9 Tipps, um vor, während und nach einer Cyber-Attacke richtig zu reagieren
IT-Security ist ein hohes Gut. Obwohl für viele Unternehmen der Schutz ihrer IT-Infrastruktur, Systeme, Workplaces und Daten oberste Priorität hat, ist ein großer Teil für einen Angriff nicht gewappnet. Das ist fahrlässig und hochriskant zugleich. Von Cyber-Attacken sind Unternehmen jeglicher Größe betroffen – ganz gleich, ob mittelständische Firma oder internationaler Großkonzern. Umso wichtiger ist es, entsprechende Security-Vorkehrungen zu treffen (Prevention) und im Angriffsfall mit den richtigen Erkennungs-, Abwehr- und Bereinigungsmaßnahmen zu reagieren (Detection und Response). Worauf es dabei ankommt, zeigen die neun Tipps von Arvato Systems.
Investieren Sie in Cyber Security.
Seit einigen Jahren gibt es immer mehr Hacker-Angriffe. Die Motive für solche Attacken sind vielfältig: von Industriespionage bis hin zu erpresserischen Absichten und damit verbundenen Schutzgeldforderungen. Um dem vorzubeugen, haben die meisten Unternehmen definierte IT-Krisenprozesse. Häufig eignen sie sich aber nicht, um wirklich ausgefeilte Cyber-Attacken abzuwehren. Angriffsmethoden, die bisher nur von APTs (Advanced Persistent Threats) bekannt waren, sind nun auch bei gewöhnlichen Cyber-Kriminellen zu beobachten. Die Lage hat sich spürbar verschärft – und darauf müssen Unternehmen vorbereitet sein. Sind sie das nicht, müssen sie bei einem Security Incident – je nach Art des Vorfalls – in kurzer Zeit Maßnahmen einleiten, die oft jahrelang niemand angepackt hat. Im Zweifel ist ihre über Jahre gewachsene IT-Infrastruktur innerhalb weniger Wochen komplett neu zu organisieren – was dann plötzlich großen Aufwand und hohe Kosten verursacht. Machen Sie also nicht den Fehler, erst dann zu reagieren, wenn Sie durch einen akuten Sicherheitsvorfall dazu gezwungen sind. Investitionen in Cyber Security lohnen sich, weil sie das Risiko eines kritischen Security Incidents nachweislich reduzieren.
Bereiten Sie sich vor.
Cyber Security ist das Ergebnis eines fortlaufenden Prozesses und darum höchstindividuell. Um das Security Level langfristig hochzuhalten, ist Situation Awareness entscheidend. Um auf akute Bedrohungen reagieren zu können, sollten Sie Maßnahmenpakete für verschiedene Angriffsszenarien vorab definieren. In solchen Plänen sind das Ziel einer Maßnahme, die erforderliche Vorgehensweise und die notwendigen Skills, Rollen und Unternehmensbereiche beschrieben. Beispiele sind hier Domain Administration und Datacenter Management. Auch ein Incident-Response-Kommunikationsplan darf nicht fehlen. Nur so können Sie schnell reagieren und die Situation wieder in den Griff bekommen.
Erkennen Sie Ihre Schwachstellen.
Machen Sie es einem Hacker so schwer wie möglich, indem Sie die Bedrohungslage fortlaufend monitoren und bei Bedarf alle Systeme komplett scannen. Aus den Daten können Sie ein Scoring erstellen, das Aufschluss über die Kritikalität und etwaige Schwachstellen gibt (Vulnerability Management). Doch auch wenn Sie mögliche Angriffspunkte kennen, gibt es natürlich keine absolute, 100-prozentige Sicherheit. Es ist nicht möglich, sich gegen Zero Day Exploit Attacks und APTs vollständig zu schützen. Legen Sie den ersten Fokus darum auf einfacher abzuwehrende Bedrohungen und sichern Sie sich in diesem Kontext gegen groß angelegte Angriffe ab.
Definieren Sie besonders schützenswerte Bereiche.
Akzeptieren Sie, dass Sie kein Ford Knox um Ihre IT bauen können. Fokussieren Sie sich stattdessen auf Ihre Crown Jewels, also jene Infrastrukturen, Daten und Systeme, die besonders schützenswert sind. Mit dem MITRE ATT&CK erfahren Sie, wie Sie am wahrscheinlichsten angegriffen werden. Es listet alle bekannten Angriffstechniken tagesaktuell auf und erklärt, wie man sie erkennt und mögliche Angriffe behebt. Und – ganz wichtig: Beschäftigen Sie sich mit der Bedrohungslage in ihrer Branche. Hacker sind zumeist auf bestimmte Branchen und Angriffstechniken spezialisiert. Mit einer Heatmap, die zeigt, welche Technologie wo besonders häufig angewendet wird, können Sie Ihre Crown Jewels gezielt schützen.
Korrelieren Sie Ihre Daten.
Um einen drohenden Hacker-Angriff zu erkennen, ist Detektivarbeit gefragt. Zeichnen Sie mit einem EDR-Tool Ereignisse, wie etwa eine Nutzeranmeldung, das Öffnen einer Datei, aufgebaute Netzwerkverbindungen und ähnliches, auf Endgeräten wie PCs, Notebooks, Tablets und Smartphones auf. Laufen diese Meldungen, Alarme und Logfiles verschiedener Geräte, Netzkomponenten, Anwendungen und Security-Systeme in ein SIEM-System, können Sie diese in Echtzeit korrelieren und auswerten. Erkannte Anomalien, wie etwa ein Impossible Traveller, und andere Auffälligkeiten sind wichtige Indizien für eine akute Bedrohung.
Setzen Sie auf Teamwork.
Betrachten Sie Incident Response als Mannschaftssport mit Spielern, die ihre Stärken nach abgestimmten Playbooks einbringen. Ebenso, wie eine Fußballmannschaft Torwart, Verteidiger, Mittelfeldspieler, Stürmer und Kapitän hat, braucht es einen ausgewogenen Mix aus Erfahrung und Fachwissen. Diese Fähigkeiten intern aufzubauen, verursacht großen Aufwand. Einen Dienstleister heranzuziehen, der Managed Security als Service bietet, kann insbesondere für mittelständische Unternehmen eine Überlegung wert sein. Aber auch große Konzerne profitieren von einer derartigen Zusammenarbeit. Falls Ihr eigenes Team etwa zu den üblichen Geschäftszeiten monitort, übernimmt der Dienstleister in der Nacht, am Wochenende und an Feiertagen. Oder er leitet die nötigen Response-Maßnahmen ein, wenn Ihre Mitarbeiter einen Angriff bemerken. Dabei ist Vertrauen sehr wichtig. Schließlich greift der Dienstleister im Zweifel auf hochsensible Daten zu. Ganz gleich, wie Sie Ihr Security Team zusammenstellen, sind regelmäßige Trainings unverzichtbar, um eine hohe Reaktionsfähigkeit sicherzustellen. Denn bei einem Angriff ist das ganze Security-Team gefragt.
Richten Sie ein SOC ein.
Im Zentrum steht dabei zunächst das Security Operations Center (SOC). Die Mitarbeiter in einem SOC überwachen alle eingehenden Notables beziehungsweise Alarme und bewerten das Gefahrenpotenzial: Handelt es sich tatsächlich um einen kritischen Incident? Oder um ein False Positive? Bei der forensischen Untersuchung des vermeintlichen Vorfalls ermitteln die Experten, wie der Angreifer in die Infrastruktur eindringen konnte, welche Ziele er verfolgt, wie tief er eingedrungen ist und welche technischen Methoden er angewendet hat. Dafür ziehen sie neben Logging-Daten auch Informationen aus dem EDR-System und dem Netzwerk-Monitoring heran und analysieren auffällige Systeme bis in die Tiefe. Meistens liegt das Augenmerk dabei auf dem Active Directory, den besonders schützenwerten Bereichen und dem DMZ.
Reagieren Sie schnell und richtig.
Achten Sie darauf, dass das SOC bei der Bewertung des Angriffs mit dem Incident Response Team zusammenarbeitet. Handelt es sich um einen massiven Vorfall – von Erpressungsfällen mit Ransomware bis hin zu APT-Angriffen –, koordiniert das Incident Response Team die Eindämmungs- und Bereinigungsaktivitäten und führt sie durch. Dabei ist zu entscheiden, welche Handlungen ad hoc vorzunehmen (Containment) und welche vordefinierten Maßnahmenpakete anzuwenden sind. Wichtig ist, die Komplexität des Angriffs, den Aufbau Ihrer jeweiligen Infrastruktur, Ihre Monitoring-Fähigkeiten auf Endpoints und Netzwerkverkehr sowie die verfügbaren Analyse-Skills zu berücksichtigen. Schließlich müssen die Abwehr-Maßnahmen den Methoden und Techniken des Angreifers entsprechen.
Analysieren Sie Angriffe im Nachhinein.
Nach dem Angriff ist vor dem Angriff. Darum ist es unverzichtbar, dass Sie Cyber-Attacken nachbereiten. Denn jeder Angriff ist anders, man lernt immer etwas Neues dazu. Nur wenn Sie aus einem Vorkommnis strategische Maßnahmen ableiten, entwickeln Sie eine bessere Reaktionsfähigkeit und Resilienz. Übertragen auf den Fußball, geht es um Fragen wie: Passten Spielaufbau und Organisation? Haben die Spieler auf den richtigen Positionen gespielt? Hat die Kommunikation im Team funktioniert? War die Mannschaft mit der nötigen Intensität bei der Sache? War die Visibilität über das Spielgeschehen ausreichend? Diese Fragen immer wieder aufs Neue zu beantworten, bildet die Basis für eine fortlaufende Optimierung Ihrer Risikomanagement- und Entscheidungsprozesse.
Weitere Informationen rund um Cyber Security gibt es im Whitepaper von Lünendonk und Arvato Systems „Cyber Security – die Digitale Transformation sicher gestalten“, das unter https://www.arvato-systems.de/security-studie kostenlos zum Download bereitsteht.
Autor: Arne Wöhler, Leitung Business Consulting und Development Cyber Security bei Arvato Systems.