Effektive digitale Abwehr braucht Reaktion und Vorhersagen
Eine aktuelle Bitkom-Studie im Auftrag von F-Secure zeigt, dass leider Geschäftsführer, CIOs und CROs der Meinung sind, dass sich IT-Angriffe vollständig verhindern lassen. Die Praxis lehrt uns das Gegenteil. Der Spruch „Es gibt zwei Arten von Unternehmen: Diejenigen, die gehackt wurden und diejenigen, die noch nicht wissen, dass sie gehackt wurden“ wird zahlreichen Zitatgebern zugeschrieben, das macht ihn aber leider nicht weniger wahr. Es war für Kriminelle nie einfacher, Schadsoftware mit ausgefeilten technischen Funktionen zu versehen. Denken wir nur an WannaCry und NotPetya, zwei Malware-„Highlights“ aus 2017. Diese nutzten Angriffstools,die eigentlich für die NSA entwickelt wurden und nun im Web offen herumschwirren. Parralel dazu lässt sich mit digitaler Kriminalität viel Geld verdienen – bei relativ geringem Aufwand.
Wie muss eine Abwehrstrategie gegen so eine Bedrohung aussehen? Bei F-Secure sehen wir den Schutzprozess als genau das: Ein ständiger Prozess. Eine gute IT-Sicherheit kann dabei nicht alles in die Abwehr setzen. Mindestens ebenso wichtig ist es, potentielle Angriffe vorherzusehen und gleichzeitig aus erfolgreichen Attacken zu lernen.
Vorhersage ist kein Hexenwerk
Wie soll eine seriöse Vorhersage von Angriffen funktionieren? Ist das nicht ein unerfüllbares Werbeversprechen? Im Gegenteil: Die größte Teil digitaler Attacken sind keine hochtechnischen, einmaligen Angriffe, die komplett neue Wege nutzen. Kriminelle setzen auf bekannte Schwachstellen und funktionierende Infektionswege (mit ein Grund, warum es immer noch Spam gibt). Unternehmen können ihren digitalen Fußabdruck analysieren und erhalten einen guten Überblick darüber, wo es Schwachstellen gibt.
Diese Aufgabe übernimmt F-Secure RADAR. Die schlüsselfertige Plattform durchsucht das komplette Unternehmensnetz nach Endpunkten und Web-Anwendungen. Anschließend klopft sie diese auf bekannte Lücken oder offene Zugangspunkte ab. IT-Verwantwortliche sehen die Ergebnisse direkt in einem Dashboard aufbereitet. Anhand dieser Daten können sie entscheiden, wo zusätzliche Sicherheitsmaßnahmen getroffen werden sollten und welche Systeme von aktuell bekannt gewordenen Bedrohungen überhaupt betroffen sind.
Reaktion auf Angriffe
Egal ob das Unternehmen gehackt oder eine potientielle Attacke erkannt wurde: Die Reaktion auf Bedrohungen und Zwischenfälle sind eine wichtige Komponente im Sicherheitsprozess. Wie eingangs erwähnt handelt es sich beim Löwenanteil der Zwischenfälle um automatisierte Attacken. Kriminelle nutzen bekannte Schwachstellen und zielen auf hunderte oder tausende von Systemen – klassische Gegenmaßnahmen und eine gute Update-Strategie können den Großteil dieser Probleme frühzeitig stoppen.
Für Firmen sind die Crux die restlichen Attacken, gezielte Angriffe auf bestimmte Bereiche und wichtige Daten. Bevor so ein Angreifer erfolgreich ist, kommt unser Rapid Detection Service (RDS) zum Einatz. Diese Lösung ist spezialisiert auf raffinierte Attacken, die häufig mit gezielten Phishing-Attacken gegen einzelne Mitarbeiter starten. Um hier gegenzulenken, positioniert der Rapid Detection Service Sensoren im Unternehmensnetzwerk und analysiert riesige Datenmengen. Das Ziel: Bösartiges Verhalten soll erkannt werden, bevor Schaden angerichtet werden kann.
https://youtu.be/_hhAOBz-e7c
Werden verdächtige Verhaltensweisen erkannt, informiert das RDS-Team innerhalb von 30 Minunten die Verantwortlichen im Unternhemen – und das rund um die Uhr, jeden Tag im Jahr.
Für noch mehr Klarheit sorgen F-Secures Forensikexperten. Diese können nach einem entdeckten Einbuch aktiv werden und den Hergang genau untersuchen. Wie kamen die Kriminellen ins Netzwerk? Was waren die Einfallstore, gab es Schatten-IT oder veraltete Software?
Diese Informationen können ein Reaktionsteam innerhalb der Firma unterstützen, um gezielt gegen Bedrohungen und Hacks vorzugehen. Solche Teams sind aber leider noch eine Seltenheit. Daten von F-Secure zeigen, dass nur die Hälfte der Unternehmen solche Teams unterhalten. Lediglich 40 Prozent davon haben auch die Fähigkeit, effektiv durch einen Krise zu führen. Und nur 35 Prozent aller Unternehmen haben überhaupt einmal einen Testlauf zu einem digitalen Zwischenfall durchgeführt.
Dabei können gerade solche „bezahlten Einbrüche“ oder Red Teaming einmalige Einsichten zu potentiellen Verwundbarkeiten lieferen. Experten simulieren eine Attacke und liefern eine detailierte Übersicht, welche Schwachstellen real in der Firma existieren.
Der Erfolg gibt diesen Teams recht: “Stand heute verzeichnet unser Cyber-Sicherheitsteam eine 100 %-Erfolgsquote bei Red-Team-Tests,“ sagt Janne Kauhanen von den F-Secure Cyber Security Services. Für Unternehmen und IT-Verantwortliche bringen solche Überprüfung nicht nur umfassende Daten zu realen Bedrohungen. Sie bieten auch Leuten, die nicht im Alltag mit IT arbeiten, einen Einblick, wie Angreifer vorgehen und wie leicht sich wichtige Dokumente stehlen lassen. Das hiflt, Sicherheitsausgaben zu verargumentieren. Denn eigentlich ist Geld für mehr IT-Sicherheit da, das sagen zumindest aktuelle Daten der Bitkom, die im Auftrag von F-Secure erhoben wurden.
Wichtig ist künftig, dieses Budget nicht blind in Geräte und Lösungen zu investieren, die gerade die News-Landschaft beherrschen. Vielmehr geht es darum, gezielt die eigenen Schwachstellen zu kennen und zu entscheiden, welche Ansätze den eigenen Sicherheitsprozess stärken und die Angriffsfläche verringern.
Dieser Beitrag ist der zweite Teil unserer Serie zur Herausforderungen in der IT-Sicherheit. Teil 1 „Anti-Virus alleine reicht nicht“ finden Sie hier. Im nächsten Teil gehen wir genauer auf die Bedrohungen ein, die auf Unternehmen in 2018 und darüber hinaus lauern.
Kategorien