Partner-Post Wissen ist Macht

Frühwarnsystem für Cyberattacken

Uhr
von Tim Berghoff, Security Evangelist, G Data Cyberdefense

Wissen ist Macht. Das gilt auch und in besonderem Masse, wenn es um IT-Sicherheit geht. Doch in allzu vielen Fällen bleibt verfügbares Wissen ungenutzt – zum Schaden von Unternehmen und Kunden. Mehr Wissen anzuzapfen, kann Schlimmes verhindern. Das muss nicht einmal Mehrinvestitionen bedeuten.

Tim Berghoff, Security Evangelist, G Data Cyberdefense. (Source: zVg)
Tim Berghoff, Security Evangelist, G Data Cyberdefense. (Source: zVg)

Wie gut sich ein Unternehmen für einen Cyberangriff gerüstet hat, stellt sich oft erst dann heraus, wenn es tatsächlich einmal zu einem Angriff gekommen ist. Dass ein Mehr an Abwehr nicht unbedingt auch besseren Schutz bedeutet, ist eine Erkenntnis, die dabei oft teuer erkauft wird. Anzeichen für Attacken, die im Nachhinein vollkommen klar erscheinen, blieben entweder unerkannt oder wurden gar nicht erst zur Kenntnis genommen. Ein klassisches Beispiel ist eine Warnmeldung etwa in der Managementkonsole des Virenschutzes, in der die Warnungen von gefundener Schadsoftware zwar aufgelaufen sind, aber von niemandem gelesen wurden. Das Hauptaugenmerk vieler IT-Verantwortlicher liegt dabei auf der Prävention – also dem Verhindern eines erfolgreichen Angriffs. Dabei wäre es sinnvoll, auch in den Bereich der Detektion erfolgreicher Durchbrüche zu investieren – und damit sind nicht nur Warnungen des Malwareschutzes gemeint. Diese geben zwar auch Aufschluss darüber, dass Schadsoftware auf Systemen vorhanden ist. Bereits vor der Installation von Schadsoftware gibt es auch noch andere Aktivitäten, die sich entdecken lassen. Wirklich überwacht werden diese aber noch immer in den wenigsten Fällen. Genau hier ist ein dediziertes Sicherheitsmonitoring ein vielversprechender Ansatz. 

«Embrace the breach» 

Eine bittere und unbequeme Wahrheit ist, dass nicht jeder erfolgreiche Angriff vermeidbar sein wird. Doch auf ein erfolgreiches Eindringen ins Netzwerk sind die meisten Unternehmen überhaupt nicht oder nur mangelhaft vorbereitet. Ist es einem Angreifer einmal gelungen, die Verteidigungslinien eines Unternehmensnetzwerks zu überwinden, hat er meistens freies Schussfeld und kann sich in Ruhe umschauen – und dabei auch gleich vertrauliche Daten identifizieren und sich einen Brückenkopf ins Netzwerk setzen. Das bedeutet jedoch nicht, dass Täter sich vollständig unbeobachtet wähnen können. Viele ihrer Aktivitäten hinterlassen durchaus Spuren – es ist die Kunst, diese zu finden. Dabei spielt Technik nur eine untergeordnete Rolle.

Die Spuren im Netzwerk finden sich etwa in Protokolldateien, die jedes System automatisch anlegt. Und diese Aktivitäten haben sehr eindeutige und klar hervorstechende Muster, die erfahrenen Fachleuten sofort ins Auge springen. Versierte Tätergruppen sind lediglich besser darin, ihre Spuren zu verwischen. Die Protokolle über die Aktivitäten sind im Grossen und Ganzen vorhanden, bleiben aber ungenutzt. Meist sind Forensik-Teams oder Incident Responder die Ersten, die diese Daten tatsächlich einsehen – in jedem Fall zu spät, um Schäden abzuwenden.

Sinnvoll überwachen

Zu sagen: «Dann überwache ich eben alles, was geht», ist nicht zielführend. Wer alles überwacht, generiert viele Informationen, und diese müssen auch ausgewertet werden. Dafür fehlt jedoch zumeist das Personal. Darüber hinaus ist es auch nicht immer sinnvoll, jeden einzelnen Rechner innerhalb des Unternehmensnetzwerks zu überwachen. Kriminelle Akteure sind in der Regel darauf aus, schnell die kritischen Bereiche der Infrastruktur zu infiltrieren und unter ihre Kontrolle zu bringen. Eine Workstation ist meistens fix ersetzt – was nur in begrenztem Masse für unternehmenskritische Serversysteme gilt. Diese sollten also im Fokus einer Sicherheitsüberwachung stehen. 

Selbst da, wo die Personaldecke nicht zum Zerreissen gespannt ist, fehlt zumeist Know-how, um die gesammelten Daten zu interpretieren und auch die richtigen Schlüsse daraus zu ziehen. Das Wissen, welche Aktivitäten möglicherweise Teil eines Angriffs sein könnten, gehört wiederum nicht zur Standardausstattung der meisten IT-Mitarbeitenden. Es gibt mehrere Möglichkeiten, dieser Herausforderung zu begegnen: Ein Unternehmen kann versuchen, vorhandene Fachkräfte entsprechend zu schulen. Das bedeutet einen teils erheblichen zeitlichen und finanziellen Aufwand. Der Haken dabei ist: Bereits im Vorfeld fehlende personelle Kapazitäten lassen sich auf diese Weise nur bedingt kompensieren. Ergo: Selbst wer qualifiziertes Personal hat, muss auch dafür sorgen, dass es Zeit hat, um die Expertise einzusetzen. Möglichkeit zwei: Das Unternehmen kauft diese Expertise von aussen ein, etwa durch Neueinstellungen von Fachkräften. Hier ergeben sich mehrere Hindernisse – eines davon ist der oft beschworene Mangel an ebensolchen Fachkräften. Möglichkeit drei: Ein Dienstleistungsunternehmen wird mit der Überwachung der sicherheitsrelevanten Parameter des Netzwerks betraut.

Mehr Überwachung = mehr Sicherheit?

Wer sich jedoch davon automatisch einen Gewinn für die Sicherheit erhofft, sollte sich das noch einmal überlegen. Der Grund: Selbst die ausführlichsten Daten sind ohne entsprechenden Kontext nicht aussagekräftig. Auch ein Dienstleistungsunternehmen ist dazu nicht unbedingt in der Lage, weil es zumeist den Kontext des Unternehmens nicht kennt. Alles, was hier möglich ist, ist auf Erfahrungen aus anderen Netzwerken begrenzt. So müssen sich Dienstleister darauf beschränken, bestimmte Aktivitäten als «potenziell kritisch» einzustufen. 
Es ist wie im Cockpit eines Passagierjets: Die Triebwerke liefern beispielsweise allerhand Telemetrie über Temperaturen, Drücke, Geschwindigkeiten, Stromspannung und Treibstofffluss – doch ohne genaue Kenntnisse über die Funktionsweise nützen einem die Daten nicht viel. Man hat zwar ein beeindruckend aussehendes Display, das viele Daten anzeigt, aber mehr auch nicht.

Hier liegt einer der Kernpunkte des gesamten Themas: Wenn ein Unternehmen nicht weiss, welche Aktivitäten kennzeichnend für den Normalbetrieb sind, dann lässt sich auch keine brauchbare Aussage treffen, ob eine festgestellte Aktivität nun eine sicherheitsrelevante Abweichung darstellt oder nicht. Und im Zweifel verhallen darin versteckte Warnungen ungehört – bis es zu spät ist. Dieses Problem hat jedoch keine technische Lösung, sondern eine organisatorische. 

Ein einfaches Beispiel: Ein Software-Inventar sollte Aufschluss darüber geben können, welche Programme üblicherweise im Netzwerk zu finden sind. Was nicht auf dieser Liste steht und plötzlich im Netzwerk auftaucht, sollte zumindest Verdacht erregen. Fehlt dieses Inventar jedoch, so kann niemand allein aus dem Auftauchen einer «potenziell kritischen» Anwendung Rückschlüsse auf illegitime Aktivitäten ziehen. Ist etwa der Einsatz von Fernwartungssoftware nicht vorgesehen oder gar untersagt, dann wird aus «potenziell kritisch» schnell «kritisch», wenn ein solches Programm auftaucht. Kriminelle nutzen auch oft gängige Fernwartungstools, um sich den Zugang zur Infrastruktur des Unternehmens zu erleichtern. Doch das ist nur dann möglich, wenn es zu derlei Programmen eine Regelung gibt. Keine Technik der Welt kann also eine klar definierte Policy oder einen Prozess ersetzen. 

Verständnis und Umsetzung 

Gehen wir nun einmal von einem Szenario aus, in dem ein Unternehmen einen Dienstleister gefunden hat, der in Sachen IT-Sicherheit kompetent ist, und dass eine Basiskennlinie von Netzwerkaktivitäten bekannt ist. Meldet sich nun das beauftragte Dienstleistungsunternehmen mit einer neuen Erkenntnis über eine verdächtige Aktivität, dann muss auch aufseiten des Unternehmens klar sein, was zu tun ist. Oder, falls der Sicherheitsprovider Handlungsempfehlungen ausspricht, müssen diese auch verstanden werden. Ist das nicht gegeben, war all die Mühe vergebens.
 

Webcode
H8e5DGDe