Die Zahl der Cyber-Attacken auf Unternehmen nimmt stark zu. Umso wichtiger ist es, vorausschauend zu handeln. Deception Technology und Penetrationstests helfen dabei, Schwachstellen zu finden, bevor diese von Kriminellen ausgenutzt werden. [...]
Es gibt zwei Arten von Unternehmen: Diejenigen, die gehackt wurden und solche, die nicht wissen, dass sie gehackt worden sind«, sagte John Chambers, der bis 2015 als CEO für die Leitung von Cisco Systems verantwortlich war, bereits vor Jahren. Dass es jeden treffen kann, bewies sich einmal mehr im Juni dieses Jahres, als bei einer Cyber-Attacke auf die Büchereien Wien über 713.000 Nutzer-Daten gestohlen wurden. Der Onlinekatalog der Büchereien musste daraufhin vom Netz genommen werden, um einen Missbrauch der Büchereikonten zu verhindern. Laut Elke Bazalka, Leiterin der Büchereien Wien, gab es keine Hinweise auf den oder die Täter. Wenn selbst unscheinbare Einrichtungen wie Büchereien nicht vor Hacker-Angriffen gefeit sind, ist es letztlich niemand.
Viele Unternehmen bemerken allerdings erst sehr spät, dass sie Opfer einer Attacke geworden sind. Lediglich die Hälfte der sogenannten Breaches werden innerhalb von 99 Tagen erkannt. Im Schnitt liegt die Verweildauer von Hackern in Unternehmensnetzen bei ganzen 170 Tagen. Auch deshalb beläuft sich die weltweite Schadenssumme, die allein im Jahr 2018 auf Hackerangriffe zurückzuführen ist, Schätzungen zufolge auf rund 500 Milliarden US-Dollar (rund 450 Mrd. Euro.).
Wiener Startup will Hackern einen Schritt voraus sein
Unternehmen wie die Deutsche Telekom arbeiten mit sogenannten Honeypots, um Cyber-Angreifer in die Falle zu locken und mehr über deren Methoden und Vorgehen zu erfahren. So wie Bären bei der Jagd mit einem Honigköder angelockt werden, sollen Hacker mit Honeypots auf vermeintliche Schwachstellen in IT-Systemen reagieren und dazu verlockt werden, diese auszunutzen. Gehen sie in die Falle, können sie von den IT-Experten erkannt und das System vor zukünftigen Angriffen geschützt werden. 3.000 Honeypots hatte die Deutsche Telekom im April im Einsatz. Diese wurden durchschnittlich 31 Millionen Mal angegriffen – pro Tag. Damit ist dieser Wert innerhalb eines einzigen Jahres um das Achtfache gestiegen. Honeypots sind ein verbreitetes Mittel auf der Jagd nach Hackern und Cyber-Kriminellen. Dennoch gehen die Security-Experten des Wiener Startups CyberTrap einen etwas anderen Weg.
»Gut ausgebildete Angreifer und Insider wissen, wie sie sich Zugang zur Unternehmensinfrastruktur verschaffen können«, sagt Tom Haak, COO von CyberTrap. »Statt auf herkömmliche Methoden setzen wir deshalb auf die Deception Technology, mit der Angreifer in Echtzeit erkannt, analysiert und abgewehrt werden können. Mit unseren maßgeschneiderten Lösungen übernehmen wir die Kontrolle der Attacken und sind somit den Angreifern immer einen Schritt voraus«, so Haak. »Wir lernen von den Angreifern und verbessern dadurch die Sicherheit.«
Bei der Deception Technology werden in der Recon Phase Angreifer über Köder (Lures) erkannt, kontrolliert in eine überwachte Umgebung (Decoy) umgeleitet und in dieser realen Parallelwelt beobachtet. Sämtliche gelernten und gesammelten Informationen gehen zurück in die Absicherung der Unternehmen und helfen letztendlich bei der Auswahl der richtigen Maßnahmen. Die Forensik beginnt also bereits während des laufenden Angriffs, ohne dass die produktive Umgebung Schaden nimmt. »Mit unserer Deception Technology können wir in Echtzeit die wichtigsten Fragen beantworten wie etwa die Existenz des Angreifers, seine Vorgehensweise, seine Motivation und das Ziel«, sagt Tom Haak, und: »Letztlich geben wir die Kontrolle über den Angriff so an die Unternehmen zurück. Diese sind dadurch den Angreifern stets einen Schritt voraus und lernen gleichzeitig von ihnen, sodass die vorhandene IT-Security kontinuierlich verbessert wird und stets auf dem allerneusten Stand ist.«
Suche nach Auftraggeber mit Deception Technology
Im Vergleich zu den Honeypots handelt es sich bei Deception Technology um einen dynamischen und nicht um einen statischen Prozess. Statt Simulation bzw. Emulation werden echte Systeme genutzt. Die Decoys sind überwachte Umgebungen, die der echten Produktivumgebung gleichen. Letztlich lassen sich durch die Weitergabe und das Öffnen von ausgeschleusten Dokumenten die Angreifer und mitunter sogar ihre Auftraggeber identifizieren. Die entsprechenden Dokumente sind mit sogenannten Code Snippets (ein kurzes Stück Quelltext) markiert und werden in der Decoy-Umgebung platziert. Werden die gestohlenen Dokumente geöffnet, lässt sich erkennen, wer das Dokument geöffnet hat. Systeminformationen, Usernamen, Passwörter sowie die Auftraggeber samt deren Aufenthaltsort können teils ebenfalls ermittelt werden. Den Hackern und deren Hintermännern dürfte das wenig gefallen.
Mit Penetrationstests den Angreifern zuvorkommen
Penetrationstests sind ebenfalls ein effizientes Mittel, um sich vor Cyber-Angriffen zu schützen. Bei diesen Tests werden die Systeme und Maßnahmen von IT-Security-Experten auf Schwachstellen hin geprüft – genauso, wie es ein Hacker tun würde. Schwachstellen werden so erkannt, bevor diese von Kriminellen ausgenutzt werden. Damit erhält der Auftraggeber wichtige Hinweise, wo die Schwachstellen seines Systems oder seiner Organisation liegen und durch welche Maßnahmen das Sicherheitsniveau verbessert werden kann. Wie gut diese Methode funktioniert, hängt letztlich stark davon ab, wie gut die Tests sowie der Service der jeweiligen Anbieter sind.
Bei sogenannten Injection Vulnerabilities wird das avisierte Unternehmen per bösartigen Code angegriffen, etwa über ein schlecht abgesichertes Eingabefeld einer Webapplikation. Hacker können auf diese Weise mitunter wichtige Daten einsehen oder auch löschen. Die gute Nachricht ist, dass sich derartige Schwachstellen mit geeigneten Tools zumeist relativ leicht finden lassen. Ähnliches gilt für bestimmte Fehler bei der Passwortsicherheit. Wird ein solcher Tool-basierter Test allerdings nicht richtig durchgeführt, kann das schwerwiegende Konsequenzen haben – nicht zuletzt, weil das Unternehmen fälschlicherweise davon ausgeht, dank des Tests gut geschützt zu sein. Zudem hilft es wenig, Schwachstellen zu finden, wenn diese dann nicht professionell geschlossen werden.
»Hinzu kommt, dass längst nicht jede Schwachstelle mit herkömmlichen Tools gefunden wird«, sagt Sascha Hellermann vom Software- und Beratungsunternehmen Cocus. »Haben es die Angreifer beispielsweise auf die Umgehung von Zugangskontrollen oder die unbefugte Erweiterung von Zugriffsrechten abgesehen, helfen Tools allein nicht weiter. Dann müssen manuelle Tests durchgeführt und die Schwachstellen umgehend geschlossen werden. Ansonsten besteht die Gefahr, dass großer und mitunter irreparabler Schaden entsteht«, warnt der Experte. Ein Anbieter, der ein umfassendes Programm mit verschiedenen Sicherheitstests anbietet, ist T-Systems. Im Rahmen dieser Sicherheitstests führen Experten eine Bestandsaufnahme durch und analysieren systematisch den aktuellen Sicherheitsstand des IT-Systems des Unternehemns.
Awarenss der Mitarbeiter muss gestärkt werden
»Der Bereich Security ist in den letzten Jahren immer wichtiger geworden. Grundsätzlich ist das Sicherheitsniveau in Österreich recht hoch und die Awareness bei den Mitarbeitern und Verantwortlichen steigt. Die größte Gefahr für Unternehmen ist nach wie vor der Mensch«, sagt Thomas Masicek, Chief Security Officer bei T-Systems Österreich. Es gebe immer Schwachstellen und Unternehmen würden die Netzwerke oft nur halbherzig konfigurieren. »Die meisten Unternehmen sind damit überfordert die Geräte auf dem aktuellen Stand zu halten. Alleine wenn man sich anschaut, wie viele Patches Microsoft pro Monat veröffentlicht. Wenn es keine professionelle IT-Abteilung gibt, die das ordnungsgemäß konfiguriert und wartet, ist es für einen Angreifer kein Problem, sich im Netzwerk auszubreiten und Systeme zu infizieren. Das ist der Grund warum sich Kryptotrojaner im Unternehmen festsetzen können, obwohl manche Schadsoftware wie etwa WannaCry schon Jahre alt ist. Trotzdem stellen wir bei Incident-Response-Maßnahmen, die wir bei Unternehmen durchführen, immer wieder fest, dass genau diese Dinge zum Ziel kommen. Das Thema Awareness ist also nach wie vor ein ganz wichtiges«, so Masicek.
Es sei erforderlich, dass sich die Unternehmen viel mehr mit dem Thema Sicherheit auseinandersetzen. »Die IT-Abteilungen müssen ihre Hausaufgaben machen und die im Einsatz befindlichen Geräte ordnungsgemäß konfigurieren und warten. Wir sehen das auch bei den Projekten, die wir aktuell durchführen. Da geht es einerseits in Richtung Awareness-Training zum Beispiel auch mit Gamification. Weiters gehören Social-Engineering-Tests und Phishing-Kampagnen dazu, die wir ausschicken und anhand derer man den Mitarbeitern erklären kann, was kritisch ist. Sie lernen also praxisnah.«
Das Portfolio von T-Systems zum Thema Sicherheit reicht von Beratung, etwa in Form von Security Readiness Assessments (»Wo steht der Kunde«) über umfassende GRC-Lösungen (Government Risc Compliance) und der Entwicklung von Prozessen etwa für Incident Response oder eines ISMS (Information Security Management System) bis hin zur kompletten Cyberabwehr in Form eines fully managed Next Generation SOC (Security Operation Center) oder forensischen Analysen im Zuge von Incident-Response-Tätigkeiten.
Individuelle Maßnahmen für Unternehmen
Welche Tests in welchem Umfang nötig sind, hängt stark vom jeweiligen Unternehmen ab. Bei manchen Unternehmen reichen bereits vergleichsweise einfache Maßnahmen. Letztlich sollten die Maßnahmen immer auf das Unternehmen zugeschnitten sein. Nach den erfolgten Tests lässt sich dann u.a. mit Hilfe eines Abschlussberichts klären, welche Maßnahmen eingeleitet und durchgeführt werden sollten. Wie gut das Unternehmen geschützt ist, liegt dann daran, wie schnell und adäquat die Sicherheitslücken geschlossen werden. Handelt man nicht oder zu langsam, könnte es einem schnell ergehen wie den Büchereien Wien. Diese dürften trotz verärgerter Kunden den Schaden überleben, den die Hacker verursacht haben. Für viele Unternehmen wäre dagegen ein ähnlicher Angriff allein schon aus Image-Gründen fatal.
Be the first to comment