Überwachung von Darknet-Aktivitäten
Wie Hacker-News Cyberangriffe vorbeugen
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
In einem Meer der Schwachstellen und Sicherheitslücken ist es nahezu unmöglich herauszufinden, welche IT-Security-Probleme als erstes anzugehen sind. Zwar stellen IT-Hersteller und Systemhäuser regelmäßig Infos zu neuen Angriffsvektoren zur Verfügung, allerdings gibt es da eine sehr nützliche Option: Belauschen Sie doch einfach die Hacker.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Hacker-Foren als Frühwarnsystem
Aufgrund der sich immer weiter zuspitzenden Bedrohungslage legen die meisten Unternehmen ihr Vulnerability Management in die Hände der IT-Hersteller. Allerdings werden Security-Schwachstellen oft nicht zuerst von diesen entdeckt - und auf ein offizielles Statement zu warten, kann Unternehmen Tage oder gar Wochen zurückwerfen.
Denn die Hacker diskutieren nur Stunden nach Bekanntwerden einer Sicherheitslücke über diese und tauschen Tutorials darüber aus, wie sich die Schwachstelle optimal ausnutzen lässt, weiß Levi Grundert, Vice President of Threat Intelligence beim Bedrohungsanalyse-Dienstleister Recorded Future: "Typischerweise beginnen die Diskussionen innerhalb von 24 bis 48 Stunden, nachdem die Schwachstelle öffentlich bekannt geworden ist." Woher er das weiß? Bei Recorded Future hat man sich die Mühe gemacht und die Kommunikation innerhalb halbseidener Foren tiefgehend analysiert.
Die Hinweise der Anbieter, Blogposts, Mailing-Listen und sonstige Alerts werden auch von den Angreifern gelesen. Umso wichtiger ist es also, herauszufinden, was das Interesse der Hacker weckt und wie sie planen, bestimmte Sicherheitslücken auszunutzen. Mit dieser Methode können sich Unternehmen optimal auf die nächste Welle von Cyberattacken vorbereiten.
Faktor Zeit als Einfallstor für Cyberkriminelle
Eine im letzten Jahr aufgetretene Java-Sicherheitslücke ist ein gutes Beispiel dafür, wie schnell die Hacker arbeiten: Auf einer Konferenz im Januar 2015 wurde die Schwachstelle erstmals bekannt, blieb jedoch bis Anfang November unbeachtet. Zu diesem Zeitpunkt stellten Forscher von FoxGlove SecuritySecurity fest, dass die Sicherheitslücke einige wichtige Enterprise-Applikationen wie WebSphere und JBoss betrifft. Oracle und Jenkins brauchten im Anschluss zwölf beziehungsweise neunzehn Tage, bis sie eine Stellungnahme veröffentlichten. Alles zu Security auf CIO.de
Innerhalb der Hacker-Community entbrannte dagegen innerhalb von Stunden einen Diskussion um den Blogpost von FoxGlove. Sechs Tage später wurde ein "proof-of-concept exploit code" verbreitet, bevor am 13. November ein detailliertes Exploit Tutorial auftauchte - fünf Tage vor der ersten Stellungnahme Oracles. In der ersten Dezemberwoche tauschten die Hacker bereits Namen von betroffenen Unternehmen und Organisationen aus - inklusive spezifischen Links, über die die Schwachstelle ausgenutzt werden konnte.
"Offensichtlich ist der zeitliche Abstand zwischen Bekanntwerden einer Sicherheitslücke und dem Patch Release oder Workaround für Angreifer enorm wertvoll. Für Unternehmen kann dieses kleine Zeitfenster desaströse Folgen haben, insbesondere wenn detaillierte, mehrsprachige Exploit-Tutorials auftauchen", kommentiert Grundert.
Ein weiteres Beispiel dafür, dass Hacker die ausgedehnten Reaktionszeiten ganz gezielt für sich nutzen, ist die OPcache Binary Webshell-Schwachstelle in PHP 7: Am 27. April beschrieb man beim Security-Anbieter GoSecure die Schwachstelle, am 30. April fanden die Spezialisten von Recorded Future ein Tutorial, dass genau beschrieb, wie die Schwachstelle auszunutzen ist - inklusive Referenzen zu dem Blog-Beitrag von GoSecure. Zwar betraf die Sicherheitslücke nicht generell alle PHP-Applikationen, dennoch hätten Angreifer mit Hilfe des Tutorials Server mit potentiell gefährlichen Konfigurationen deutlich leichter identifizieren können.