2015/6 | Fachbeitrag | IT-Sicherheit

Wissen in Gefahr: Schnelle Eingreiftruppe gegen Cyber-Angriffe

von Frank Melber

Inhaltsübersicht:

Immer wieder machen spektakuläre Cyber-Angriffe Schlagzeilen in den Medien. Angriffe wie die auf ein deutsches Stahlwerk führen inzwischen zu massiven Beschädigungen von Industrieanlagen. Die Zahl der Hacker-Angriffe in der deutschen Privatwirtschaft lässt sich mangels Meldepflicht noch kaum schätzen. Aber auch so ist klar: Die Bedrohungslage entwickelt sich dynamisch wie nie. Im vergangenen Jahr erreichte die Zahl der weltweit registrierten Angriffe mit 43 Millionen einen neuen Höchststand, PricewaterhouseCoopers zufolge waren es über 117.000 Attacken täglich. Das Risiko wächst auch, weil sich die Produktion im Zeichen von Industrie 4.0 immer dichter vernetzt. So nimmt die Angriffsfläche über Unternehmen und Branchen hinweg zu. Angriffswerkzeuge, die bisher nur von Staaten eingesetzt wurden, sind heute im Internet verfügbar. Cyber-Wirtschaftskriminalität könnte sich zu regelrechten Wirtschaftskriegen auswachsen, befürchten Fachleute.

Konventionelle signaturabhängige Sicherheitslösungen nützen wenig

Viele Unternehmen wurden längst Opfer eines Hacker-Angriffs, ohne es zu ahnen. Denn traditionelle, signaturabhängige Sicherheitslösungen nützen wenig gegen die raffinierten und komplexen Cyber-Angriffe. Organisationen, die ihre digitalen Werte vor Übergriffen schützen wollen, müssen viel Geld in die Hand nehmen: Sie brauchen hochqualifiziertes, ständig weitergebildetes Personal, gut abgesicherte Prozesse und technische Lösungen. Dem setzen die Ressourcen der IT-Abteilungen meist enge Grenzen und die IT-Fachleute sind mit der Aufgabe, Angriffe zu erkennen, im Tagesgeschäft oft überfordert. Deshalb bietet TÜV Rheinland Unterstützung durch eine hochqualifizierte Eingreiftruppe, die Cyber-Attacken schnell erkennt und wirksam begrenzt: das Computer Security Incident Response Team, kurz CSIRT. 

Ein solches Team besteht aus hochqualifizierten IT-Sicherheits-Spezialisten. Sie sind darauf trainiert, komplexe Vorgänge, die sich aus vielen unterschiedlichen Ereignissen zusammensetzen, in Zusammenhang zu bringen und die richtigen Schlüsse daraus zu ziehen. Die Fachleute kennen sich mit Sicherheitskonzepten ebenso aus wie mit den Interna der Software, die im Mittelpunkt der Angriffe stehen. Das CSIRT-Kernteam kann nötigenfalls auf weitere IT-Experten mit Spezialwissen innerhalb der TÜV Rheinland i-sec zurückgreifen. So lassen sich Teams mit Spezialkenntnissen etwa in Kryptographie, unterschiedlicher IT Security-Systeme wie Firewalls, Proxies, SIEM (Security Information & Event Management) oder IDS / IPS und AntiVirus-Systemen zusammenstellen.  

CSIRT (Computer Security Incident Response Team) von TÜV Rheinland: Attacken erkennen und qualifzieren, Angriffsszenarien möglichst genau verstehen

Im Ernstfall kommt es darauf an, das Angriffsszenario möglichst genau zu verstehen, um die Gegenwehr richtig anzusetzen. Dafür schafft das APT-Sensorsystem die Voraussetzungen. Es analysiert permanent den Netzwerkverkehr und testet verdächtige Dokumente und ausführbare Dateien in unterschiedlichen Betriebssystemen bzw. Anwendungen. Aus dem Verhalten von Schadprogrammen lässt sich schließen, welche Systeme im Netzwerk betroffen sind, wie sie attackiert wurden, mit welchen Malware-Servern (Command & Control Servern) sie kommunizieren und welche Daten übermittelt werden. 

Diese Tests finden in einer isolierten Umgebung statt. Eine virtuelle Rechnerarchitektur reicht dafür oft nicht aus, denn heutige Malware ist oft clever genug, um einfache Sandbox-Lösungen oder die Präsenz von Debuggern zu erkennen. Dann stellt sich die Schadsoftware tot oder beschäftigt den Analysten mit irreführenden Aktionen. Virtuelle Umgebungen müssen Teil einer breiter angelegten Plattform sein, die den gesamten Kontext des Angriffs durch Multi-Flow-Analysen erfasst. Je nach Tiefe der Analysen setzt das SIRT-Team auch Reverse-Engineers ein, um Malware zu genau zu verstehen. Mit den so erarbeiteten Erkenntnissen und dem Wissen um die Sicherheitskomponenten des Kunden (Proxies, Firewalls, AntiVirus-Software etc.) kann das CSIRT-Team Abwehrstrategien und -aktionen entwickeln. 

Wie oft die IT-Sicherheitsfeuerwehr gefragt ist, hängt von der Größe des Unternehmens, der Branche und von der Qualifikation des IT-Personals ab. Branchen wie z.B. Finanzen, Infrastruktur, Engineering, Verteidigung etc. werden in bestimmten Zeiträumen verstärkt angegriffen. Die Bedrohungslage kann sich auch schlagartig zuspitzen, wenn ein Unternehmen für Angreifer interessant wird, z.B. wegen Übernahmegerüchten. 

Die Zeit als einer der wichtigsten Faktoren

Der Zeitfaktor spielt eine entscheidende Rolle: Da die Angreifer meist unterhalb des „Radars“ von Firewalls und Virenscanners ins Unternehmensnetzwerk eindringen und eine Weile unbemerkt Schaden anrichten, sollte zwischen dem Erkennen eines Angriffs und der Behebung des Problems möglichst wenig Zeit vergehen. Für Try & Error bleibt bei den Gegenmaßnahmen nicht viel Spielraum.

Schnelle Eingreiftruppe für die Abwehr von Cyber-Attacken: das Computer Security incident Response Team von TÜV Rheinland. 

Fazit

Die Sicherheitslage ist ernst und wird sich nicht mehr bessern. Technische Lösungen, die ein Unternehmen aller Sorgen entledigt, wird es nicht geben. Vielmehr tun sich immer neue Problemfelder auf. Das Internet der Dinge wird zur der nächsten interessanten Spielwiesen für Hacker – ob mit dem Ziel, das jeweilige Gerät zu manipulieren, zu zerstören oder es als Teil eines Botnetzes zu missbrauchen. Es ist eine Illusion zu glauben, das Problem beschränke sich auf Verbraucher-Geräte und den privaten Alltag. Die smarten Kühlschränke, Kaffeemaschinen oder Thermostate werden früher oder später auch in Betrieben stehen und Eingang ins Netzwerk finden. 

Es wird mit neuen offenen Flanken in Unternehmensnetzwerken zu rechnen sein. Organisationen, die zukunftsfähig bleiben wollen, werden ihre IT-Sicherheitsstrategie überprüfen und sich mit den realen Gefahren rund um das Internet der Dinge auseinandersetzen müssen. 

Diese Artikel könnten Sie auch interessieren

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen

Sensibles Wissen: Das neue Geschäftsgeheimnisgesetz

WISSENplus
Unternehmerisches Handeln und erfolgreiches Wirtschaften sind stets mit Risiko verbunden: Ob es um neue Produkte, externe Rahmenbedingungen oder Investitionsentscheidungen geht. Ein ernstzunehmendes Risiko sind allerdings auch Geschäftsgeheimnisse - zumindest dann, wenn sie nicht länger geheim sind. ...

Weiterlesen

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen