Paradigmenwechsel in der Cybersecurity
Cyberangriffe auf Unternehmen werden immer raffinierter. Malware kann sich jahrelang in der Infrastruktur verstecken, ohne dass sie entlarvt wird. Entsprechend hoch ist der Schaden, den sie anrichtet. Die gezielten Advanced Persistent Threats verlangen deshalb nach neuen Abwehrmassnahmen.
In der Welt der Cyberangriffe sind Advanced Persistent Threats, oder kurz APT genannt, gerade besonders beliebt. Zu diesem Schluss kommt der "Cyber Security Report 2019" von Swisscom. Bei APT-Angriffen geht es nicht um einen Diebstahl, sondern darum, das Unternehmen über lange Zeit hinweg auszuspionieren. Malware kann sich über Monate oder sogar Jahre im Netzwerk verstecken, ohne dass die Firma davon weiss. Besonders interessant für Hacker sind Unternehmen, die wertvolle Assets in Form von Daten besitzen. Das können etwa Finanzinformationen sein, aber auch persönliche Kundendaten, Gesundheitsdaten, geistiges Eigentum oder sogar Regierungsgeheimnisse. Der Security-Anbieter Kaspersky Lab beobachtet derzeit über hundert APT-Gruppen, die gezielt Angriffe vornehmen. Sie tragen schönfärberische Namen wie "LuckyMouse", "OceanLotus" oder "Comment Crew" und agieren mutmasslich zumindest teilweise mit der Unterstützung von Regierungen. Beweggründe sind Spionage, Datenklau oder Sabotage. "Die Hacker investieren viel Zeit, um ihre Opfer kennenzulernen. Die Angriffe sind auf das Unternehmen massgeschneidert, sodass unentdeckt möglichst viele Informationen abfliessen", sagt Panos Zarkadakis, Head of Security Framework & Governance bei Swisscom.
Die Cyber Kill Chain
Ein APT-Angriff läuft in der Regel in sieben Schritten ab. Die sogenannte Cyber Kill Chain wurde vom US-amerikanischen Rüstungskonzern Lockheed Martin entwickelt und dient heute sowohl den Angreifern wie auch den Cybersecurity-Spezialisten als Orientierung.
Auskundschaftung: Die Angreifer wählen ihr Ziel und sammeln Informationen zum Zielobjekt wie E-Mail-Adressen, Arbeitsroutinen oder Organisationsstrukturen. Sie informieren sich auch über die Verhältnisse zu Kunden und Partnern, denn auch sie könnten eine Eintrittsschleuse sein. Die Eindringlinge suchen dabei nach Schwachstellen und Lücken technischer wie auch menschlicher Natur. Diese erste Phase kann mehrere Wochen oder sogar Monate dauern.
Bewaffnung: Die passende Angriffsroute und das geeignete Werkzeug werden bestimmt. Häufig wird bereits existierende Malware auf die Zielinfrastruktur zugeschnitten. Dadurch können traditionelle Sicherheitslösungen den Angriff häufig nicht erkennen.
Zustellung: Die Malware wird oft durch eine Spearphishing-Attacke ans Ziel geliefert. Schädliche Inhalte werden also über E-Mail, Web oder sogar USB-Stick verteilt.
Zugriff: Sobald das Opfer auf den Betrug hereingefallen ist, wird die technische Schwachstelle ausgenutzt.
Installation: Die Malware installiert sich auf dem Zielsystem.
Verbindungsaufbau: Die schädliche Software nimmt Kontakt zum Command-and-Control-Server des Hackers auf, um ihm die Kontrolle über das Zielsystem zu ermöglichen.
Zielerreichung: Der Angreifer führt seinen ursprünglichen Plan durch. Er kann beispielsweise Administratorenrechte erlangen, um ungehindert sensible Daten zu kopieren. Nach dem erfolgreichen Ausspionieren versucht ein APT-Angreifer in der Regel, seine Spuren zu verwischen. Die einmal geöffnete Hintertüre auf das Zielsystem bleibt aber bestehen, damit er immer wieder darauf zugreifen kann – natürlich ohne entdeckt zu werden.
Ein Umdenken in der Cybersecurity
Klassische Massnahmen wie der Perimeter-Schutz alleine reichen nicht aus, um APT-Angriffe abzuwehren. Unternehmen müssten ihre Cybersecurity verstärkt auf Angreifer ausrichten, die bereits ins Firmennetz eingedrungen seien, sagt Costin Raiu im Interview im "Swisscom Cyber Security Report". Der Leiter des Forschungs- und Analyseteams "Kaspersky GReAT" spricht sich damit für einen Paradigmenwechsel aus. Da Angreifer die meiste Zeit damit verbrächten, sich im Firmennetz auszubreiten und Daten abzusaugen, sollten Firmen ihre Schutzmassnahmen darauf ausrichten.
Ein Unternehmen sollte folglich in gute Alarmsysteme investieren. Diese sind in der Lage, selbst Angreifer zu identifizieren, die bereits im System sind. Dazu müssen laufende Prozesse, Dateioperationen und Log-ins überwacht werden. Natürlich ist es ratsam, mehrere Verteidigungslinien zu etablieren – so ist es für die Hacker viel schwieriger, sich frei im Netz zu bewegen. Das Monitoring ermöglicht, verdächtige Vorgänge aufzudecken. Die Informationen aus Threat Intelligence helfen zudem, typische Muster und Internetadressen von Cyberattacken zu erkennen. Die Kehrseite: Solche Überwachungsmassnahmen sind aufwändiger und ressourcenintensiver in der Umsetzung als klassische Perimeter-Security.
Denken wie ein Hacker
Doch mit rein technischen Massnahmen lassen sich APT nicht abwenden. Der Mensch bleibt ein wichtiger Faktor: Sicherheitsverantwortliche und -spezialisten sollten sich in die Rolle eines Angreifers versetzen, um dessen Denk- und Vorgehensweise zu verstehen. Da APT manuell ausgelöste Attacken darstellen, ist der Verlauf oftmals von Menschenhand gesteuert. Hilfreich sind also Fragen wie "Was macht mich als Unternehmen reizvoll für APT?", "Welche Informationen und Systeme sind interessant für Spionage oder Sabotage?", "Wie könnte eine Phishing-Mail oder eine Social-Engineering-Attacke auf den Finanzchef aussehen?"
Für die menschliche Komponente zur Bekämpfung von APT sind Security Operations Centers prädestiniert. Dort sitzen die Spezialisten, die sich auf die aufgezeichneten Muster einen Reim machen und menschliche Angreifer entlarven können. "Wir führen selbst regelmässig gezielte, kontrollierte Angriffe auf unser eigenes Netzwerk durch. Dabei simulieren wir über mehrere Wochen einen realen APT. So unterziehen wir die Mitarbeitenden und IT-Systeme einem realen Stresstest und sehen, wo Sicherheitslücken auftreten", sagt Markus Neis, Threat Intelligence Manager bei Swisscom.
Verständlicherweise hat nicht jedes Unternehmen die Ressourcen, ein eigenes Security Operations Center aufzubauen, doch das ist auch nicht notwendig. Schliesslich installieren auch im richtigen Leben die Wenigsten selbst eine Alarmanlage oder machen nächtliche Kontrollgänge auf dem Firmengelände. Diese Aufgaben werden in der Regel an Unternehmen wie Securitas ausgelagert. Genau gleich verhält es sich in der Cyberwelt: Es gibt Spezialisten, welche die Sicherheitsaufgaben übernehmen.
Eine gesunde Portion Skepsis
Ganz alleine schaffen es die Spezialisten allerdings auch nicht. Da die meisten erfolgreichen Angriffe mit einem unachtsamen Kollegen starten, ist die Sensibilisierung und Schulung der Mitarbeiter besonders wichtig. Sie sollten Social-Engineering-Versuche erkennen und eine gesunde Portion Skepsis entwickeln. Doch auch die Methoden der Kriminellen werden immer ausgeklügelter. Einen hundertprozentigen Schutz vor einem Hackerangriff gibt es leider nicht, aber das sei noch lange keine Entschuldigung, fahrlässig zu handeln, meint Zarkadakis. "Zuhause installiere ich eine Alarmanlage und lege die wertvollen Gegenstände in den Tresor. Wenn ich das Haus verlasse, schliesse ich die Wohnungstür ab. Warum also sollte ich mich im Cyberraum weniger achtsam verhalten?" Sich der Risiken bewusst sein, kritische Informationen und Systeme bestmöglich zu schützen und im Alltag stets aufmerksam zu sein garantiert zwar keinen hundertprozentigen Schutz, ist jedoch die Basis jeder Cybersecurity.
Mit Advanced Persistent Threats haben Cyberkriminelle häufig ein bestimmtes Ziel vor Augen. Manchmal schleichen sich die Angreifer monatelang unentdeckt durch ein Netzwerk. Lorenz Inglin, Leiter Cyber Defense, Swisscom, erklärt im Interview, wie sich ein KMU gegen solche Attacken schützen kann.