Komplexe Attacken abwehren

In sechs Schritten zu sicheren Daten

24.01.2012 von Simon Hülsbömer

Advanced Persistent Threats (APT) sind die neue Bedrohung Nummer Eins für Unternehmensnetze. Wie Sie Ihre Daten wirkungsvoll schützen, zeigt das "Security for Business Innovation Council" (SBIC) in seinem aktuellen Report "Getting ahead of advanced threats".

Das SBIC ist ein von RSA, der Security Division von EMC, gesponserter Zusammenschluss von 17 Chief Information Security Officers aus Großunternehmen, darunter eBay, BP, SAP, Nokia und T-Mobile USA. Das Board diskutiert Sicherheitskonzepte und spricht Empfehlungen für die Branche aus. Im jüngsten SBIC-Report "Getting Ahead of Advanced Threats" heißt es: "Die meisten Unternehmen wissen nicht genug über die aktuelle Bedrohungslage sowie ihre eigenen Stärken und Schwächen bei der IT-Sicherheit, um sich angemessen verteidigen zu können." Weil die Muster der neuesten Angriffstechniken nicht ausreichend analysiert würden, könnten auch keine entsprechenden Abwehrmechanismen entwickelt werden.

Dabei verlangen gerade die Advanced Persistent Threats danach, sein Netz genau zu kennen. Weil diese Bedrohungen in Form von Spionageprogrammen wie Stuxnet oder Duqu hochkomplex ("advanced") und meist nur durch Zufall auffindbar ("persistent" - dauerhafte und langwierige Auskundschaftung von IT-Systemen, ohne wirklichen Schaden anzurichten) sind, sei es nach Meinung des SBIC umso wichtiger, normale von anormalen Netz- und Anwenderaktivitäten unterscheiden zu können.

Jede Datei ist einzeln zu betrachten, so die Experten.
Foto: michelangelus - Fotolia.com

Statt "Compliance-bedingter" oder "Vorfall-bedingter" Sicherheitsprozesse, die nur Vorschriften und Gesetzen genügten oder sich von Tag zu Tag je nach Bedrohungslage ausrichteten, plädiert das Board für eine "Intelligence-driven Security"-Strategie, zu deutsch in etwa "informationsorientierte Sicherheit". Nicht das gesamte Netz könne zentral geschützt werden, sondern die einzelnen Daten und Informationen müssten nach Meinung der SBIC-Experten eine besondere Aufmerksamkeit erfahren.

Stärkerer Business-Bezug gefragt

Michael Teschner, bei RSA im Bereich Business Development tätig, kommentiert den Report gegenüber der COMPUTERWOCHE: "Neue Herausforderungen im Bereich Security und Compliance verlangen neue strategische Ansätze der IT-Sicherheit. Vor allem das Business muss stärker eingebunden werden." Wichtige Fragen diesbezüglich seien:

Wie sehen die Unternehmenswerte aus?
Wer könnte ein Interesse daran haben?
Mit welchen Methoden werden diese angegriffen?

Durch die Professionalisierung und Industrialisierung des "Untergrunds" sei jedes Unternehmen gleichermaßen gefährdet und könne sich nur entsprechend verteidigen, wenn es wisse, was genau es zu verteidigen gebe.

Das Board gibt Tipps, wie eine "Intelligence-driven Security"-Strategie aussehen kann:

Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.

Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden.

Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten.

Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden.

Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen?

IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.