Cyber-Defense-Center
Analystenelite gegen Wirtschaftsspione
Fortsetzung des Artikels von Teil 1
Neue Spionage-Abwehr gefordert
Die Bedrohungssituation hat sich zugespitzt. „Professionelle Wirtschaftsspione“, berichtet Eßer, „verfügen über ein nahezu unbegrenztes Zeitbudget, um ihr Ziel zu erreichen.“ Sie variieren ihre Methoden und bedienen sich der ganzen Bandbreite an Möglichkeiten, um gewünschte Informationen zu erbeuten: Drive-by-Angriffe über Webserver, die bestimmte Branchen oder Unternehmen häufig benutzen, Social-Engineering, mit Schadsoftware präparierte USB-Sticks, die scheinbar versehentlich auf einem Firmenparkplatz abgelegt werden, und schließlich eingeschleuste Mitarbeiter, die Arbeitsplätze mit Malware infizieren.
Die Wahrscheinlichkeit, dass ein mit entsprechenden Mitteln und Zeit ausgestatteter Angreifer früher oder später ins Unternehmensnetzwerk eindringen kann, ist hoch. Bei einer Drive-by-Attacke etwa werden häufig Zero-Day-Schwachstellen aus-genutzt, bislang unbekannte Sicherheits-lücken in Programmen und Systemen, die bei entsprechender Relevanz für hohe Summen auf dem Schwarzmarkt gehandelt werden. Selbst ein brandaktueller Virusschutz richtet nichts gegen eine unbekannte Schwachstelle aus. Das macht klassische Sicherheitsmaßnahmen nicht überflüssig, zeigt aber einen Bedarf an einer neuartigen Spionageabwehr auf. „Wenn ein Hacker einen Arbeitsplatzrechner übernommen hat“, sagt Bernd Eßer, „muss er sich erst einmal im Netz orientieren und mühsam vorarbeiten. Bis er etwa ein Netz von der Größe eines DAX-Unternehmens kartografiert und die wertvollen Informationen lokalisiert hat, können Wochen und Monate vergehen.“ Echter Schaden entsteht erst dann, wenn der Spion die Daten gefunden und ins Internet übertragen hat. Aufgabe der Cyber-Spionageabwehr ist es also, einen Eindringling so schnell wie möglich ausfindig zu machen und die Sicherheit wiederherzustellen, bevor er erfolgreich war.
Eindringlinge aufspüren
Um Angreifer aufzuspüren und unschädlich zu machen, bevor sie Schaden anrichten können, beschäftigt die Telekom im Cyber Defense Center eine neue Analysten-elite, die dem CERT zugeordnet ist. Die IT-Forensiker führen komplexe Daten aus fünf verschiedenen Quellen zusammen und werten sie aus, um Unregelmäßigkeiten zu entdecken, die regulären Sicherheitslösungen entgehen. Als Quellen dienen die Firewall des Konzerns, die Intrusion-Prevention-Systeme, die Proxy-Server, die Exchange-Server, die Antivirus-Lösung der Telekom und die Active-Directory-Server. Die Sicherheitsspezialisten des CDC wissen aus Erfahrung, wie Cyberkriminelle bei ihren Angriffen vorgehen und aus welchen Phasen ein Angriff besteht. Darum können sie die Vorgehensweise der Täter in Use-Cases zerlegen und die Log-Quellen gezielt nach Indikatoren für diese Angriffe durchsuchen. Unterstützung bietet ein SIEM-System („security information and event management“), das die verschiedenen Log-Daten auswertet und eine Benachrichtigung ausgibt, wenn es eine von den Ana-lysten definierte Korrelation feststellt.
„Einer unserer Use-Cases“, erklärt Eßer, „modelliert zum Beispiel den Ablauf einer Drive-by-Infektion mit einem Trojaner.“ Nachdem ein Rechner über eine Schwachstelle des Browsers, ein Add-on oder eine Skriptsprache wie Java Initial mit einem Trojaner infiziert wurde, lädt dieser häufig eine Software mit Fernwartungsfunktion auf das System. Ein solches Remote-Adminis-tration-Tool (RAT) erlaubt es Kriminellen, den Rechner über das Internet fernzusteuern. Ohne das Wissen des Nutzers wird sein PC etwa Teil eines Botnets, eines illegal betriebenen Rechnerverbunds, das Kriminelle für verschiedene Zwecke verwenden. Die Einsatzmöglichkeiten reichen vom Spam-Versand bis zum groß angelegten Denial-of-Service-Angriff (DoS-Angriff), der eine Vielzahl von gekaperten Rechnern gleichzeitig nutzt. Die Schadsoftware erlaubt einem Kriminellen aber auch, Systemdaten auszulesen und die Tastatureingaben des Nutzers aufzuzeichnen, um an Passwörter und Zugangsdaten zu gelangen.
- Analystenelite gegen Wirtschaftsspione
- Neue Spionage-Abwehr gefordert
- Korrelierte Log-Daten
Lesen Sie mehr zum Thema
