“Der Aufwand für einen Angriff lohnt sich in den meisten Fällen.”
IT-Sicherheit muss Gefahren im Netz und am Endpunkt erkennen und abwehren, sagen Thomas Kraus und Paul Smit von ForeNova im Interview.
Professionelle Hacker machen es den Unternehmen noch schwerer sich zu schützen. Wie ändern sich die Anforderungen an die IT-Sicherheit?
Thomas Krause: Hier muss man unterscheiden zwischen automatisierten opportunistischen Attacken und den komplexeren Advanced Persistent Threats (APTS). Automatische Versuche, Sicherheitslücken zu finden, scheitern oft schon an dem AV-Scan einer aktuellen Antiviruslösung. Eine von Menschen geführte APT ist aber anspruchsvoller und erfordert deshalb eine gestaffelte Abwehr. Dabei sind die Übergänge zwischen den Angriffsformen fließend: Aus einer Standard-Phishing-Mail kann eine persistente Präsenz der Cyberkriminellen in einem Unternehmen resultieren. Die Betreiber einer Ransomware-as-a-Servise (RaaS)-Attacke gehen gestaffelt vor, nutzen verschiedene Tools und nehmen sich Zeit, das wirkungsvollste Schadszenario für eine Erpressung vorzubereiten. Sie tarnen sich hinter bekannten Tools und sind sparsam sowie effizient in ihrer Kommunikation mit dem Command-and-Control-Server.
Von solchen intelligenten Angriffen sind aber wahrscheinlich eher Großunternehmen betroffen?
Thomas Krause: Diese Angriffe können jedes Unternehmen betreffen, auch einen mittelständischen Betrieb. Denn Geld für das Zahlen eines Lösegeldes sowie unverzichtbare Systeme und Informationen sind bei jedem Betrieb gegeben. So lohnt sich der Aufwand für einen Angriff in den meisten Fällen – gleich ob man eine Schule oder Universität, eine Behörde, ein Krankenhaus, ein Produktionsbetrieb oder ein Player in der digitalen Wirtschaft ist.
Niemand kann sich verteidigen gegen das, was er nicht sieht. Wer professionelle Angriffe früh erkennen will, muss sie früh kommen sehen, um sie im Keim zu ersticken. Eine IT-Abwehr muss zum Zeitpunkt der konkreten Exekution in der Lage sein, vor Ort auf dem betroffenen System unmittelbar zu agieren. Außerdem sollte er Angriffe nachhaltig verhindern. Denn deren Urheber haben ein gutes Gedächtnis und merken sich einmal vorhandene Schwachstellen.
An welchen Phasen müssen Verteidiger mit welchen Abwehransätzen agieren?
Thomas Krause: Es gibt unterschiedliche Phasen und Methoden eines Angriffes. Je nach Stadium der Attacke erkennt man die Aktivitäten der Cyberkriminellen an unterschiedlichen Spuren. Entsprechend ändern sich die Ansprüche an die IT-Sicherheit. Doch es gibt nicht nur verschiedene Phasen, sondern auch Schauplätze eines Angriffes: den Netzverkehr und die einzelnen Endpunkte. Und jeder diktiert seine eigenen Aufgaben.
Was bedeutet das für die Abwehr? Angriffe früher erkennen?
Paul Smit: In der Prävention kommt es zunächst darauf an, die Angriffsfläche zu minimieren und einen allgemeinen Sicherheitsstatus zu gewährleisten. Am Endpunkt geschieht dies durch Updates der Systeme und Sicherheitsrichtlinien für Endpunkt, Firewall oder Identitätsmanagement. Darüber hinaus liefert eine Analyse des Netzwerkverkehrs und die daraus sich ergebende Abwehr einen zentralen Beitrag. Eine Network Detection and Response (NDR) leistet wertvolle Hilfe durch den Scan des Datenverkehrs. Dadurch sehen IT-Administratoren, welche Systeme, Applikationen und Anwender miteinander kommunizieren. Das einmal definierte Modell eines normalen Netzverkehrs ist maßgeblich, um abweichende Muster zu erkennen, Vorgänge zu analysieren und gegebenenfalls eine Aktion am Endpunkt – Endpoint Detection and Response (EDR) – durchzuführen. EDR und NDR arbeiten Hand in Hand.
Wie zeigt sich diese Zusammenspiel zum Beispiel bei Phishing-Attacken?
Paul Smit: Dieses komplementäre Verhältnis von Endpunktschutz und Netzbeobachtung zeigt sich auch bei der Anfangsinfektion: Erfolgt diese, wie in der Mehrheit der Fälle, über eine Phishing-Mail, kann es sofort nach dem Download eines infizierten Anhangs durch den unvorsichtigen Mitarbeiter zur Installation einer Hardware kommen. Jetzt muss ein Endpunkt-Schutz schnell agieren und die Installation der Malware verhindern oder das angegriffene System sofort blockieren.
Manchmal erkennt EDR aber die Malware nicht, weil sie diese keiner bekannten Signatur zuordnen kann, oder weil kein aktueller Virenschutz vor Ort installiert ist. Manche Endpunkte kennt ein Administrator nicht und kann sie so auch nicht schützen. Bisweilen greift die Abwehr den Eindringling nicht, weil eine Attacke aus verschiedenen Komponenten wie einer PowerShell zunächst keine erkennbare Malware-Signatur hat. Oft machen Hacker nach der Installation erstmal gar nichts, außer da zu sein und später weiter mit anderen legitimen Tools oder einer gekaperten Identität mit eskalierten Rechten den späteren Angriff vorzubereiten. Viele dieser Vorgänge ziehen aber ihre Spuren: Etwa im sichtbaren Datenverkehr durch die eine Rückmeldung eines Systems auf Anfrage eines Command-and-Control-Servers oder durch das Senden von Daten. Das sieht eine NDR. Sie benötigt aber die Hilfe eines Endpunktschutzes, der das angegriffene System blockt, isoliert und die Malware entfernt.
Auch bei Analyse und Prävention von Folgeangriffen ergänzen sich EDR und NDR. EDR kann die Sicherheitskonfiguration des Endpunktes verwalten oder Systeme in Mikrosegmenten unterteilen – ohne dass eine Firewall diese Aufgabe mit viel Aufwand übernimmt. Eine NDR zeigt in der forensischen Analyse anhand des Spiegels des aufgezeichneten Datenverkehrs, wie der Angriff zustande kam und sich ausbreitete.
Wie ergänzen sich der Schutz im Netzverkehr und der Schutz am Endpunkt?
Paul Smit: EDR und NDR sind komplementäre Mechanismen. Eine NDR erkennt Gefahren oft früher, besser und kontinuierlicher als eine EDR. Letzteres ist entscheidend, denn manchmal lassen sich Angreifer Tage oder Monate Zeit, um aktiv zu werden. Aber eine NDR agiert nicht selbst. Sie kann nur veranlassen, dass eine Firewall Verbindungen blockt, ein Identitätsmanagement Privilegien überwacht oder kassiert und dass ein Administrator oder eine EDR einen Endpunkt blockt oder die Malware entfernt. Sie schöpft auch aus den Informationen des Endpunkts – genauso wie der Endpunktschutz von den Informationen aus dem Netzwerk profitiert.
Wie können kleine und mittelständische Unternehmen bis zu 1500 Mitarbeiter mit der neuen Gefahr angesichts bestehender Risiken und eingeschränkter Ressourcen umgehen?
Thomas Krause: Gefahren werden vielfältiger, der Werkzeugkasten an Sicherheitslösungen auch. IT-Sicherheitsteams bleiben aber klein. Qualifizierte Fachkräfte zu suchen und mit den notwendigen zeitlichen Ressourcen für die IT-Sicherheit auszustatten, ist für die meisten Verantwortlichen unmöglich. Deshalb kommen Unternehmen an externem Rat und Tat nicht vorbei, um ihre komplexen Architekturen mit Cloud Remote und Virtualität zu schützen.
Grundlegend ist dafür die Hilfe der Künstlichen Intelligenz. Sie erkennt die Baseline des Netzwerkdatenverkehrs und des Verhaltens eines Endpunkts. Sie sieht, wer wann mit wem jetzt plötzlich eine Kommunikation startet. Anomalien sind ein Alarmzeichen. Der menschliche Beobachter kann diese aus der Flut an Daten nicht schnell und nicht gut genug erkennen. KI hilft hier, Modelle eines legitimen Verhaltens zu definieren und auffälligen Verkehr zu melden.
Wichtig ist aber: Die Angreifer sind Menschen. Zumindest ab einem gewissen Zeitpunkt, wenn sie ein lohnendes Ziel entdeckt haben. Sie setzen vielleicht selbst KI ein, schalten aber zugleich ihre menschliche Intelligenz ein und gehen so oft auch nur intuitiv erschließbare Wege. Angreifer aus Fleisch und Blut erfordern eine Abwehr aus Fleisch und Blut, die Kompetenz hat: Unternehmen brauchen externe Sicherheitsexperten einer Managed Detection and Response, die Zeit und Expertise mit sich bringen.