hohe Anzahl von Anmeldeversuchen auf einem Server fehlschlägt.
Die Einrichtung des SOC muss auf jeden Fall Chefsache sein. Nur mit einem klaren Auftrag aus dem Top-Management hat das SOC-Team die notwendige Rückendeckung, um auch gegen den Widerstand anderer Abteilungen Sicherheitsmaßnahmen durchsetzen zu können. So führt beispielsweise die Frage, auf welche Informationen die Sicherheitsspezialisten zugreifen dürfen, immer wieder zu Konflikten, weil Abteilungsleiter nicht bereits sind, "ihre" Daten in vollem Umfang zur Verfügung zu stellen.
Der Aufbau und der Betrieb eines SOC stellt nicht nur eine wesentliche Änderung in der Unternehmensstruktur dar, er erfordert auch ein erhebliches Know-how und einen hohen personellen Aufwand. Angesichts der Überlastung in vielen IT-Abteilungen und des allgemeinen Fachkräftemangels ist es gerade für kleine und mittelständische Unternehmen oft eine große Herausforderung, ein SOC selbst aufzubauen und zu betreiben. In solchen Fällen empfiehlt es sich, die Unterstützung von Spezialisten in Anspruch zu nehmen. Je nachdem, welche Personalressourcen intern vorhanden sind oder aufgebaut werden können, reicht das Spektrum der Fremdleistung von der Beratung bei der SOC-Einrichtung über die Unterstützung im 24-Stunden-Supoort bis zum kompletten Outsourcing des SOC als Managed Service.
Weiterführende Informationen
In diesem Artikel konnte das Thema Security Operations Center nur angerissen werden. Alles, was Sie über den Aufbau und Betrieb eines SOC wissen müssen, erfahren Sie in dem Whitepaper "Security Operations Center - Die Antwort auf eine veränderte Bedrohungslage"
Erfahren Sie unter anderem:
Welche Fragen Sie sich vor dem Aufbau eines SOC unbedingt stellen sollten
Wie Sie die notwendige Personalstärke für ein SOC berechnen
Wie Sie die Aufgabenverteilung im SOC am besten organisieren
Wie Sie mit externen Dienstleistern optimal zusammenarbeiten