Security Operations Center

Sicherheit umfasst nicht nur den Cyberspace

Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.
Bei professionell orchestrierten Hackerangriffen werden regelmäßig physische Elemente und bösartige Aktivitäten im Cyberspace nahtlos miteinander kombiniert. Wir sagen Ihnen, was Unternehmen dagegen tun können.

Die Taktik ist bekannt aus Blockbustern wie "Ocean´s Eleven": Eine bunt zusammengewürfelte Bande von Dieben nutzt eine Kombination aus Social Engineering, Einbruch und Hacking, um in eine scheinbar unüberwindliche Festung einzudringen und sich anschließend mit Beute in Millionenhöhe davonzumachen. Und auch wenn man in der Traumfabrik Hollywood oft über die Grenzen des Realismus hinaus inszeniert, hat das eben beschriebene Szenario durchaus realistische Grundlagen. Eine Tatsache, die betroffene Unternehmen bezeugen können.

So planen die Hacker

Die meisten Unternehmen werden wohl nicht mit einem finanziell gut ausgestatteten Angreifer, der sich Zugang zu einem physischen Safe verschaffen will, konfrontiert. Dennoch gilt es zu beachten: Die Cybersecurity muss zwischen den verantwortlichen Teams für IT-Sicherheit (SecOps), Netzwerkbetrieb (NetOps) und physische Sicherheit Brücken bauen, um erfolgreich sein zu können. Wenn eine dieser in Silos arbeitenden Gruppen nur ein Teil des Puzzles hat, können Hackerangriffe möglicherweise nicht erkannt werden. Und das ist genau das, worauf die Kriminellen zählen.

SecOps, NetOps und physische Sicherheit müssen zusammenwirken, um Angriffe wirksam erkennen und verhindern zu können.
SecOps, NetOps und physische Sicherheit müssen zusammenwirken, um Angriffe wirksam erkennen und verhindern zu können.
Foto: Fer Gregory - shutterstock.com

Bevor es um die Koordination zwischen SecOps, NetOps und physischer Sicherheit geht, lässt sich an einem Beispiel verdeutlichen, wie Angreifer den Diebstahl geistigen Eigentums planen und orchestrieren:

· Die bösartigen Akteure definieren zunächst die Art und den Umfang der Informationen, auf die sie es abgesehen haben, etwa Schaltpläne für ein Kernkraftwerk.

· Sobald das Angriffsziel identifiziert ist, spionieren die Angreifer die C-Level-Führungskräfte im Unternehmen aus, einschließlich eines gezielten E-Mail-Angriffs gegen den CFO.

· Der CFO wird kompromittiert mit einer Malware-Nutzlast, die auf seinem PC installiert wird. In typischen Szenarien würden sich die Angreifer von diesem ersten Einstiegspunkt vorarbeiten, um den Ort im Netzwerk auszukundschaften, an dem sich die Schaltpläne befinden.

· In diesem Fall hat das Produktionsdaten-Rechenzentrum strenge Kontrollen für eingehende Daten. Dies ist entscheidend für die Einhaltung gesetzlicher Vorschriften und soll verhindern, dass sich Gegner seitlich aus dem Firmennetz bewegen können.

· Durch die Nutzung des E-Mail-Archivs des CFOs finden die Angreifer aber das Gebäude, in dem das Engineering-Team neue Kernkraftwerke konzipiert.

· Mit diesem Wissen bewegen sich nun in der physischen Welt und können Angriffe auf zwei Arten durchführen: Sie hinterlassen eine Reihe von infizierten USB-Sticks auf dem Parkplatz des Engineering-Gebäudes. Oder ein Datenspion folgt einem Mitarbeiter in die Räumlichkeiten ("Tailgating") und gibt an, seinen Zugangsausweis an diesem Tag "vergessen" zu haben.

· Sobald der Netzwerkzugang durch Malware auf dem USB eingerichtet ist oder physisch durch den Eindringling erfolgt, können die Angreifer auf die Schaltpläne zugreifen und ihr Ziel erreichen.

Sicherheitslücken durch Silos

Dieses Beispiel verdeutlicht, wie ein erfolgreicher Hackerangriff Aktivitäten im Cyberspace nahtlos mit physischen Elementen kombiniert. Wenn Millionen von Dollar zur Verfügung stehen oder es sich um einen staatlich initiierten Angriff handelt, sind die anfallenden Kosten - etwa für ein Flugticket oder ein USB-Laufwerk - nicht mehr als trivial. Was bedeutet das für die Unternehmen? Die Antwort liegt in einer organisatorisch bedingten Sicherheitslücke: In den meisten Unternehmen berichten die Sicherheitsteams für IT-Sicherheit, IT-Betrieb und physische Sicherheit an verschiedene Führungskräfte. Die IT-Sicherheit liegt in der Verantwortung des CSO, der IT-Betrieb in der Verantwortung des CIO und die physische Sicherheit fällt in den Verantwortungsbereich des COO oder CFO. Diese drei Teams sind mit unterschiedlichen Zielen betraut: Das IT-Sicherheitsteam hält das Netzwerk sicher vor Cyberangriffen, das IT-Betriebsteam gewährleistet den ordnungsgemäßen Betrieb des Netzwerks und die physische Sicherheit schützt Vermögenswerte und Personal vor Ort. Zudem gibt es getrennte Budgets und Ziele, die miteinander in Konflikt geraten können, was dazu führt, dass diese operativen Silos Lücken lassen, die Angreifer ausnutzen können.

Für das hypothetische Szenario würde das bedeuten: Wenn die Teams für IT- und physische Sicherheit in der Zielorganisation wie beschrieben strukturiert sind, ist die Wahrscheinlichkeit hoch, dass die kriminelle Bande Erfolg hat - auch wenn einer der Versuche vereitelt wird. Warum? In einer siloartigen Organisationsstruktur wird ein Team nie von einem anderen Team über einen Angriff erfahren, um daraufhin vielleicht die eigenen Systeme zu überprüfen. Wenn die Teams sich hingegen untereinander austauschen, würden sie eher die Sicherheit ihrer eigenen Verantwortungsbereiche überprüfen, wenn sie erfahren, dass ein anderes Team kompromittiert wurde.

Zentrale Verantwortung für Sicherheit

Die organisatorische und finanzielle Verantwortung für IT-Sicherheit, Netzwerkbetrieb und physische Sicherheit sollte deshalb idealerweise einer Führungskraft alleine obliegen, um zu gewährleisten, dass alle Elemente zusammenarbeiten. Im beschriebenen Szenario wären sowohl der Cybersicherheitsvorfall als auch das physische Eindringen unter den einzelnen Teams ausgetauscht worden. Daraufhin hätte jedes der Teams seine Prozesse, Richtlinien und Technologien untersucht, um bestimmen zu können, wo das Manko lag und wie man es beheben kann. Dies hätte unter anderem folgende Maßnahmen umfasst: ein Re-Imaging der Festplatte des CFO, das Blockieren der Command-and-Control-Aktivitäten, ein Sensibilisierungstraining für "Tailgating" sowie verbesserte physische Sicherheit für Vermögenswerte von hoher Priorität.

Mit einer besser koordinierten Sicherheitsorganisation ließen sich auch Budgeteinsparungen erzielen, indem jedes Team die Investitionen der anderen Teams nutzen könnte. Ein Beispiel: Wenn das IT-Betriebsteam eine neue Next-Generation-Firewall anschafft, die aber nicht die Log-Daten und Präventionsmechanismen bereitstellt, um den Bedürfnissen des IT-Sicherheitsteams gerecht zu werden. Letzteres Team würde dann eine eigene Firewall anschaffen, die dies ermöglicht. Die Anschaffungskosten würden sich verdoppeln, hinzu kommt der operative Aufwand, falls eine weitere Sicherheitsvorrichtung im Netzwerk hinzugefügt wird.

Hat hingegen eine Führungskraft die Übersicht über die Bedürfnisse aller Gruppen, könnte sie die Kaufentscheidung beeinflussen, um diesen gerecht zu werden. Das würde wiederum der Sicherheit im Ganzen zugutekommen, während gleichzeitig Zeit und Ressourcen gespart werden. (fm)