Perspektive wechseln und Cyber Security stärken – mit dem MITRE ATT&CK Framework

Das Bundesamt für Sicherheit in der Informationstechnik zieht in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland“ ein klares Fazit: Die Bedrohungen im Cyber-Raum nahmen auch im Jahr 2022 weiter zu. Ohne eine effektive Cyber-Security-Strategie ist eine Attacke auf die eigenen Unternehmensdaten somit nur noch eine Frage der Zeit. Denn IT-Sicherheitsverantwortliche kämpfen mittlerweile gegen eine Vielzahl an Täterprofilen und müssen verschiedene Angriffspunkte schützen. Wahre Wunder bewirkt dabei ein Perspektivwechsel. Sind die Taktiken und Techniken der Kriminellen also bekannt, können IT-Profis Schwachstellen identifizieren und schnell reagieren. Genau hier setzt das MITRE ATT&CK Framework an. In dem Rahmenwerk sind Informationen zu realen Cyber-Überfällen gesammelt. So weicht theoretisches Wissen praktischen Erfahrungen. Das Resultat: Organisationen können den stetig wachsenden Sicherheitsbedrohungen mit passgenauen Schutzmaßnahmen begegnen.

Stand der IT-Sicherheit

Wie so oft in den letzten Jahren gilt auch für die steigenden Cyber-Angriffe die Coronapandemie mindestens als Mitauslöser. Home-Office-Regelungen, Remote Work und die damit verbundenen stärkeren technischen Vernetzungen in Organisationen haben dazu geführt, dass sich die möglichen Angriffsflächen ausgedehnt haben – und das weltweit. Das besorgniserregende Ergebnis: gebrochene Rekorde. Denn in dieser Zeit verschafften sich Cyber-Kriminelle so häufig wie nie zuvor Zutritt in Unternehmen. In den Jahren 2020 und 2021 berichtete der Digitalverband Bitkom in seinen jährlichen Studienberichten von immer mehr Betrieben, die sich gegen Cyber-Attacken wehren mussten. 2022 waren es bereits neun von zehn Firmen.

Dabei schafften es professionelle Täter lediglich auf Platz drei des Treppchens. Das größere Risiko bilden offenbar Hobby-Hacker und Mitarbeitende als unwissende Komplizen. Denn neben Schwachstellen in der technischen Infrastruktur nehmen Angreifer immer häufiger die Mitarbeitenden ins Visier. Das Schlagwort: Social Engineering. Hier nutzen Eindringlinge die Unwissenheit der Angestellten aus und versuchen, das Vertrauen einzelner zu erhaschen. Haben sie Erfolg, überwinden sie im nächsten Schritt Sicherheitsvorkehrungen mit Leichtigkeit. Um sich vor derartigen Attacken zu schützen, sollten sich Unternehmen tiefer mit den Tätern selbst beschäftigen. Besonders aufschlussreich sind Taktiken und Techniken der Cyber-Kriminellen in Bezug auf menschliche und technische Angriffspunkte. Gelingen kann das Hineinversetzen in sein Gegenüber mit dem MITRE ATT&CK Framework.

MITRE ATT&CK Framework: Was ist das?

Das MITRE ATT&CK Framework gilt als große digitale Bibliothek. Spezialisiert ist sie auf Informationen über das Verhalten von Cyber-Kriminellen. Die Sammlungen beruhen jedoch nicht auf theoretischem Wissen über die Attacken. Ganz im Gegenteil: Sie sind mit Informationen zu Beobachtungen aus der Praxis angereichert – das macht sie so wertvoll. Die Datenbank enthält also öffentlich zugängliche Berichte über Zwischenfälle und aus realen Bedrohungen generierte Daten. Im Fokus stehen dabei die Taktiken, Techniken und Prozeduren, kurz TTPs, die Akteure bisher einsetzten und mit denen ebenso neue Angriffe denkbar sind.

Anfänglich hatte die MITRE Corporation das gleichnamige ATT&CK Framework im Jahr 2013 im Rahmen eines Forschungsprojektes entwickelt. Das Ziel war es, mit diesem Wissen die US-Regierung zu beraten und zu unterstützen. Das Potenzial der kuratierten Wissensdatenbank sollte damit noch nicht ausgeschöpft sein. 2015 wurde das MITRE ATT&CK Framework der Öffentlichkeit zugänglich gemacht. Seitdem können auch IT-Abteilungen in Unternehmen von den gesammelten Informationen rund um Bedrohungen und Cyber Crime profitieren – und sollten es auch.

Im Kopf des Angreifers

Dabei liegt der Mehrwert vor allem in der Möglichkeit, verlässliche Vorhersagen zu treffen. Denn durch die Analyse der Bedrohungen lassen sich die nächsten Schritte bestimmen. Jeder Aktion der Cyber-Kriminellen können Sicherheitsverantwortliche Taktiken und Techniken präzise zuordnen. Durch diesen Perspektivwechsel versetzen sich ITler in ihr Gegenüber hinein. Sie verstehen, was das Ziel eines potenziellen Angreifers sein könnte und wie er dieses erreichen will. Das liefert Unternehmen den entscheidenden Vorteil: Aber auch wenn bereits eine Cyber-Attacke in Gang ist, lässt sich der Schaden mithilfe des MITRE ATT&CK Frameworks minimieren. In diesem Fall identifizieren Mitarbeitende schnell weitere Angriffspunkte und können technische Schutzmaßnahmen einläuten.

Im Detail enthält das ATT&CK Framework von MITRE eine Liste mit aktuell 14 Taktiken. Sie beleuchten das „Warum“. Darunter fallen beispielsweise die „Discovery“, also die erstmalige Erkundung einer Unternehmenslandschaft, oder der „Impact“. Hier ist es das Ziel des Angreifers, Systeme und Daten der Organisationen zu manipulieren, zu stören und letztlich zu zerstören. Die Techniken wiederum beziehen sich auf das „Wie“. Die Frage dahinter: Inwiefern lässt sich die eigentliche Absicht in die Tat umsetzen – oder eben vermeiden? Mit einer Zahl von 193 Techniken und über 400 Sub-Techniken sind sie weit umfangreicher. Um Zugriff auf Anmeldedaten zu erhalten, können Cyber-Kriminelle diese zum Beispiel ausspähen. Durch die verschiedenen Taktiken und Techniken können sich Interessierte unter attack.mitre.org klicken.

Fazit

Egal in welchem Lebenszyklus sich eine Cyber-Attacke befindet, die Cyber Security-Experten von q.beyond erleben in ihren Projekten immer wieder, dass IT-Abteilungen mit dem MITRE ATT&CK Framework die Angreifer im Blick behalten können. Sie beleuchten ihre Methoden und kontern mit gezielten Gegenmaßnahmen. Daneben ist das Rahmenwerk ein gutes Werkzeug, um Mitarbeitende zu schulen. Denn sämtliche Angriffsszenarien lassen sich anhand der Taktiken und Techniken proaktiv durchspielen. Natürlich befreit die Datenbank nicht von zusätzlichen Schutzmaßnahmen. So bleiben Datenklassifizierungen und Strategien wie Data Loss Prevention (DLP) weiterhin nötig, um die IT-Sicherheit im Unternehmen optimal zu gewährleisten. Hier kommt es stets auf eine ganzheitliche Cyber-Security-Strategie an.

Autor: Stefan Peter, Head of Cyber Security, q.beyond AG