Fachbeiträge
Wissen in Gefahr: Schnelle Eingreiftruppe gegen Cyber-Angriffe
von Frank Melber
Die Bedrohung durch Cyber-Attacken ist real und allgegenwärtig. Im Zeichen von Industrie 4.0 und Internet der Dinge wächst die Angriffsfläche von Unternehmen und Öffentlicher Hand. Die meisten IT-Abteilungen haben Übergriffen auf ihre Infrastruktur wenig entgegenzusetzen, schon mit dem Monitoring sind sie oft überfordert. Ihnen bietet TÜV Rheinland die Hilfe einer schnellen Eingreiftruppe an. Das Computer Security Incident Response Team (CSIRT) ist eine Art Feuerwehr, die Unternehmen rufen können, wenn sie fürchten, gehackt worden zu sein.
Inhaltsübersicht:
- Konventionelle signaturabhängige Sicherheitslösungen nützen wenig
- CSIRT (Computer Security Incident Response Team) von TÜV Rheinland: Attacken erkennen und qualifizieren, Angriffsszenarien möglichst genau verstehen
- Die Zeit als einer der wichtigsten Faktoren
- Fazit
Immer wieder machen spektakuläre Cyber-Angriffe Schlagzeilen in den Medien. Angriffe wie die auf ein deutsches Stahlwerk führen inzwischen zu massiven Beschädigungen von Industrieanlagen. Die Zahl der Hacker-Angriffe in der deutschen Privatwirtschaft lässt sich mangels Meldepflicht noch kaum schätzen. Aber auch so ist klar: Die Bedrohungslage entwickelt sich dynamisch wie nie. Im vergangenen Jahr erreichte die Zahl der weltweit registrierten Angriffe mit 43 Millionen einen neuen Höchststand, PricewaterhouseCoopers zufolge waren es über 117.000 Attacken täglich. Das Risiko wächst auch, weil sich die Produktion im Zeichen von Industrie 4.0 immer dichter vernetzt. So nimmt die Angriffsfläche über Unternehmen und Branchen hinweg zu. Angriffswerkzeuge, die bisher nur von Staaten eingesetzt wurden, sind heute im Internet verfügbar. Cyber-Wirtschaftskriminalität könnte sich zu regelrechten Wirtschaftskriegen auswachsen, befürchten Fachleute.
Konventionelle signaturabhängige Sicherheitslösungen nützen wenig
Viele Unternehmen wurden längst Opfer eines Hacker-Angriffs, ohne es zu ahnen. Denn traditionelle, signaturabhängige Sicherheitslösungen nützen wenig gegen die raffinierten und komplexen Cyber-Angriffe. Organisationen, die ihre digitalen Werte vor Übergriffen schützen wollen, müssen viel Geld in die Hand nehmen: Sie brauchen hochqualifiziertes, ständig weitergebildetes Personal, gut abgesicherte Prozesse und technische Lösungen. Dem setzen die Ressourcen der IT-Abteilungen meist enge Grenzen und die IT-Fachleute sind mit der Aufgabe, Angriffe zu erkennen, im Tagesgeschäft oft überfordert. Deshalb bietet TÜV Rheinland Unterstützung durch eine hochqualifizierte Eingreiftruppe, die Cyber-Attacken schnell erkennt und wirksam begrenzt: das Computer Security Incident Response Team, kurz CSIRT.
Ein solches Team besteht aus hochqualifizierten IT-Sicherheits-Spezialisten. Sie sind darauf trainiert, komplexe Vorgänge, die sich aus vielen unterschiedlichen Ereignissen zusammensetzen, in Zusammenhang zu bringen und die richtigen Schlüsse daraus zu ziehen. Die Fachleute kennen sich mit Sicherheitskonzepten ebenso aus wie mit den Interna der Software, die im Mittelpunkt der Angriffe stehen. Das CSIRT-Kernteam kann nötigenfalls auf weitere IT-Experten mit Spezialwissen innerhalb der TÜV Rheinland i-sec zurückgreifen. So lassen sich Teams mit Spezialkenntnissen etwa in Kryptographie, unterschiedlicher IT Security-Systeme wie Firewalls, Proxies, SIEM (Security Information & Event Management) oder IDS / IPS und AntiVirus-Systemen zusammenstellen.
CSIRT (Computer Security Incident Response Team) von TÜV Rheinland: Attacken erkennen und qualifzieren, Angriffsszenarien möglichst genau verstehen
Im Ernstfall kommt es darauf an, das Angriffsszenario möglichst genau zu verstehen, um die Gegenwehr richtig anzusetzen. Dafür schafft das APT-Sensorsystem die Voraussetzungen. Es analysiert permanent den Netzwerkverkehr und testet verdächtige Dokumente und ausführbare Dateien in unterschiedlichen Betriebssystemen bzw. Anwendungen. Aus dem Verhalten von Schadprogrammen lässt sich schließen, welche Systeme im Netzwerk betroffen sind, wie sie attackiert wurden, mit welchen Malware-Servern (Command & Control Servern) sie kommunizieren und welche Daten übermittelt werden.
Diese Tests finden in einer isolierten Umgebung statt. Eine virtuelle Rechnerarchitektur reicht dafür oft nicht aus, denn heutige Malware ist oft clever genug, um einfache Sandbox-Lösungen oder die Präsenz von Debuggern zu erkennen. Dann stellt sich die Schadsoftware tot oder beschäftigt den Analysten mit irreführenden Aktionen. Virtuelle Umgebungen müssen Teil einer breiter angelegten Plattform sein, die den gesamten Kontext des Angriffs durch Multi-Flow-Analysen erfasst. Je nach Tiefe der Analysen setzt das SIRT-Team auch Reverse-Engineers ein, um Malware zu genau zu verstehen. Mit den so erarbeiteten Erkenntnissen und dem Wissen um die Sicherheitskomponenten des Kunden (Proxies, Firewalls, AntiVirus-Software etc.) kann das CSIRT-Team Abwehrstrategien und -aktionen entwickeln.
Wie oft die IT-Sicherheitsfeuerwehr gefragt ist, hängt von der Größe des Unternehmens, der Branche und von der Qualifikation des IT-Personals ab. Branchen wie z.B. Finanzen, Infrastruktur, Engineering, Verteidigung etc. werden in bestimmten Zeiträumen verstärkt angegriffen. Die Bedrohungslage kann sich auch schlagartig zuspitzen, wenn ein Unternehmen für Angreifer interessant wird, z.B. wegen Übernahmegerüchten.
Die Zeit als einer der wichtigsten Faktoren
Der Zeitfaktor spielt eine entscheidende Rolle: Da die Angreifer meist unterhalb des „Radars“ von Firewalls und Virenscanners ins Unternehmensnetzwerk eindringen und eine Weile unbemerkt Schaden anrichten, sollte zwischen dem Erkennen eines Angriffs und der Behebung des Problems möglichst wenig Zeit vergehen. Für Try & Error bleibt bei den Gegenmaßnahmen nicht viel Spielraum.
Schnelle Eingreiftruppe für die Abwehr von Cyber-Attacken: das Computer Security incident Response Team von TÜV Rheinland.
Fazit
Die Sicherheitslage ist ernst und wird sich nicht mehr bessern. Technische Lösungen, die ein Unternehmen aller Sorgen entledigt, wird es nicht geben. Vielmehr tun sich immer neue Problemfelder auf. Das Internet der Dinge wird zur der nächsten interessanten Spielwiesen für Hacker – ob mit dem Ziel, das jeweilige Gerät zu manipulieren, zu zerstören oder es als Teil eines Botnetzes zu missbrauchen. Es ist eine Illusion zu glauben, das Problem beschränke sich auf Verbraucher-Geräte und den privaten Alltag. Die smarten Kühlschränke, Kaffeemaschinen oder Thermostate werden früher oder später auch in Betrieben stehen und Eingang ins Netzwerk finden.
Es wird mit neuen offenen Flanken in Unternehmensnetzwerken zu rechnen sein. Organisationen, die zukunftsfähig bleiben wollen, werden ihre IT-Sicherheitsstrategie überprüfen und sich mit den realen Gefahren rund um das Internet der Dinge auseinandersetzen müssen.
Diese Artikel könnten Sie auch interessieren
Fachbeitrag IT-Sicherheit
7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation
Fachbeitrag IT-Sicherheit
IT-Sicherheit - auch im Homeoffice
Titelthema Gesetzgebung
Datensicherheit als Grundlage für Wissensmanagement
von Peter Böhret
Titelthema Gesetzgebung
Wissenstransfer als Schlüssel zur Datensicherheit
von Kurt-Jürgen Jacobs, Bernhard Schieß
Titelthema Gesetzgebung
Transparenz und Wissensdatenbank: Der Marktplatz IT-Sicherheit
von Dustin Pawlitzek, Sebastian Spooren