Seit im Sommer 2013 die NSA-Affäre öffentlich wurde, hat das Thema Cyber Security zusätzlich an Bedeutung gewonnen. Doch es sind nicht nur politische Beweggründe, die Hacker motivieren, sich durch Firewalls und Virenscanner in die Systeme einzuschleichen. Während sich zunächst vornehmlich Industrieunternehmen mit regelmäßigen Angriffen konfrontiert sahen, ist mittlerweile keine Branche mehr von der Gefahr der Cyber-Kriminalität ausgenommen - hat die Bedrohung eine völlig neue Dimension erreicht.
Foto: Alexander Supertramp - shutterstock.com
Die Medien berichten täglich von Fällen des Internet-Betrugs. Doch Online-Angriffe bringen nicht nur Computersysteme selbst in Gefahr; der gehackte Großrechner eines zentralen Energieversorgers kann in kürzester Zeit die Infrastruktur einer ganzen Region lahmlegen: ob Gesundheitswesen, Verkehr, Kommunikation oder ganze Produktionsstätten - hier können alle Bereiche betroffen sein.
Cyber-Sicherheit - zentrale Herausforderung unserer Zeit
Cyber-Kriminelle verfolgen heute andere Ziele als früher. Bei Angriffen geht es nicht mehr um Spaß am Programmieren, sondern um finanzielle oder politische Vorteile. Moderne Cyber-Täter sind hochqualifiziert und nutzen intelligente Angriffsmethoden, gegen die die aktuellen Abwehrmaßnahmen teilweise machtlos sind. Das zeigen Beispiele wie der Online-Bankraub in New York. In diesem Fall gelang es den Tätern, mit Hilfe einer Schadsoftware Geldautomaten so zu manipulieren, dass Beträge in Millionenhöhe erbeutet wurden. Selbst einer der prominentesten Virenjäger der Welt, Jewgeni Kaspersky, wurde mit Hilfe eines Schadprogramms ausspioniert, weil die Prävention seiner eigenen Systeme ungenügend war.
- Christian Frei, usd:
"Als Sicherheitsfachmann müssen Sie die ganze Breite der Informatik beherrschen." - Günther Ennen, BSI:
"Man braucht ein Gespür für Unsicherheit in Prozessen und Systemen." - Rene Paegelow, BSI:
"Viele Unternehmen setzen zumindest auf den IT-Grundschutz." - Stephan Pfisterer, Bitkom:
"Wir brauchen mehr berufsbegleitende Qualifizierungsmöglichkeiten."
Als IT-Sicherheitsexperte bei usd dringt <strong>Rainer Thome</strong> im Auftrag von Firmen in deren Computersysteme ein."
Unternehmen müssen proaktiv agieren
Unternehmen, die lediglich reagieren, werden früher oder später mit Problemen konfrontiert. Daher sollte jeder Betrieb proaktiv handeln. Dazu gehört auch zwingend, das erforderliche Know-how an Bord zu holen. Die Rekrutierung von Spezialisten im IT-Sicherheitsbereich hat in den vergangenen Jahren kontinuierlich an Bedeutung gewonnen. Mit der Einführung des neuen IT-Sicherheitsgesetzes entstehen für Betreiber kritischer Infrastrukturen außerdem neue Pflichten zur Einführung von Abwehrmaßnahmen, Nachweis- und Meldepflichten. Das Ziel des IT-Sicherheitsgesetzes ist es, die Verfügbarkeit, aber auch die Integrität und Vertraulichkeit der IT-Systeme zu schützen.
Qualifizierte IT-Profis antizipieren Angriffsszenarien
Die für diese Bereiche gesuchten IT-Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein, als es die reinen IT-Experten der Vergangenheit waren. Effektive Präventionsarbeit solcher Profis beinhaltet auch die Planung potenzieller Angriffsszenarien, beispielsweise wenn Forschungsdatenbanken angezapft oder Produktionen blockiert werden sollen. Für eine derartige Inszenierung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security- und Netzwerkbereich, in Kryptografie und natürlich Vertrautheit mit allen gängigen Softwareherstellern und deren Produkten erforderlich. Zudem muss der IT-Spezialist sich in die vermutete Zielsetzung und am besten sogar in die Denkweise der Hacker hinein versetzen können, um geeignete Gegenmaßnahmen zu ersinnen.
- Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier. - 1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern. - 2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk. - 3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen. - 4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. - 5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. - 6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.
Lebenslanges Lernen ist notwendig
Neben der theoretischen Konstruktion von Worst-Case-Szenarien ist es natürlich auch erforderlich, mögliche Schlupflöcher im System ausfindig zu machen. Darüber hinaus sollten Ereignisse bedacht werden, die nicht rein auf der Programmierung, dem Angriff auf die Firewall oder direkten anderen Attacken beruhen. Erhebliches Potenzial an Cyber-Angriffen ist mittlerweile auch dem Social Matching zuzuschreiben. So wird beispielsweise in Blogs oder sozialen Netzen von fiktiven Problemen berichtet und nach eventuellen Erfahrungen und Lösungsansätzen gefragt. Wird dann im Glauben, dass der Betroffene ein seriöser geschäftlicher Nutzer ist, eine Information des eigenen Unternehmens über den Umgang mit dem (fiktiven) Problem gegeben, kann der Cyber-Kriminelle gegebenenfalls Rückschlüsse auf die Konfiguration der Netze ziehen - mit fatalen Folgen für die Sicherheit.
- Über den Tellerrand hinaus denken
Der bereits heute akute Fachkräftemangel macht die Förderung von Nachwuchstalenten für viele Unternehmen zum Erfolgsfaktor. Sinnvolle Förderung kann zum Beispiel in den Bereichen Datenverwaltung, Softwareentwicklung, Geschäftsanalyse, Datenwissenschaft, Finanzen und Recht oder Statistik liegen. - Beziehungen aufbauen
Es geht um ein aktives Netzwerk an wichtigen Kontakten, zum Beispiel zu wichtigen Dienstleitern. - Spezialisten für Prozessoptimierung anstellen
Experten mit Erfahrung in Qualität, Projekt- oder Programmmanagement, Prozess- und Serviceoptimierung sind eine Bereicherung für das Team. - Verantwortlichkeiten im Risikomanagement festlegen
Konsequente Aufgabenverteilung und klare Reportingstrukturen bei der Bewältigung von Sicherheitsrisiken einzubeziehen, mindert die Gefahr von Ausfällen. - Experten vertrauen
Zur Verstärkung der Core-Teams, zum Beispiel bei Spezialaufgaben, sollten interne und externe Experten zugezogen werden. - Standardvorgänge delegieren
IT, Geschäftsbereiche und externe Dienstleister sollten in gängige Sicherheitsprozesse eingebunden werden. - Kernkompetenzen neu definieren und stärken
Die Core-Teams sollten sich zunächst auf vier Hauptbereiche konzentrieren: Analyse der Datensicherheit und Aufklärung der Cyberrisiken, Datensicherheitsmanagement, Risikoberatung und Steuerungsdesign.
IT-Sicherheitsspezialisten müssen sich in allen möglichen Szenarien gedanklich auf die Seite der Angreifer begeben, um mögliche Lücken und Störungspunkte zu identifizieren und mit fachlichem und technischem Know-how adäquate Lösungen vorzubereiten. Sie müssen die aktuelle Bedrohungslage verstehen und neue Angriffsflächen einschätzen können. Auch müssen die IT-Spezialisten organisatorische und technische Maßnahmen zur Prävention und Detektion von Cyber-Angriffen ergreifen, hohe Reaktionsfähigkeit bei einer realen Attacke entwickeln und sachlich fundierte Entscheidungen treffen können, um im Fall der Fälle in kürzester Zeit die richtigen Schritte einzuleiten. (pg)