Cyber-Sicherheit richtig messen

Bei der Erfolgsmessung ist Umdenken gefordert

16.02.2015 von Frank Kölmel

Bereits ein einziger erfolgreicher Cyberangriff auf das Netzwerk eines Unternehmens kann gravierende Folgen haben. Wettbewerbsfähigkeit, Wirtschaftlichkeit und schließlich die Reputation des Unternehmens sind gefährdet, wenn der Sicherheit der IT-Systeme nicht die nötige Beachtung zukommt. Doch woher wissen IT-Verantwortliche, ob die von ihnen implementierten Sicherheitsmechanismen erfolgreich arbeiten?

Im Durchschnitt bewegen sich Angreifer 229 Tage lang unentdeckt in Unternehmensnetzwerken, bevor sie entdeckt werden.
Foto: Nmedia - Fotolia.com

In den meisten Unternehmen stehen IT-Abteilungen unter dem Druck niedriger Budgets. Deshalb ist es für ihre Arbeit unerlässlich, die Risiken zu kennen, die für ihr Unternehmen durch Mängel ihrer Sicherheitsarchitektur entstehen können. Unter diesen Risiken müssen sie Prioritäten setzen und so aktiv Risikomanagement betreiben. Anhand dieser Einschätzung ist es auch möglich, sinnvolle Prioritäten bei den Sicherheitsvorkehrungen und -ausgaben zu setzen und Zielvorgaben zu erarbeiten.

Gerade in Deutschland sollten Unternehmen besonderen Wert auf den Erfolg ihrer Sicherheitssysteme legen, denn sie stehen besonders häufig im Visier von Cyberkriminellen. In Europa werden nur in Großbritannien mehr Angriffe auf Unternehmen verzeichnet. Die Ziele der Angreifer in Deutschland sind vielfältig. Unternehmen aus den Bereichen Telekommunikation, Bildungswesen und Finanzdienstleistungen stehen dabei ebenso im Fokus, wie die Energie-, Chemie- oder Automobilwirtschaft.

Anzahl von Angriffen und Warnmeldungen sind keine Anhaltspunkte

Für Budgetentscheider sind Investitionen sinnvoll, wenn sie effektiv eingesetzt werden. In diesem Zusammenhang stellt sich die Frage, wie die Effektivität von Sicherheitsprogrammen messbar gemacht werden kann. Welche Messinstrumente machen Sinn, welche nicht?
Die traditionell zur Erfolgsmessung herangezogenen Kennzahlen konzentrieren sich auf Fakten, die den Erfolg oder Misserfolg der Sicherheitsprogramme nicht richtig abbilden. In der Regel wird versucht, den Erfolg an drei Faktoren festzumachen: Der Anzahl der von Angriffen betroffenen Systeme, die Anzahl der Sicherheitsvorfälle je Kategorie und die Anzahl der Angriffe insgesamt. Obwohl diese Zahlen sicherlich interessante Einblicke ermöglichen, sagen sie nichts über den Erfolg der implementierten Systeme aus.

Die 8 schlimmsten Hackerangriffe

Die 8 schlimmsten Hackerangriffe
Security-Experten Faronics erklärt die größten Hackerskandale der vergangenen zehn Jahre. Die unmitttelbaren Schäden gingen dabei in Millionenhöhe.

134 Millionen Kundendaten ...
... stahlen Cyberkriminelle 2009 mithilfe einer Spionagesoftware. Sie lasen die Kreditkartendaten von 134 Millionen Kunden des amerikanischen Unternehmens Heartland Payment Systems.

860.000 Benutzernamen und E-Mail Adressen ...
... haben Hacker während eines Angriffs auf die US-Sicherheitsberater von Stratfor gestohlen und die Kundendaten anschließend im Netz veröffentlicht. Ein Link enthielt 75.000 Namen, E-Mail-Adressen, Kreditkartennummern sowie Passwörter von Stratfor-Kunden. Zusätzliche 860.000 Daten waren Benutzernamen und E-Mail-Adressen von registrierten Nutzern auf der Stratfor-Website.

Auch die Anzahl der Warnmeldungen, die eingesetzte Produkte erstellen, geben keinen Hinweis auf ihre tatsächliche Effektivität. Abgesehen vom Umstand, dass häufig rund die Hälfte von ihnen False Positives sind, kann eine hohe Anzahl an Warnmeldungen der Effizienz von IT-Abteilungen sogar signifikant schaden.
Einer aktuellen Umfrage von FireEye zufolge entstehen bei 37 Prozent der Unternehmen weltweit jeweils mehr als 10.000 Warnmeldungen pro Monat. Dies zeigt IT-Verantwortlichen, dass eine immense Zahl an Sicherheitsverletzungen bemerkt wurde. Sie sagt aber nichts Verlässliches über die Tragweite der einzelnen Vorfälle aus. Das manuelle Bearbeiten jeder einzelnen Meldung nimmt dennoch viel Zeit - und auch Budget - in Anspruch, ohne dabei den Erfolg oder Verbesserungspotenzial der Sicherheitsarchitektur zu offenbaren.

Von jeder Sicherheitsverletzung geht Gefahr aus

Für die Erfolgsmessung relevante Kennzahlen lassen sich mithilfe von unternehmensspezifischen Prioritäten und Zielen finden. Wenn beispielsweise der Schutz von Kundendaten hohe Priorität genießt, sollte deren Unversehrtheit der entscheidende Maßstab sein. Viele Unternehmen ermitteln den Erfolg ihrer Sicherheitsprogramme jedoch anhand der Anzahl der kompromittierten oder infizierten Endpunkte. Unabhängig davon, wie viele Endpunkte im Unternehmensnetzwerk kompromittiert werden, ist es letztlich entscheidend, ob die eingesetzten Programme die sensiblen Daten schützen konnten.
Sind zum Beispiel ein dutzend Endpunkte betroffen, der Angriff jedoch erkannt und eingedämmt worden, bevor Daten entwendet wurden, haben die Sicherheitsvorkehrungen ihren Zweck erfüllt. Andersherum haben sie versagt, wenn sie zwar nur eine einzige Sicherheitsverletzung zuließen, dadurch aber tausende Datensätze entwendet werden konnten. Im Durchschnitt bewegen sich Angreifer 229 Tage lang unentdeckt in Unternehmensnetzwerken, bevor sie entdeckt werden - bereits ein einziger Angriff kann so tiefgreifende Probleme auslösen.

Anzeichen für einen Cyber-Angriff

Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.

Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.

Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.

Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.

Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.

Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.

Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.

Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.

Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.

Durch diese Beispiele lässt sich erkennen, dass andere Maßstäbe nötig sind, um Erfolg oder Misserfolg in der Cybersicherheit wirklich zu ermitteln. Ein solcher Faktor kann die benötigte Zeit zur Erkennung eines Sicherheitsvorfalls sein. Ebenso ist es mit der Zeit, die zur Beseitigung eines solchen Vorfalls benötigt wird. Entscheidend ist letzten Endes, wie viele sensible, persönliche oder vertrauliche Daten entwendet wurden. Darin wird deutlich, ob das selbstgesteckte Ziel der Datensicherheit erreicht werden konnte.

Auch die Optimierung der eigenen Cybersicherheit kann von Unternehmen nur nachhaltig umgesetzt werden, wenn die Schwachpunkte der bisher eingesetzten Programme hinsichtlich der ausgegebenen Ziele bekannt sind. Wo wichtige konkrete Ziele beim Schutz vor Cyberkriminellen nicht erreicht werden, offenbaren sich Verbesserungsbedarf und Möglichkeiten, Investitionen sinnvoll zu tätigen.

Neues Denken in der Cybersicherheit nützt dem ganzen Unternehmen

Durch das individuelle Setzen von Prioritäten und konkreten Zielen ergibt sich eine Reihe weiterer Faktoren, die jeweils sinnvoll herangezogen werden können, um den Erfolg der eigenen Sicherheitsarchitektur effektiver zu messen und zu verbessern als es anhand oberflächlicher Statistiken möglich ist. Das dazu geforderte Umdenken auf Entscheiderebene bringt Nutzen für das ganze Unternehmen. Ob Sicherheitsprogramme ihre Ziele erreichen zeigt, wie viel sie zum Wert des Unternehmens oder der Marke beitragen und wo gängige Sicherheitslösungen keinen ausreichenden, verlässlichen Schutz bieten. (bw)