Angriffe erkennen, clever zurückschlagen

Cyberattacken intelligent abwehren

Ralf Straßberger ist Geschäftsführer/Country Director Zentral und Osteuropa bei Level 3 Communications und leitet die Aktivitäten für Enterprise- und Wholesale-Kunden sowie Kooperationspartner. Er verfügt über ein tiefgreifendes Verständnis der Telekommunikations- und IT-Branche. Mit seiner Erfahrung unterstützt er Unternehmen dabei, die Herausforderungen des IT-Marktes im Zeitalter der Digitalisierung optimal anzugehen. Zuvor war er Geschäftsbereichsleiter und Prokurist bei M-net Telekommunikation.
In einer Welt von vernetzten Systemen kann ein Sicherheitsvorfall die Bilanz oder die Reputation des Unternehmens maßgeblich beeinflussen - unabhängig davon, in welchem Bereich er sich ereignet. Dies wurde besonders durch die jüngsten Cyberangriffe deutlich, die weltweit massiven Schaden verursacht haben.

Der Wunsch nach Zugang zu Unternehmensdaten führt jedes Jahr zu einem erneuten Anstieg immer raffinierterer, gezielter Cyberattacken. Letztes Jahr erreichte Cyberkriminalität laut dem Beratungsunternehmen PwC den zweiten Rang in der Liste der Wirtschaftskriminalität und steigerte sich enorm gegenüber dem Vorjahr. Damals belegte sie "noch" Platz vier, was auch ein immenses Ausmaß darstellte. Somit liegt es auf der Hand, dass laut derselben Quellen mittlerweile mehr als 60 Prozent der CEOs Cybersicherheitsvorfälle fürchten. Mit dem Aufstieg des Internets of Things (IoT) richten sich Cyberattacken neben traditionellen Computern auf unzählige weitere Geräte, die mit Unternehmensnetzwerken verbunden sind.

Cyberattacken werden immer raffinierter - die Abwehrmechanismen müssen deshalb intelligenter werden.
Cyberattacken werden immer raffinierter - die Abwehrmechanismen müssen deshalb intelligenter werden.
Foto: Rawpixel.com - www.shutterstock.com

Die steigende Anzahl und Vielfalt an Risiken für Unternehmensdaten und Infrastruktur generiert eine riesige Menge an Bedrohungsdaten, die die Kapazitäten von klassischen Methoden der Beobachtung und Berichterstattung bei weitem überschreiten. Zudem steigen nach Untersuchungen des Analystenhauses IDC die Sicherheitsausgaben und die überwältigende Datenflut erschwert es zunehmend festzustellen, welche Informationen wirklich relevant sind. In dieser komplexen Landschaft müssen CIOs und CISOs aber gerade die für ihr Unternehmen relevanten Bedrohungen angehen, um Cyberattacken genauer vorherzusagen und IT-Investitionen priorisieren zu können.

Wenn man bedenkt, dass letztes Jahr durchschnittlich alle vier bis fünf Sekunden eine neue Malware-Art entdeckt wurde, benötigen IT-Führungskräfte eine umsetzbare intelligente Analyse von Bedrohungsdaten, die diese Informationen nach Relevanz sortiert. Anspruchsvolle Bedrohungsintelligenz-Tools können diese Daten mit einem Unternehmensnetzwerk korrelieren und verarbeiten. Das erspart mühevolles und zeitraubendes Durchsuchen von bösartigen IP-Adressen. So können sich IT-Manager auf das Wesentliche konzentrieren: den Schutz vor Bedrohungen. Bedrohungsintelligenz-Tools arbeiten mit maschinellen Lerntechniken und Datenanalyse, um Indikatoren von Gefahren (Indicators of Compromises, kurz IOCs) im Netzwerk automatisch zu identifizieren.

Ausschlaggebend ist, wann und wo Angreifer zuschlagen werden. Ähnlich wie bei einer forensischen Untersuchung, analysieren Bedrohungsintelligenz-Tools Daten mittels digitaler Fingerabdrücke, indem sie nach bestimmten Verhaltensmustern suchen. Cyberkriminelle werden in Schach gehalten, indem auffälliges, für Angriffe bekanntes Verhalten erkannt wird, um die Attacke in einem möglichst frühen Stadium abzuwehren.

Frühe Anzeichen erkennen

Die Distributed Denial of Service (DDoS)-Attacke auf Dyn vom Oktober 2016 legte einige beliebte Webseiten wie Netflix, Twitter, Reddit, CNN, The Guardian und viele andere in Europa und USA lahm. Die ursprüngliche Angriffsquelle war die damals neue Cyberwaffe, das Botnet Mirai, das PCs und IoT-Geräte, wie zum Beispiel Webcams, infizierte. Die Täter wählten die Server von Dyn, da das Unternehmen als ein Domain Name System (DNS)-Anbieter einen Internet-Knotenpunkt darstellt.

Der Angriff auf einen DNS-Anbieter hat erhebliche Auswirkungen, weil er mit einem großen Netzwerk von Unternehmen verbunden ist. Oft versuchen Angreifer ihr Ziel mit kleinen Testangriffen als Vorläufer einer viel größeren Aktion zu attackieren. Selbst wenn der Angriff nicht verhindert werden kann, wie im Fall der Mirai-Botnet-Attacke, können Sicherheitsexperten aus den Arten von Code, Ports und Protokollen, die von den Tätern verwendet werden, lernen.

Zurückschlagen

In erster Linie ist es wichtig, ein gründliches Verständnis davon zu haben, wie das Netzwerk des Unternehmens konfiguriert ist. Ungewissheit darüber, wo sich die Router befinden und wer Entscheidungen über die eingesetzten Lösungen innerhalb der Organisation trifft, kann erhebliche Hindernisse für die Implementierung einer effektiven Lösung darstellen. Selbst technisch versierte Unternehmen haben zu kämpfen, wenn ihre kritischen Systeme angegriffen werden.

Beim Umgang mit dem Angriff selbst ist es wichtig zu wissen, wie das öffentliche Anwendungsprofil aussieht, zum Beispiel welche IP-Adressen das Unternehmen besitzt und welche Anwendungen unter diesen IP-Adressen zugänglich sind. Oder wie anfällig öffentliche Anwendungen für einen DDoS-Angriff sind, sei es ein volumetrischer Angriff oder einer, der sich speziell auf die Anwendungsebene konzentriert. Zudem sind Informationen relevant, welche Systeme angegriffen werden können und wie, um die Abwehrmechanismen für DDoS-Angriffe aufstellen zu können.

Ein Internet Service Provider (ISP) ist für solche Fälle am besten gerüstet. Unternehmen sollten daher Kontakt zu dem Security Operations Center (SOC) ihres ISPs aufnehmen und überprüfen, welche Prozesse und Möglichkeiten sie haben, DDoS-Attacken zu erkennen, verhindern und abzuschwächen. Wenn eine DDoS-Attacke auf das Unternehmensnetzwerk nicht effektiv verhindert werden kann, besteht immer noch die Möglichkeit den angegriffenen Datenverkehr auf ein anderes Netzwerk umzuleiten, um sicherzustellen, dass das Hauptnetz und die Infrastruktur geschützt sind.

Angriffe aufs IoT

Das Wachstum von IoT bringt eine ganze Reihe neuer Schwachstellen mit sich. Unser Research Lab hat kürzlich mit Flashpoint eine Malware-Gruppe verfolgt, die IoT-Geräte angeht, um DDoS-Botnets zu erstellen. Die Auswirkungen dieser Botnets sind weitaus breiter, da sie jeden Internetnutzer erreichen können, nicht nur IoT-Nutzer. Deswegen ist es für Unternehmen ausschlaggebend zu wissen, wie sie sich vor Schwachstellen bei angeschlossenen Geräten schützen können.

Von der Bereitstellung von Sicherheits-Gateways bis zur Planung von Geräte-Upgrades müssen Unternehmen also vieles beachten. Eine starke Authentifizierung ist ein guter Ausgangspunkt. Viele Endgeräte sind immer noch mit schwachen Default-Accounts und -Passwörtern wie admin / admin versehen, die Nutzer häufig nicht aktualisieren. Hersteller sollten eine Aktualisierung mit starken Passwörtern einfordern, bevor ein Gerät verwendet werden kann. In der Industrie sind Benutzernamen und Passwörter für jedes Gerät nicht möglich oder gewünscht. So ist in der Branche, vor allem bei der Machine-to-Machine- (M2M)-Kommunikation mit vielen involvierten Maschinen, ein alternativer Mechanismus zur Identitäts- und Vertrauenserstellung wie Blockchain erforderlich.

Es besteht kein Zweifel, dass IoT für Unternehmen ein wichtiges Thema ist, aber die Sicherheit muss im Vordergrund stehen. Nutzer haben die Möglichkeit, die Gerätesicherheit zu verbessern, doch nicht alle IoT-Geräte erlauben die Konfiguration der einzelnen Systeme und einige verwenden sogar Hardcoded-Anmeldeinformationen, die nicht geändert werden können. Deswegen ist die Recherche über Funktionen und technische Möglichkeiten vor dem Kauf genauso wichtig, wie ihre Nutzung nach der Einrichtung.

Proaktiver Ansatz

Wenn es um Cyberattacken geht, ist die Antwort "Es wird uns nicht passieren" schnell parat. Allerdings sind die Vorsichtsmaßnahmen genauso wichtig, wie die Abwehrmechanismen selbst. Während sich Cyberangriffe ständig weiterentwickeln und sich in Form, Komplexität und Volumen verändern, entwickelt sich auch die Cybersecurity-Technologie schnell.

Da die Branche gleichermaßen die Tools für IT Security verfeinert, wird die Fähigkeit, Malware zu verfolgen und die Bewegungen der Cyberkriminellen zu unterbinden, ebenfalls effektiver. Für Unternehmen ist es entscheidend, nicht den Anschluss zu verpassen und mithilfe neuer Tools, wie Bedrohungsintelligenz, ihre Handlungsmöglichkeiten im Kampf gegen Cyberkriminalität zu verbessern. (haf)