Cyberattacken: Die ersten Minuten entscheiden
Bei der Abwehr von Cyberangriffen ist die Zeit Feind und Verbündeter zugleich. Ein Gastbeitrag von Moritz Mann von Open Systems.
In die Berichterstattung überregionaler Medien schaffen es nur die spektakulären Fälle. Doch laut Bitkom sind inzwischen neun von zehn Unternehmen von Cyberangriffen betroffen. Für die Abwehr dieser Attacken spielt Zeit eine wesentliche Rolle.
Das Zeitparadox in der Cybersicherheit
Wenn die ersten Mitarbeitenden auf das Fehlverhalten eines Computers oder anderen Systems aufmerksam werden, vergehen oft nur noch wenige Minuten, bis die schädlichen Komponenten über das Netzwerk um sich greifen. Haben die Angreifer erst einmal ihre eigentliche Attacke gestartet, existiert nur noch ein enges Zeitfenster, um die potenziellen Schäden wenigstens zu begrenzen. Je nach Angriffsform und gewählten Weg vergehen oft nur wenige Sekunden, etwa im Fall von DDoS-Angriffen, die über Hyperscaler vorgetragen werden. Doch je mehr Zeit vergeht, umso größer ist der Schaden.
Das Paradoxon in der Cybersecurity besteht darin, dass eigentlich ausreichend Zeit gewesen wäre, um den Angriff frühzeitig zu entdecken und abzuwehren. Unternehmen benötigen schlicht zu lange, bis sie illegale Aktivitäten in ihren Netzwerken erkennen, um darauf zu reagieren. Wie IBM in der Studie „Cost of a Data Breach“ ermittelt hat, waren das im Durchschnitt 151 Tage. Das ist somit auch die Zeit, die Angreifer haben, um einen Angriff vorzubereiten.
Die Zeit nutzen: Orientierungsphase behindern
Bei vielen Angriffsvektoren agieren die Kriminellen zunächst sehr umsichtig und versuchen das Netzwerk durch Hintertüren und Nebeneingängen zu betreten. Sie beobachten zunächst, orientieren sich, um dann die Entscheidung zu fällen, wie sie weiter vorgehen. Ziel der Security muss es sein, bereits diese erste Orientierungsphase zu erschweren. Und das gelingt am besten mit der Integration von mehreren Security-Layern.
Unter (erfahrenen) Beschäftigten sind lokale Firewalls, automatisierte Scans nach Schadsoftware oder Restriktionen bei der Installation von Software unpopulär. Dabei erschweren sie es einem Angreifer bereits wirkungsvoll, über diesen Weg weiter ins Netzwerk vorzudringen. Die Einhaltung einer „Cyber-Hygiene“ ist immer noch eines der wirkungsvollsten Mittel, um Angriffe abzuwenden: Also Geräte auf dem neuesten Stand halten, mit geringen Rechten betreiben, „Antivirenprogramme“ einsetzen und auf die Abschirmung einer Firewall setzen.
Teile dieser Hygiene umfassen auch die Arbeit von Admin- und Supportabteilungen. Dazu zählt die strikte Trennung von Schlüsseln und Konten. Domänen-Administratoren sollten keinen lokalen Administratorzugriff auf Desktops haben; der Support für Desktops muss Schlüssel und Konten ohne Zugriff auf die Cloud-Infrastruktur benutzen. Bei der Einrichtung von AD Connect und Office 365 die gleichen Konten zu verwenden, ist genau etwas, wonach Angreifer suchen.
Anomalien früher entdecken
So wie ein leichtes, kaum messbares, Zittern des Erdbodens der Vorbote für ein Erdbeben der Stärke 5 sein kann, können kleinere Abweichungen im Datenverkehr bereits auf die Aktivität von Kriminellen hinweisen. Die erwähnten Hygienemaßnahmen und Strategien wie Zero-Trust beim Datenverkehr bilden die Basis, um es Angreifern zu erschweren, Zutritt und Zugriff zu erhalten. Sie können aber keinen absoluten Schutz garantieren.
Deswegen bleibt Wachsamkeit und somit das Monitoring der laufenden Systeme eine vordringliche Aufgabe, um die Zeit für Angreifer zu verkürzen. Das Monitoring erweist sich vor dem Hintergrund der zeitgemäßen IT-Strukturen allerdings immer stärker als Herausforderung. Die Zahl der zu überwachenden Geräte, die Kombination von mehreren Cloud-Strukturen, die Zergliederung in Mikroservices machen eine manuelle Kontrolle unmöglich. Moderne IT-Architektur führt aber auch rein regelbasierte und auf Schwellenwerte basierende Schutzmaßnahmen und Filter an ihre Grenzen. Systemüberwachung und Security benötigt heute auch den Einsatz von KI-Komponenten wie das maschinelle Lernen, um bereits erste Anomalien zu erkennen, um so rechtzeitig Gegenmaßnahmen zu ergreifen, wenigstens jedoch den Dingen auf den Grund zu gehen.
Vorteile für Unternehmen mit Fehler- und Security-Kultur
Und wenn es trotz aller Bemühungen Angreifern nun dennoch gelungen ist, in das Unternehmensnetzwerk vorzudringen? Wenn der berühmte „Klick zu viel“ auf den Anhang einer Mail erfolgt ist? Vorteile haben in diesem Moment Unternehmen, denen es gelungen ist, eine funktionierende Fehler- und Security-Kultur zu etablieren.
Ob in Supermärkten oder Banken: Keiner der Mitarbeitenden würde im Falle eines Überfalls zögern, einen Alarmknopf zu drücken. Bei IT-Problemen sieht das viel zu oft leider anders aus. Aus Schamgefühl oder aus Angst davor, zur Verantwortung gezogen zu werden, scheuen sich die Beschäftigten im Ernstfall dann zu lange, eine Beobachtung zu melden oder Hilfe zu holen. Dabei geht es in diesem Moment nicht darum, wer „Schuld“ hat, sondern wertvolle Zeit zu nutzen. Und hier kann jedes Unternehmen im Vorfeld bereits etwas tun.
Das beginnt einerseits mit Trainings und Hinweisen für die Beschäftigten, wie sie sich verhalten sollen. Und endet mit Supportabteilungen, die den hilfesuchenden Mitarbeitenden das Gefühl vermitteln, in jedem Fall ernstgenommen zu werden. Scham und Angst sind selten gute Ratgeber, im Falle der Cybersecurity nie.
Moritz Mann
ist Chief Strategy Officer bei Open Systems. Er studierte an der Dualen Hochschule Baden-Württemberg (DHBW) sowie London und hat einen Abschluss in Wirtschaftsinformatik und Business Administration.