IT-Systeme gegen jeden Cyberangriff vollständig abzusichern ist heute nicht mehr möglich. Um das Vertrauen in digitale Technologien und Prozesse zu erhalten, wird es daher immer wichtiger, dass Unternehmen Angriffe auf ihre Systeme rechtzeitig erkennen und aktiv abwehren können. Wie eine schlagkräftige Cyberabwehr funktioniert, zeigen Beispiele aus der ITK-Branche.
19. Dezember 2019: Die Website der Stadt Frankfurt ist offline, Ämter werden geschlossen, Bibliotheken leihen keine Bücher mehr aus. Der Grund: Ein Mitarbeiter eines Bürgeramts hat einen E-Mail-Anhang mit der gefährlichen Malware Emotet geöffnet und seinen Rechner infiziert. Zum Glück schlägt die Antivirensoftware Alarm – und das IT-Team der Stadt reagiert schnell. Die Spezialisten fahren vorübergehend alle Systeme herunter und verhindern so Schlimmeres.
Emotet ist nur ein Beispiel für die immer ausgefeilteren Angriffsmethoden von Cyberkriminellen. Die Zahl der Cyberangriffe nimmt zudem stetig zu. So verzeichnete die Deutsche Telekom im Januar 2020 fast 18-mal so viele bösartige Zugriffe auf ihre Infrastruktur wie noch im Frühjahr 2017. Laut Digitalverband Bitkom 1) verursachten Hacker in der deutschen Wirtschaft einen Schaden von 100 Milliarden Euro pro Jahr. Entsprechend wählten die Teilnehmer einer Umfrage des Versicherungskonzerns Allianz Cybervorfälle zum größten Unternehmensrisiko für 2020 2).
Einsatzzentrale gegen Eindringlinge
Die große Herausforderung für Unternehmen, Behörden und andere Organisationen: Sie müssen jedes ihrer Systeme und Netze zu jedem Zeitpunkt sorgfältig sichern. Ein Hacker braucht dagegen nur eine einzige temporäre Schwachstelle. Aus diesem Grund reichen vorbeugende Sicherheitsmaßnahmen wie Firewalls und Virenscanner schon lange nicht mehr aus. Sie können zum Beispiel durch eine Phishing-Mail leicht umgangen werden. Unternehmen müssen daher eine Cyberabwehr aufbauen, um Hackerangriffe frühzeitig zu erkennen und schnell und effizient abzuwehren.
Die Spur des Hackers
Fortgeschrittene und komplexe Cyberangriffe bestehen üblicherweise aus mehreren aufeinanderfolgenden Phasen, die von Experten als „Cyber Kill Chain“ bezeichnet werden:
- Reconnaissance: Der Angreifer sammelt Informationen über sein Ziel.
- Attack Delivery: Der Hacker übermittelt Schadsoftware, etwa über bösartige Mails.
- Exploit & Install: Die Schadsoftware wird ausgeführt – etwa durch Klick auf einen Mailanhang – und installiert.
- Command & Control: Der Angreifer steuert die Schadsoftware über einen Server von außen.
- Local Compromize: Der Hacker erweitert seine Fähigkeiten im internen Netz, zum Beispiel indem er Zugangsdaten ausspäht oder weitere Schadsoftware installiert.
- Internal Reconnaissance: Dank seiner neuen Fähigkeiten kundschaftet der Gegner die interne IT aus.
- Lateral Movement: Nun kann der Eindringling weitere Systeme infizieren und kompromittieren.
- Actions & Exfiltration: Erst jetzt erreicht der Hacker sein eigentliches Ziel: Er spioniert zum Beispiel Geschäftsdaten aus oder zerstört kritische Systeme.
Die IT- und Kommunikationsbranche betreibt seit vielen Jahren Security Operations Center (SOC) oder Cyber Defense Center (CDC), die diese Aufgabe wahrnehmen: Die Telekom Security zum Beispiel verfügt über eines der größten und modernsten Cyberabwehrzentren in Europa. Rund um die Uhr überwachen hier circa 200 Experten die Sicherheit der Systeme der Telekom und ihrer Kunden. Pro Tag analysiert das Zentrum etwa 2,5 Milliarden Hinweise auf mögliche Sicherheitsvorfälle. Ziel ist es, einen Angriff zu erkennen und abzuwehren, bevor ein nennenswerter Schaden entstanden ist. Die Detektion und Abwehr gliedern sich in drei Schritte: Datenbasis herstellen, Datenanalyse und Vorfallerkennung, Angreifer abwehren.
Schritt 1: Datenbasis herstellen
Eine effektive Cyberabwehr nutzt zwei unterschiedliche Datentypen: relevante Event-Daten aus den IT-Systemen und Sensoren des Unternehmens sowie Kontextinformation aus externen Quellen. Erstere stammen zum Beispiel aus Sicherheitssystemen wie Antiviren-Systemen oder Firewalls, aber auch aus den Protokolldaten von Applikationen und Server-Betriebssystemen. Hinzu kommen spezielle Sensoren, die zum Beispiel Auffälligkeiten im Datenverkehr des Firmennetzes erkennen können.
Ist ein bestimmtes Ereignis auf einen Security-Vorfall zurückzuführen? Um das zu klären, braucht es Kontextinformationen aus der sogenannten Threat Intelligence. Security-Dienstleister, Forschungseinrichtungen, Behörden oder andere Cyberabwehrzentren erheben und teilen diese Art von Daten, um ihre Gegner besser zu verstehen. Die Informationen beinhalten zum einen Erkenntnisse aus der Analyse vergangener Angriffe und der dabei eingesetzten Schadsoftware. Zum anderen behalten Experten stets einschlägige Internetforen und soziale Medien im Blick. Dort tauschen sich Hacker oft über neuentdeckte Schwachstellen und Angriffsmethoden aus. Entsprechende Chats lassen sich über Schlagwörter wie „Exploit“ identifizieren.
Schritt 2: Datenanalyse und Vorfallerkennung
Die Datenbasis für die Angriffsdetektion ist meist extrem groß und heterogen. Eine Echtzeitanalyse ist daher nur möglich, wenn die Daten automatisiert verarbeitet und korreliert werden. Dafür kommen sogenannte Security Information and Event Management (SIEM) Systeme zum Einsatz. Anhand des typischen Ablaufs eines Angriffs (siehe Kasten) und der Threat-Intelligence-Informationen modellieren Sicherheitsexperten Angriffe, leiten Indizien für bestimmte Detektionsszenarien ab und übersetzen diese in Algorithmen für das SIEM-System.
Ein Beispiel: Erreichen das Unternehmen vermehrt Mails mit unbekannten oder ausführbaren Dateianhängen und erfolgt zeitnah der Aufbau einer Kommunikation ins Internet, besteht eine hohe Wahrscheinlichkeit für einen digitalen Einbruch. Das Analysesystem gibt sofort einen Alarm aus.
Nicht bei jedem Alarm handelt es sich um einen kritischen Sicherheitsvorfall. Ein Team von Security-Analysten steht daher rund um die Uhr bereit, um die Alarme zu verifizieren und anhand ihrer Priorität zu bearbeiten. Ein Level1-Analyst filtert zunächst Fehlalarme heraus und leitet bei bestätigten Vorfällen Sofortmaßnahmen ein. In unklaren Fällen übergibt er an Level-2- oder Level-3-Spezialisten. Diese führen weitere Analysen durch – in der Regel in enger Abstimmung mit dem IT-Betrieb.
Schritt 3: Angreifer abwehren
Ist der Angriff einmal erkannt, geht es darum, möglichst schnell und effektiv zu reagieren. Incident-Response-Experten stehen in dieser Phase der IT-Organisation zur Seite, um angemessene Maßnahmen zur Eindämmung und Beseitigung eines Angriffs einzuleiten und potenziell ausgefallene IT-Systeme wiederherzustellen. Bei besonders schwierigen oder kritischen Fällen hilft ein IT-Forensiker. Dieser digitale Detektiv versucht herauszufinden, wie ein Hacker vorgegangen ist, und sichert Beweise.
Ein Cyberabwehrzentrum überwacht ständig die IT und Netze von Organisationen und wehrt Angriffe ab.
Eigenbetrieb oft zu teuer
Eine erfolgreiche Cyberabwehr benötigt also effektive Detektions- und Analysetools, ein rund um die Uhr verfügbares, qualifiziertes Expertenteam und den kontinuierlichen Informationsaustausch mit anderen Akteuren eines Security-Ökosystems. Daher ist für viele Unternehmen der Aufbau und Betrieb eines eigenen Cyberabwehrzentrum zu komplex und zu teuer. Als Alternative lassen sich einzelne Aufgaben – zum Beispiel die Level-1- und Level-2- Analyse – oder auch die gesamte Detektion und Unterstützung bei der Vorfallbehebung auslagern.
Telekom Security hilft Unternehmen dabei, eine für sie passende Cyber-Defense-Strategie zu entwickeln und umzusetzen. Die Telekom schöpft dazu wertvolles Wissen aus der Cyberabwehr für ihre eigene Infrastruktur und viele andere Kunden sowie aus den vielfältigen Kontakten zu Behörden und anderen Netzbetreibern. Jeder Kunde profitiert unmittelbar von diesem Netzwerk, das durch jedes neue Mitglied noch stärker wird.
Nachholbedarf im Mittelstand
Der Finanzsektor sowie viele große Unternehmen anderer Branchen haben bereits erfolgreich Cyberabwehrzentren installiert oder sind dabei, diese aufzubauen. Besondere Anforderungen gelten dabei für Betreiber kritischer Infrastrukturen wie Telekommunikation oder
Energieversorgung, die auch ihre Anlagen vor Angriffen schützen müssen. Auch für den Automobilbereich gibt es bereits branchenspezifische Lösungen 3). Anders bei kleinen oder mittleren Unternehmen: Trotz ausreichend verwertbarer Daten fehlt vielfach eine automatisierte Datenanalyse sowie ausreichend Personal zur Behandlung der Alarme.
Wir empfehlen Unternehmen jeder Größe und Branche eine angepasste Angriffsdetektion und -abwehr. Nur so können Unternehmen, Mitarbeiter und Kunden den Weg in die Digitalisierung sicher und vertrauensvoll beschreiten.
Quellen:
1) Bitkom, „Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr“, November 2019, https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-100-Milliarden-Euro-Schaden-pro-Jahr
2) Allianz, „Allianz Risk Barometer“, Januar 2020
3) T-Systems, „Cyberabwehr für das vernetzte Fahrzeug“, 2018, https://www.t-systems.com/de/de/whitepaper-download/cyberabwehr-fuer-das-vernetzte-fahrzeug-10560
Der Autor: Dr. Karl-Friedrich Thier ist Principal Consultant für Cyber Defense Management bei Telekom Security, der Security-Einheit von T-Systems und der Deutschen Telekom. In dieser Funktion berät er Unternehmen aus allen Branchen beim Auf- und Ausbau ihrer Cyberabwehr-Fähigkeiten. Internet: www.t-systems.com/de/de/security, Telefon: 00800 33 09030