20. November 2017 Jens Bußjäger

CYBERANGRIFFE IN 3 SCHRITTEN ERFOLGREICH IDENTIFIZIEREN

Die Zahl der Cyber-Attacken auf deutsche Unternehmen steigt. Viele trifft es meist unvorbereitet. In diesem Beitrag erfahren Sie, wie sie sich am besten dagegen wappnen können.

Laut BSI gab es bis August 2016 560 Millionen verschiedene Varianten von Schadprogrammen, Tendenz stark steigend: täglich kommen ca. 380.000 neue Varianten dazu. Diese Zahl verdeutlicht, dass es dringenden Handlungsbedarf bei der Entwicklung neuer Strategien und Maßnahmen gibt, um das eigene Firmennetzwerk vor Cyber-Angriffen zu schützen. Diese drei Schritte helfen Ihnen dabei:

1. Schritt: IT-Assets bestimmen – Risiken formulieren

Cyberkriminelle suchen für ihre Angriffe stets die Schwachstellen im System. Entsprechend beginnt man mit der Identifizierung der Netzwerkteilnehmer. Nach der Erkennung der einzelnen Assets beginnt man mit der Einstufung des Risiko. Entsprechend der Risikoeinstufung können dann Schritt für Schritt die sicherheitsrelevanten Verbesserungen der Assets vorgenommen werden. Cyberkriminelle greifen dort an, wo das Netzwerk am schwächsten ist. Zunächst sollten Sie daher genau identifizieren, was in Ihrem Netzwerk schützenswert ist. In Ihrem Netzwerk definieren Sie IT-Assets und kritische Bereiche, die ein Cyber-Angriff empfindlich treffen würde, z. B. Hard- und Softwareelemente, die für den Produktionsprozess unabdingbar sind. Durch Angriffe auf Ihr Netzwerk können diese Elemente – und dadurch sogar die gesamte Produktionsanlagen selbst – empfindlich getroffen oder sogar zerstört werden. Doch damit nicht genug. Während Hard- und Software und sogar teure Produktionsanlagen im Falle des Falles vielleicht gerade noch ersetzbar sind, liegt das wahre Kapital der meisten Unternehmen in ihrem geistigen Eigentum. Vor allem in produzierenden Unternehmen bilden wertvollste und unersetzliche Informationen, zum Beispiel zum Herstellungsprozess oder der materiellen Zusammensetzung eines Produkts, die Grundlage des Geschäftsbetriebs und des Unternehmenserfolgs.

Der Verlust oder Diebstahl dieser geheimen Informationen im Zuge eines Cyberangriffes, vielleicht sogar durchgeführt von einem Mitbewerber, trifft ein Unternehmen somit auf das Härteste und bedroht dessen Existenz.

2. Schritt: Kenne deinen Gegner

Ein Cyberangriff ist oft ein komplexer und mehrstufiger Prozess. Was etwa mit der Malware-Infektion eines Mitarbeiter-Smartphones beginnt, mündet eventuell in einem großangelegten Cyberangriff auf das gesamte Unternehmen. Um Gegenmaßnahmen rechtzeitig einleiten zu können, ist es daher wichtig einen Angriff möglichst früh zu erkennen. Auch wenn kein Cyberangriff dem anderen gleicht, laufen sie dennoch meist in typischen Phasen ab. In jeder Phase können Sie durch gezieltes Monitoring Ihres Unternehmensnetzwerks ansetzen, um Angriffe frühzeitig zu erkennen.

Phase 1: Informationsbeschaffung

In der ersten Phase einer Cyberattacke versucht der Angreifer zunächst möglichst viele Informationen über das Angriffsziel zu sammeln. Jede Information ist wertvoll: Ob Netzwerktopologie, eingesetzte Hard- und Software und darin vorhandene Sicherheitslücken, Mitarbeiternamen und -hierarchien oder gar Zugangsdaten – je mehr ein Angreifer weiß, desto schlagkräftiger kann er seinen Cyberangriff führen.

Um an diese Informationen zu gelangen, setzen Hacker verschiedene Werkzeuge und Taktiken ein: Sogenannte Port- oder Vulnerability-Scanner liefern z. B. Informationen über Netzwerkstruktur, eingesetzte Software und vorhandene Sicherheitslücken. Beim Social Engineering dagegen wird durch Vorspiegelung falscher Tatsachen oder Identitäten das Vertrauen von Mitarbeitern missbraucht, um an weitere Informationen oder gar Passwörter zu gelangen.

Wenn Sie die Vorgänge in Ihrem Netzwerk aufmerksam monitoren und Ihre Mitarbeiter entsprechend geschult sind, können sie einen sich anbahnenden Cyberangriff schon in dieser Phase erkennen und direkt unterbinden.

Phase 2: Planung und Vorbereitung

Hat der Angreifer genug Informationen gesammelt, beginnt er damit seinen Angriff zu planen. Je nach Zielsetzung sucht er etwa im Darknet auf entsprechenden Handelsplätzen nach Zero-Day-Exploits (unveröffentlichte Sicherheitslücken in Programmen) oder analysiert die im Unternehmen eingesetzte Software selbst. Erbeutete Mitarbeiterinformationen nutzt er z. B., um E-Mails zu präparieren, mit deren Hilfe die Computer nichtsahnender Mitarbeiter durch den Klick auf einen harmlos aussehenden Link per Drive-By-Download mit Schadsoftware infiziert werden.

Phase 3: Der eigentliche Cyber-Angriff

Sind alle Vorbereitungen abgeschlossen, startet schließlich der eigentliche Cyber-Angriff. Je nach Ziel des Angriffs verschafft sich der Angreifer über infizierte Endgeräte Zugang zum Netzwerk oder legt die Netzwerkinfrastruktur lahm. Mithilfe sogenannter Ransomware oder Krypto-Trojaner verschlüsselt er unternehmenskritische Daten und gibt sie, wenn überhaupt, nur gegen Lösegeldzahlung wieder frei.

Wird der Angreifer nicht entdeckt, bewegt er sich im Zuge eines APT (Advanced Persistent Thread) vielleicht monatelang ungestört im Netzwerk, umgeht mit ausgeklügelten Methoden scheinbar wasserdichte Sicherheitsmaßnahmen wie Firewalls und Virenscanner und betreibt Industriespionage oder Sabotage Ihrer Produktionsprozesse.

3. Schritt: Security Monitoring im Rahmen eines ISMS

Dies alles klingt dramatisch. Im Anbetracht aktueller Nachrichten scheint es oft, als hätten Cyberkriminelle den Wettlauf mit den Anbietern von Sicherheitssoftware wie Firewalls- und Virenscannern gewonnen. Bestehende Maßnahmen reichen jedenfalls oft nicht aus um Cyberangriffe zu verhindern.

Fakt ist: Gezielte Cyberangriffe zu erkennen erfordert normalerweise teures Expertenwissen und große personelle Anstrengungen, um das Netzwerk fortlaufend zu überwachen. Doch obwohl Angriffe auf Unternehmen immer komplexer und ausgefeilter werden, gibt es auch eine gute Nachricht: Kein Angriff verläuft spurlos, jeder Angriff geht zwangsläufig mit unüblichen Netzwerkaktivitäten einher. Unternehmen stehen daher vor der Herausforderung, solche Aktivitäten möglichst früh, sicher und effizient zu erkennen.

Hierbei hilft das Netzwerk Monitoring im Rahmen eines. ISMS (Information Security Management Systems). Das firmeninterne Netzwerk wird permanent überwacht, ohne direkt einzugreifen und womöglich das System zu überlasten. Außerdem werden potenzielle Gefahrenherde analysiert und Alarm geschlagen, falls eine ernsthafte Bedrohung im Netzwerk auszumachen ist. Reporting- und Exportfunktionen ermöglichen die übersichtliche Darstellung der Analyseergebnisse, sodass die Entscheidungsträger in Geschäftsführung und IT in die Lage versetzt werden, unmittelbar Gegenmaßnahmen einleiten zu können.

Zahlreiche Unternehmen nutzen bereits das Sicherheitssystem IRMA (Industrie Risiko Management Automatisierung) der Firma Videc. Folgende Eigenschaften machen das Sicherheitssystem so besonders:

• Einfache Bedien- und Nutzbarkeit ermöglicht die Erhöhung der Cybersicherheit, auch ohne Expertenwissen

• Wirkungsvolle Unterstützung beim Erfüllen von Compliance-Vorgaben (z. B. durch ITSiG oder ISO9000), mit denen sich viele Unternehmer aktuell konfrontiert sehen

• Geringerer Installationsaufwand: Die Überwachung und Analyse der Sicherheitslage kann sofort vorgenommen werden

Fazit: Cyberangriffe identifizieren, Verfügbarkeit erhöhen

Cyberangriffe, insbesondere sogenannte Advanced Persistent Threats, laufen fast immer in komplexen, mehrstufigen Prozessen ab. Meist verschafft sich der Angreifer unbemerkt Zugang über einzelnen Endgeräte, um von dort aus Zugang auf die Daten im Unternehmensnetzwerk zu erhalten oder den Zugriff auf ebendiese zu unterbinden und somit den Betriebsablauf zu stören. Um eine ausreichende Datensicherheit und Verfügbarkeit zu gewährleisten, müssen neben der bestehenden Sicherheitssoftware weitere Maßnahmen ergriffen werden. Zunächst sollte das Netzwerk genau auf mögliche Schwachstellen und besonders zu schützende Bereiche analysiert werden. Um Gegenmaßnahmen zu ergreifen, müssen Angriffsarten- und Strukturen erkannt werden. Netzwerk Monitoring im Rahmen eines ISMS ist ein wichtiger Baustein dafür: Das Netzwerk wird permanent überwacht und Gefahrenquellen werden rechtzeitig erkannt