Advanced Persistent Threats

Der Cyber-Krieg hat gerade erst begonnen

05.02.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Präventivschläge?

RSA-Chairman Art Coviello forderte auf der eigenen Sicherheitskonferenz vor kurzem ein radikales Umdenken in der eigenen Branche.
RSA-Chairman Art Coviello forderte auf der eigenen Sicherheitskonferenz vor kurzem ein radikales Umdenken in der eigenen Branche.
Foto: Uli Ries

"Wir müssen in unserem Denken davon wegkommen, defensiv zu spielen und bedeutungslosen Einzelereignissen nachzugehen", forderte Art Coviello, Executive Chairman von RSA, auf der hauseigenen Security Conference Ende Februar. Weiter führte er aus: "Wir brauchen die Fähigkeit, riesige Datenbestände blitzschnell zu sichten und vorausschauende, präventive Gegenmaßnahmen zu ergreifen, um die allenfalls schwachen Signale zu erkennen, die von hochentwickelten, verborgenen Attacken ausgehen." Coviellos Unternehmen hatte vor gut zwei Jahren selbst mit einer groß angelegten Attacke zu kämpfen, bei der Informationen über das Zweifaktoren-Authentifizierungssystem SecurID abhanden gekommen waren. Um solche Vorfälle künftig zu vermeiden, empfehlen die SBIC-Experten einen informationsbasierten Sicherheitsansatz, die sogenannte "Intelligence-driven Security"-Strategie:

  1. Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen? Soweit einigermaßen in Zahlen auszudrücken, sollten sie aufgeschrieben werden;

  2. Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente wie Signaturdatenbanken sollten gründlich ausgewertet werden;

  3. Wichtig sind zudem die gründliche Analyse bekannter Angriffsvektoren und das Know-How innerhalb der eigenen Sicherheitsteams in Bezug auf die Auswertung der Informationen. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen. Das erleichtert vor allem die Kommunikation der Sicherheitsansätze in Richtung der Vorgesetzten, die die finanziellen und organisatorischen Mittel zur Verfügung stellen müssen;

  4. Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird - ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden;

  5. Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzerverhalten voneinander unterscheiden zu können;

  6. Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.