“Der Aufwand für einen Angriff lohnt sich in den meisten Fällen.”

Professionelle Hacker machen es den Unternehmen noch schwerer sich zu schützen. Wie ändern sich die Anforderungen an die IT-Sicherheit?

Thomas Krause: Hier muss man unterscheiden zwischen automatisierten opportunistischen Attacken und den komplexeren Advanced Persistent Threats (APTS). Automatische Versuche, Sicherheitslücken zu finden, scheitern oft schon an dem AV-Scan einer aktuellen Antiviruslösung. Eine von Menschen geführte APT ist aber anspruchsvoller und erfordert deshalb eine gestaffelte Abwehr. Dabei sind die Übergänge zwischen den Angriffsformen fließend: Aus einer Standard-Phishing-Mail kann eine persistente Präsenz der Cyberkriminellen in einem Unternehmen resultieren. Die Betreiber einer Ransomware-as-a-Servise (RaaS)-Attacke gehen gestaffelt vor, nutzen verschiedene Tools und nehmen sich Zeit, das wirkungsvollste Schadszenario für eine Erpressung vorzubereiten. Sie tarnen sich hinter bekannten Tools und sind sparsam sowie effizient in ihrer Kommunikation mit dem Command-and-Control-Server.

Von solchen intelligenten Angriffen sind aber wahrscheinlich eher  Großunternehmen betroffen?

Thomas Krause: Diese Angriffe können jedes Unternehmen betreffen, auch einen mittelständischen Betrieb. Denn Geld für das Zahlen eines Lösegeldes sowie unverzichtbare Systeme und Informationen sind bei jedem Betrieb gegeben. So lohnt sich der Aufwand für einen Angriff in den meisten Fällen – gleich ob man eine Schule oder Universität, eine Behörde, ein Krankenhaus, ein Produktionsbetrieb oder ein Player in der digitalen Wirtschaft ist.

Niemand kann sich verteidigen gegen das, was er nicht sieht. Wer professionelle Angriffe früh erkennen will, muss sie früh kommen sehen, um sie im Keim zu ersticken. Eine IT-Abwehr muss zum Zeitpunkt der konkreten Exekution in der Lage sein, vor Ort auf dem betroffenen System unmittelbar zu agieren. Außerdem sollte er Angriffe nachhaltig verhindern. Denn deren Urheber haben ein gutes Gedächtnis und merken sich einmal vorhandene Schwachstellen.

“Niemand kann sich verteidigen gegen das, was er nicht sieht. Wer professionelle Angriffe früh erkennen will, muss sie früh kommen sehen, um sie im Keim zu ersticken”, sagt Thomas Krause von ForeNova
An welchen Phasen müssen Verteidiger mit welchen Abwehransätzen agieren?

Thomas Krause: Es gibt unterschiedliche Phasen und Methoden eines Angriffes. Je nach Stadium der Attacke erkennt man die Aktivitäten der Cyberkriminellen an unterschiedlichen Spuren. Entsprechend ändern sich die Ansprüche an die IT-Sicherheit. Doch es gibt nicht nur verschiedene Phasen, sondern auch Schauplätze eines Angriffes: den Netzverkehr und die einzelnen Endpunkte. Und jeder diktiert seine eigenen Aufgaben.

Was bedeutet das für die Abwehr? Angriffe früher erkennen?

Paul Smit: In der Prävention kommt es zunächst darauf an, die Angriffsfläche zu minimieren und einen allgemeinen Sicherheitsstatus zu gewährleisten. Am Endpunkt geschieht dies durch Updates der Systeme und Sicherheitsrichtlinien für Endpunkt, Firewall oder Identitätsmanagement. Darüber hinaus liefert eine Analyse des Netzwerkverkehrs und die daraus sich ergebende Abwehr einen zentralen Beitrag. Eine Network Detection and Response (NDR) leistet wertvolle Hilfe durch den Scan des Datenverkehrs.  Dadurch sehen IT-Administratoren, welche Systeme, Applikationen und Anwender miteinander kommunizieren. Das einmal definierte Modell eines normalen Netzverkehrs ist maßgeblich, um abweichende Muster zu erkennen, Vorgänge zu analysieren und gegebenenfalls eine Aktion am Endpunkt – Endpoint Detection and Response (EDR) – durchzuführen. EDR und NDR arbeiten Hand in Hand.

Wie zeigt sich diese Zusammenspiel zum Beispiel bei Phishing-Attacken?

Paul Smit: Dieses komplementäre Verhältnis von Endpunktschutz und Netzbeobachtung zeigt sich auch bei der Anfangsinfektion: Erfolgt diese, wie in der Mehrheit der Fälle, über eine Phishing-Mail, kann es sofort nach dem Download eines infizierten Anhangs durch den unvorsichtigen Mitarbeiter zur Installation einer Hardware kommen. Jetzt muss ein Endpunkt-Schutz schnell agieren und die Installation der Malware verhindern oder das angegriffene System sofort blockieren.

Manchmal erkennt EDR aber die Malware nicht, weil sie diese keiner bekannten Signatur zuordnen kann, oder weil kein aktueller Virenschutz vor Ort installiert ist. Manche Endpunkte kennt ein Administrator nicht und kann sie so auch nicht schützen. Bisweilen greift die Abwehr den Eindringling nicht, weil eine Attacke aus verschiedenen Komponenten wie einer PowerShell zunächst keine erkennbare Malware-Signatur hat. Oft machen Hacker nach der Installation erstmal gar nichts, außer da zu sein und später weiter mit anderen legitimen Tools oder einer gekaperten Identität mit eskalierten Rechten den späteren Angriff vorzubereiten. Viele dieser Vorgänge ziehen aber ihre Spuren: Etwa im sichtbaren Datenverkehr durch die eine Rückmeldung eines Systems auf Anfrage eines Command-and-Control-Servers oder durch das Senden von Daten. Das sieht eine NDR. Sie benötigt aber die Hilfe eines Endpunktschutzes, der das angegriffene System blockt, isoliert und die Malware entfernt.

Auch bei Analyse und Prävention von Folgeangriffen ergänzen sich EDR und NDR. EDR kann die Sicherheitskonfiguration des Endpunktes verwalten oder Systeme in Mikrosegmenten unterteilen – ohne dass eine Firewall diese Aufgabe mit viel Aufwand übernimmt. Eine NDR zeigt in der forensischen Analyse anhand des Spiegels des aufgezeichneten Datenverkehrs, wie der Angriff zustande kam und sich ausbreitete.

“Oft machen Hacker nach der Installation erstmal gar nichts, außer da zu sein und später weiter mit anderen legitimen Tools oder einer gekaperten Identität mit eskalierten Rechten den späteren Angriff vorzubereiten.”, warnt Paul Smit von ForeNova.
Wie ergänzen sich der Schutz im Netzverkehr und der Schutz am Endpunkt?

Paul Smit: EDR und NDR sind komplementäre Mechanismen. Eine NDR erkennt Gefahren oft früher, besser und kontinuierlicher als eine EDR.  Letzteres ist entscheidend, denn manchmal lassen sich Angreifer Tage oder Monate Zeit, um aktiv zu werden. Aber eine NDR agiert nicht selbst. Sie kann nur veranlassen, dass eine Firewall Verbindungen blockt, ein Identitätsmanagement Privilegien überwacht oder kassiert und dass ein Administrator oder eine EDR einen Endpunkt blockt oder die Malware entfernt. Sie schöpft auch aus den Informationen des Endpunkts – genauso wie der Endpunktschutz von den Informationen aus dem Netzwerk profitiert.

Wie können kleine und mittelständische Unternehmen bis zu 1500 Mitarbeiter mit der neuen Gefahr angesichts bestehender Risiken und eingeschränkter Ressourcen umgehen?

Thomas Krause: Gefahren werden vielfältiger, der Werkzeugkasten an Sicherheitslösungen auch. IT-Sicherheitsteams bleiben aber klein. Qualifizierte Fachkräfte zu suchen und mit den notwendigen zeitlichen Ressourcen für die IT-Sicherheit auszustatten, ist für die meisten Verantwortlichen unmöglich. Deshalb kommen Unternehmen an externem Rat und Tat nicht vorbei, um ihre komplexen Architekturen mit Cloud Remote und Virtualität zu schützen.

Grundlegend ist dafür die Hilfe der Künstlichen Intelligenz. Sie erkennt die Baseline des Netzwerkdatenverkehrs und des Verhaltens eines Endpunkts.  Sie sieht, wer wann mit wem jetzt plötzlich eine Kommunikation startet. Anomalien sind ein Alarmzeichen. Der menschliche Beobachter kann diese aus der Flut an Daten nicht schnell und nicht gut genug erkennen. KI hilft hier, Modelle eines legitimen Verhaltens zu definieren und auffälligen Verkehr zu melden.

Wichtig ist aber: Die Angreifer sind Menschen. Zumindest ab einem gewissen Zeitpunkt, wenn sie ein lohnendes Ziel entdeckt haben. Sie setzen vielleicht selbst KI ein, schalten aber zugleich ihre menschliche Intelligenz ein und gehen so oft auch nur intuitiv erschließbare Wege. Angreifer aus Fleisch und Blut erfordern eine Abwehr aus Fleisch und Blut, die Kompetenz hat: Unternehmen brauchen externe Sicherheitsexperten einer Managed Detection and Response, die Zeit und Expertise mit sich bringen.

Roger Homrich

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago