"Am besten geht man davon aus, dass man bereits gehackt wurde"
Mit Advanced Persistent Threats haben Cyberkriminelle häufig ein bestimmtes Ziel vor Augen. Manchmal schleichen sich die Angreifer monatelang unentdeckt durch ein Netzwerk. Wie sich ein KMU gegen solche Attacken schützen kann, erklärt Lorenz Inglin, Leiter Cyber Defense, Swisscom.
Wer sind die häufigsten Opfer von fortgeschrittenen Cyberattacken?
Lorenz Inglin: Bei fortgeschrittenen Cyberattacken, vor allem bei Advanced Persistent Threats (APT), geht es häufig um Spionage. Die Angreifer wollen politische, industrielle oder militärische Vorteile aus den entwendeten Informationen ziehen. Aber auch exponierte Organisationen wie etwa das eidgenössische Institut für ABC-Schutz oder Firmen mit wertvollen Daten und Geschäftsgeheimnissen wie zum Beispiel die Ruag können Ziele sein. Selbst Politiker wurden bereits Opfer von APT. Hier geht es unter Umständen auch um Erpressung, um ein grösseres Ziel zu erreichen. Aber Cyberangriffe können ebenfalls finanzielle Hintergründe haben und so sind auch Finanzinstitute manchmal im Visier.
Was sind die Anzeichen dafür, dass ein Unternehmen betroffen ist?
Bei fortgeschrittenen Angriffen mit Spionagehintergrund finden sich in der Regel wenig Hinweise. Die Täter sind sehr gut ausgebildet und ausgestattet. Sie wollen um keinen Preis auffallen, damit sie ihre Position so lange wie möglich aufrechterhalten und Daten abziehen können. Dennoch bewegen sich die Angreifer natürlich innerhalb des Netzwerks und hinterlassen gewisse Spuren. Mögliche Anzeichen könnten ein verdächtiger Netzwerkverkehr zu identifizierten Command-and-Control-Servern oder ein anomales Benutzerverhalten sein – etwa ein Log-in zu unüblichen Zeiten, von einem unüblichen Ort aus oder unerwartet viele Zugriffe. Auch verdächtige Antiviren-Alerts, die auf Hackertools hinweisen, professionelle, genau auf das Unternehmen abgestimmte Phishing-Mails oder ein seltsames Verhalten von Systemen mit unerklärlichen Abstürzen, einer hohen Last oder einer unerwartet hohen Anzahl von Abfragen sind Indizien für einen Angriff. Wenn bei den Hackern andere Motive wie etwa Geld oder Sabotage im Zentrum stehen, sind die Nebenwirkungen des erfolgreichen Angriffs oftmals sofort erkennbar. Werden beispielsweise Systeme offline genommen, Daten verschlüsselt oder hohe Geldbeträge transferiert, fällt dies in der Regel sehr schnell auf.
Wie kann sich ein KMU vor APT schützen?
Im besten Fall macht sich das KMU für einen APT uninteressant. Unternehmen, die keine Daten speichern, können nicht Opfer eines Datendiebstahls zur Industriespionage werden. Diese Strategie ist zwar höchst effektiv, aber heutzutage für die wenigsten Firmen umsetzbar. Unternehmen sollten deshalb ihre Angriffsfläche so weit wie möglich reduzieren und den Fokus ihrer Sicherheitsvorkehrungen auf die kritischsten Assets richten, also auf Daten oder Geschäftsprozesse. Um APTs abzuwehren, ist ein mehrstufiges Sicherheitskonzept notwendig. Dazu gehören Netzwerksegmentierung, Intrusion-Detection-Systeme, Security Monitoring, Verschlüsselung der kritischen Daten, Threat Intelligence, ein solides Vulnerability-Management/Patching, Zwei-Faktor-Authentifizierung sowie tägliche Back-ups der kritischen Daten. Am besten geht man als Unternehmen davon aus, dass man bereits gehackt wurde. Nun muss man sich überlegen, wie man den Angriff am besten erkennt und darauf reagiert, Stichwort Incident Response Plan. Wenn ein KMU die Ressourcen nicht selbst hat, um sich adäquat zu schützen, sollte es auf professionelle Dienstleister zurückgreifen.
Mitte 2016 kam heraus, dass Unbekannte einen APT-Angriff auf die Ruag ausgeführt haben. Was kann man aus diesem Fall lernen?
Der Angriff auf die Ruag zeigte, dass fortgeschrittene Angreifer kaum am Eindringen in ein Netzwerk gehindert werden können – es ist alles lediglich eine Frage des Aufwands. Deshalb sollten Unternehmen ihren Fokus vielmehr auf Erkennungsmethoden verschieben. Ein Angreifer, der sich im Netzwerk bewegt, muss möglichst rasch erkannt und seine Aktionen mitverfolgt werden. Ausserdem sollte man eine übereilte Reaktion, die den Zugriff des Angreifers sperrt, vermeiden. Zuerst sollte man das gesamte Ausmass des Angriffs verstehen und herausfinden, wo sich der Hacker bereits eingenistet hat. Ausser der Zwei-Faktor-Authentifizierung, Log Collection, Reduktion von lokalen Administratoren-Rechten kann auch ein Security Monitoring helfen, solche Angriffe schnellstmöglich zu entdecken. Zudem sollten Mitarbeiter wissen, wie sie mit Phishing-Mails umgehen müssen. Dazu ist eine Informationskampagne notwendig.
Wie unterscheiden sich die Sicherheitsrisiken in der Cloud von jenen in On-Premise-Systemen?
Häufig ist die Sicherheit in der Cloud besser als bei On-Premise-Systemen, da die Anbieter bereits viele Sicherheitsmechanismen wie Logging, Zwei-Faktor-Authentifizierung oder Verschlüsselung integriert haben. Cloud-Anbieter sind zudem oftmals deutlich schneller darin, ihre Infrastrukturen gegen erkannte Bedrohungen zu schützen. Allerdings haben Sicherheitslücken in der Cloud häufig ein grösseres Ausmass, denn generell sind dann alle Tenants davon betroffen. Zudem sind die Berechtigungsmechanismen teilweise komplex, was das Risiko vor unbeabsichtigten Fehlkonfigurationen erhöht.
Wie kann man den Risikofaktor Mensch reduzieren?
Technische Massnahmen wie die erwähnte Zwei-Faktor-Authentifizierung, strenge Passwort-Regelungen oder Monitoring helfen, menschlichem Fehlverhalten vorzubeugen. Gleichzeitig ist es wichtig, die Mitarbeiter richtig auszubilden. Damit eine Firma möglichst sicher ist, muss sie ihre Mitarbeiter regelmässig in Bezug auf IT-Security schulen und ihr Bewusstsein für APT schärfen.
Cyberangriffe auf Unternehmen werden immer raffinierter. Malware kann sich jahrelang in der Infrastruktur verstecken, ohne dass sie entlarvt wird. Entsprechend hoch ist der Schaden, den sie anrichtet. Die gezielten Advanced Persistent Threats verlangen deshalb nach neuen Abwehrmassnahmen, wie Ladina Camenisch, Senior Communication Manager, Swisscom, im Fachbeitrag erklärt.