Im Compromise Recovery Team unterstützt Dagmar Heidecker Microsoft beim Zurückschlagen laufender Angriffe oder Wiederherstellen der IT-Infrastruktur. Die COMPUTERWELT hat im Rahmen der Microsoft Tech Conference mit ihr über ihre Tätigkeit und den Sicherheitsherausforderungen, denen sie und ihr Team gegenüberstehen, gesprochen. [...]
Was umfasst der Bereich Compromise Recovery?
Für das Erkennen der Angriffe ist bei Microsoft das Detection and Response Team (DART) zuständig. Das sucht proaktiv nach Angreifern im Unternehmen. Weiß man bereits, dass ein Unternehmen kompromittiert ist, dann sucht es nach den Artefakten des Angriffs, versucht herauszufinden, wer der berühmte „Patient Null“ war, also von wo der Angriff ausgegangen ist.
Mein Team ist das Compromise Recovery Service Practice Team, kurz CRISP genannt. Wir arbeiten je nach Situation parallel oder nach dem DART-Team und drängen den Angreifer wieder hinaus aus dem System. Bei Recovery denken viele an das Zurücksichern nach einem Festplatten-Crash oder vielleicht daran, dass ein Rechenzentrum unter Wasser steht. In unserem Fall kann es vorkommen, dass Zurücksichern im Spiel ist, etwa nach einem Ransomware-Angriff, bei dem Systeme und Daten verschlüsselt werden. In solchen Fällen ist es natürlich notwendig zurückzusichern – sofern etwas vorhanden ist, das man zurücksichern kann. Aber das „Recovery“ im Begriff „Compromise Recovery“ bezieht sich eigentlich auf das Wiederherstellen einer funktionsfähigen Umgebung, konkreter einer funktionsfähigen, vertrauenswürdigen Umgebung, also einer angreiferfreien Umgebung.
Der Druck erfolgreich zu sein, muss sehr hoch sein.
Ja, wir nehmen das sehr ernst. Unsere sogenannte Rehack-Quote ist auch sehr, sehr gering. Aber nicht jedes Unternehmen, das kompromittiert wurde, holt sich Hilfe von uns. So mancher denkt, dass es ausreichend ist, wenn er seine Umgebung wieder in einen funktionsfähigen Zustand versetzt. Dabei ist aber zu bedenken: wenn ich ein Backup einspiele vom Tag bevor der Angriff stattgefunden hat, dann sichere ich ja alle Sicherheitsproblematiken genauso wieder zurück und bin in einer Situation, wo ich mit sehr hoher Wahrscheinlichkeit sofort wieder angegriffen werde. Trotzdem wird es immer wieder gemacht.
Wie sieht die Recovery-Situation in der DACH-Region im Vergleich aus?
Für die DACH-Region kann ich nur subjektive Werte liefern. Die Region besteht aus drei Ländern, die aus meiner Sicht sehr schwer zu vergleichen sind, weil die typische Unternehmensstruktur, aber auch die Unternehmenskultur sehr unterschiedlich ist. In Österreich gibt es großen Handlungsbedarf quer durch alle Branchen, wobei es natürlich auch positive Ausnahmen gibt. Allerdings sehe ich natürlich hauptsächlich kompromittierte Unternehmen und mein Blick ist daher ein besonders pessimistischer.
Gibt es einen Einsatz, der Ihnen besonders im Gedächtnis blieb?
Also: Das, was in unserem Team passiert, bleibt in unserem Team! Unsere Kunden haben Codenamen und es gibt ein strenges Schweigegelübde.
Was ich jedoch ganz allgemein beobachte, ist, dass sehr Vieles gleich abläuft. So sind Angriffe sehr Saison- und Branchenabhängig geworden. Wenn Kriminelle ein Unternehmen erfolgreich angreifen, wissen sie sehr genau, wann das Unternehmen den höchsten Umsatz hat, oder für einen Angriff am anfälligsten ist, um Geld durch Verschlüsselung von Systemen und Daten zu erpressen. Angreifer verschaffen sich Zugriff auf ein Unternehmen, übernehmen wesentliche Teile der Infrastruktur, ohne dass es jemand bemerkt. Dann können 50 Tage oder auch 100 Tage vergehen, in denen sie alle Daten abgreifen, die sie bekommen können. Darüberhinaus verhalten sie sich sehr ruhig. Wenn jedoch ein entscheidendes Ereignis für dieses Unternehmen ansteht, sei es ein groß angekündigter Verkaufstag oder eine Messe, schlagen Sie zu und verschlüsseln einige Daten. Nicht alle, nur so viele, dass das Unternehmen immer noch funktioniert. Damit zeigen sie: „wir können das“. Die Angriffe starten in unseren Breiten typischerweise am Samstagabend, Sonntagnachmittag oder Sonntagabend – eben dann, wann üblicherweise niemand verfügbar ist. Danach wird das Unternehmen erpresst, eine bestimmte Summe in Bitcoin zu zahlen. Das sind mitunter zweistellige Millionenbeträge, denn die Angreifer kennen den Umsatz und den Schmerzpunkt der attackierten Unternehmens sehr genau. Das Unternehmen hat dann ein paar Tage, vielleicht eine Woche Zeit, um zu bezahlen, andernfalls wird alles verschlüsselt. Diese paar Tage haben mein Team und ich und das Unternehmen Zeit, um das zu verhindern. Das sind Wochen mit wenig Schlaf.
Wie sieht Ihr zeitlicher Spielraum beim Recovery aus?
Wir ziehen unsere Projekte in sechs bis acht Wochen durch. Das sind sechs bis acht anstrengende Wochen für das Unternehmen. Obgleich die Ransomware-Angriffe in den Medien sehr präsent sind, bedeutet das nicht, dass ausschließlich solche Angriffe stattfinden. Wir haben immer noch die Fälle, wo Angreifer monate-, teilweise jahrelang Zugriff auf die Unternehmenssyteme haben und dann – meistens zufällig – bemerkt werden. Auch hier ist genug zu tun. Neben dem Wiederherstellen der Funktion müssen wir die wichtigsten Sicherheitsversäumnisse der letzten zehn Jahre in dieser Zeit nachholen. Da das nicht möglich ist, holen wir diejenigen Versäumnisse nach, die sicherstellen, dass der Angreifer die Infrastruktur nicht wieder übernehmen kann.
Welche Trends sehen Sie im Bereich Recovery?
Es gibt eine starke Empfehlung hin zu Offline-Backups. Immer wieder sehen wir, dass Unternehmen zwar fleißig sichern, aber nie testen, ob sie zurücksichern können. Oder dass sie so sichern, dass Angreifer beim Verschlüsseln der Unternehmensdaten auch gleich die Backups mit verschlüsseln können. Deswegen unsere dringende Empfehlung: Backups offline sichern. Das kann ein Tape sein, aber auch Azure hat dafür Möglichkeiten, die Daten aus dem eigenen Rechenzentrum und aus dem potenziellen Zugriff von Angreifern herauszubekommen. Was mich ärgert ist, wenn derartige Angriffe oft so dargestellt werden als handle es sich dabei um unausweichliche Schicksalsschläge, gegen die man vorbeugend nichts tun könne. Das stimmt so nicht. Man kann schon vorher sehr viel dagegen tun.
Be the first to comment