Cyber-Bedrohungen
Die Eckpfeiler einer neuen Sicherheitsarchitektur
Jörg Asma leitet den multinationalen Bereich Cyber Security & Privacy Europe bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Asma hat Elektrotechnik in Jülich und Aachen studiert.
Besonders deutlich wurde ein Versagen der Sicherheitsmechanismen zuletzt im Fall der Attacke auf den Unterhaltungskonzern Sony. Der Schaden ist bis heute immens. Daten sind gestohlen und öffentlich gemacht worden, elektronische Inhalte wurden unwiederbringlich gelöscht, die IT-Systemlandschaft wurde derart nachhaltig sabotiert, dass lange Zeit ganze Abteilungen ihre Arbeit nicht verrichten konnten. Die Zahlen für das erste Quartal konnten nur verspätet vorgelegt werden, weil die Finanzabteilung noch nicht wieder einsatzbereit war.
Häufig wurde nun die Frage gestellt, ob Sony diesen Einbruch hätte verhindern können. Eine klare Antwort, die sich spezifisch auf diesen Fall bezieht, kann hier auch in der Retrospektive nicht gegeben werden. Eins ist dagegen ganz klar: Genauso wenig wie der US-Präsident hat heute kein globaler Konzern mehr die Möglichkeit, derart effektive Schutzmechanismen einzurichten, die Angreifern das Eindringen unmöglich machen.
Ähnlich wie aus dem Weg vom Mittelalter in die Neuzeit - wo Burgmauern zunächst gegen Kanonen und später Panzer nichts mehr ausrichten konnten - verlieren die äußeren elektronischen Schutzwälle um die gesamte IT-Systemlandschaft immer stärker an Relevanz. Denn die technische Entwicklung ist so rasant, das pausenlos rund um den Erdball neues Kriegsgerät erfunden wird, mit dem die Burgmauern überwunden werden können.
Bedeutet dies, dass Unternehmen Hackern künftig schutzlos ausgeliefert sind? Ganz im Gegenteil. Dazu gilt es allerdings, die in den meisten Unternehmen noch sehr einseitig auf Prävention fußende Sicherheitsarchitektur grundlegend zu verändern. Diese sollte künftig auf drei Pfeilern fußen:
1. Kronjuwelen identifizieren und gesondert schützen
Jedes Unternehmen hat Kronjuwelen. Das sind die Daten, die auf keinen Fall an die Öffentlichkeit gelangen dürfen, deren Vernichtung katastrophale Folgen hätte - oder die Sabotageakte zum Beispiel in Maschinenparks produzierender Unternehmen ermöglichen. Diese Daten gilt es so zu schützen, als ob es Kronjuwelen wären: physisch in der Hardware, technisch in der Software und geistig in der exakten Kontrolle der zugriffsberechtigten Persönlichkeiten.
- Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor. - Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln. - Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet. - Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren. - Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin. - Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind. - Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren. - Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin. - Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.
Bei Sony sind solche Kronjuwelen zum Beispiel Drehbücher künftiger Hollywood-Blockbuster - deren Veröffentlichung immensen wirtschaftlichen Schaden nach sich zieht.
Um höchste SicherheitSicherheit zu gewährleisten müssen Unternehmen schützenswerte Daten zunächst einmal priorisieren und dann exakt bestimmen, welche davon wirklich die essentiellsten sind. Um dann eine Schutzlösung zu entwickeln, die es Angreifern so schwer wie möglich macht, jemals an sie heran zu kommen. Und die den Besitzern nach dem Knacken des ersten Verteidigungsrings bereits aufzeigt: Ihr werdet angegriffen, bringt eure Schätze in Sicherheit.
Alles zu Security auf CIO.de
2. Dezentrale Detektion aufbauen
Da erfolgreiche Angriffsversuche auf die gesamte IT-Infrastruktur nicht mehr zu verhindern sind, sollten Unternehmen künftig stärker in Detektion als weitere ganzheitliche Präventionsmaßnahmen investieren. Faktisch bedeutet dies, eine technische Überwachungsmöglichkeit aller Datenströme des Unternehmens zu entwickeln:
Welche IT-Teilnehmer - Menschen wie Maschinen - kommunizieren im Unternehmen wie miteinander?
Wie ist das Kommunikationsverhalten außerhalb?
Gibt es Unregelmäßigkeiten die auf Einbruchsversuche hindeuten können?
Wichtig für Unternehmen ist frühzeitig zu bemerken, ob, wo und wie sie angegriffen werden. Um dann unmittelbar Gegenmaßnahmen einzuleiten. Die Zeit zwischen dem Erkennen eines Angriffs und dem Stopfen eines Sicherheitslecks ist die entscheidende Zeitspanne, die über die Größe des Schadens bestimmt. Unternehmen müssen sicher stellen, diese Zeit so minimal wie möglich zu halten. In globalen Konzernen lässt sich eine solche Detektion technisch nur dezentral implementieren, da unterschiedliche Gesellschaften und Länderorganisationen häufig mit unterschiedlichen IT-Systemlandschaften arbeiten.
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
3. Krisenreaktionsprozesse und -team bereit haben
Obgleich täglich die Gefahr eines existenzbedrohenden Angriffs droht, haben viele Unternehmen häufig keine eindeutigen Prozesse und Zuständigkeiten für den Fall eines erfolgreichen Angriffs definiert. Dies beginnt mit folgenden Fragen:
Wer schließt nach der Detektion eines Sicherheitsvorfalls, sofort und mit entsprechenden finanziellen Mitteln ausgestattet, die Sicherheitslücken?
Wer geht im Anschluss den Angriffen auf den Grund?
Wer versucht den Verlauf zu rekonstruieren, um die Kriminellen zu identifizieren?
Wer löst die rechtlichen Fragestellungen löst - sowohl was Justiziabilität der Angreifer angeht, als auch welche rechtlichen Fragestellungen sich zum Beispiel durch möglichen Geheimnisverrat, Personen- oder materiellen Kundenschaden ergeben?
Wer erklärt den Vorfall der Öffentlichkeit mit einem möglichst geringen Schaden für die Reputation?
Wie wird das alles koordiniert?
Unternehmen müssen also frühzeitig ein Krisenreaktionsteam, bestehend aus technischen Cyber-Sicherheits-Spezialisten, Forensikern, Juristen und Kommunikationsexperten aufstellen. Dieses Team muss jederzeit verfügbar sein und eindeutig aufeinander abgestimmte Prozesse haben. Und Unternehmen müssen sicherstellen, dass im Fall einer Detektion unmittelbar Budget zur Verfügung steht, um ein solches Reaktionsteam in Bewegung zu setzen.