Ethical Hacking
Cyber-Kriminalität offensiv begegnen
Fortsetzung des Artikels von Teil 2
Gegenmaßnahmen
funkschau: Wie sieht denn die typische Vorgehensweise eines Hackers aus?
Bruns: Hacking kennzeichnet sich vor allen Dingen durch Geduld und Ausdauer aus. Denn zunächst gilt es, Informationen zu beschaffen. Diese Phase kann sich „in der freien Wildbahn“ durchaus über mehrere Monate hinziehen. Es werden so viele Informationen wie möglich über die eingesetzte Technik und die Infrastrukturgrenzen gesammelt, um Einstiegsmöglichkeiten zu identifizieren Dabei ist es durchaus üblich, dass ein Hacker beim IT-Dienstleister des avisierten Opfers nachforscht. Eine weitere probate Technik ist das Social Engineering. Dabei wird unter anderem analysiert, wie E-Mail-Adressen aufgebaut sind und wie in einer Organisation kommuniziert wird, um behutsam Kontakt zu Mitarbeitern aufnehmen zu können. Irgendwann ist das Vertrauen hoch genug, dass ein Mitarbeiter einen Link öffnet oder der Nutzer eine vermeintlich sichere Datei öffnet. Gelingt der Angriff, werden weitere Informationen wie Zugangsdaten abgegriffen. Meist sorgt der Hacker vor dem Gehen dafür, dass ein Einfallstor (Backdoor) offenbleibt. Dadurch sichert er sich die Möglichkeit zur Rückkehr ins Netzwerk, um weitere Attacken zu fahren oder die Backdoor gewinnbringend zu veräußern.
funkschau: Lassen sich aufgrund der Erfahrungen, die BTC in einschlägigen Sicherheitsprojekten machte, mit Blick auf Hacking geeignete Gegenmaßnahmen respektive „lessons learned“ formulieren?
Bruns: Die erste und wichtigste Lektion lautet: Ein robustes IT-Sicherheitsmanagement fängt stets mit sensibilisierten und gut geschulten Mitarbeitern an. Die zweite: Folge bei den Maximen Minimalprinzip und restriktive Infrastruktur. Das heißt, dass Zugriffsberechtigungen und Datenaustausch zwischen Programmen und/oder Personen nur im effektiv benötigten Maße einzurichten sind. Auch sollten automatisierte Antworten eines Systems nach Möglichkeit deaktiviert werden, um Angreifern keine Informationsbasis bereitzustellen. Ansonsten stärken bekannte Maßnahmen wie der Einsatz starker Passwörter, sichere Kommunikationsgrenzen einschließlich Verschlüsselung, Patchmanagement etc. das Schutzniveau. Sie müssen aber auch konsequent angewendet werden. Unabhängig davon ist ein permanentes Monitoring der kritischen Umgebungen empfehlenswert. Hierzu werden häufig SIEM-Lösungen (Security Information and Event Management) eingesetzt. Diese sammeln die Log-Daten aus verschiedenen Quellen – beispielsweise aus Netzwerken, Servern und Datenbanken – und bringen sie anhand vordefinierter Regelwerke in Beziehung, um potenzielle Angriffe zu erkennen.
funkschau: Was passiert bei der, salopp formuliert, Mut zur Lücke, also den von Ihnen angesprochenen bewusst in Kauf genommenen Defiziten einer Sicherheitsarchitektur, etwa aufgrund nicht aufgespielter Programm-Updates?
Bruns: In diesen Fällen müssen Unternehmen eine Risiko-Abwägung vornehmen und – wie bereits erwähnt – korrespondierende Sicherheitsmaßnahmen getroffen werden. Eine Maßnahme könnte lauten, Administrationsrechte nur noch mit temporärer Gültigkeit von wenigen Stunden zu vergeben. Eine andere kann die Einführung der eben beschriebenen Monitoring- und Analyse-Tools sein, die bei verdächtigen Aktivitäten Alarm schlagen. Wird beispielsweise registriert, dass sich ein Nutzer von ungewohnten Orten anmeldet, könnte der Hinweis auf einen möglichen Identitätsdiebstahl erfolgen. Unübliche umfangreiche Übertragungen durch Nutzer lassen auf eine unberechtigte Kopie sensibler Unternehmensdaten schließen, die zu prüfen ist. Innovative Ansätze wie die BTC Unusual State Detection sind sogar in der Lage, selbst unbekannte Attacken in den Datenmengen auf Grundlage von Künstlicher Intelligenz zu erkennen. Auf Basis aufgezeichneter Datenströme wird dabei der Normalzustand der zu überwachenden Prozesse und Systeme mit Hilfe von Machine Learning-Algorithmen trainiert. Das Verfahren ermöglicht dann die automatisierte Analyse aller im regulären Betrieb anfallenden Datenpunkte in Echtzeit. Bei Abweichungen des im Regelbetrieb anfallenden Datenstroms vom erlernten Normalverhalten erfolgt eine Alarmierung. Die visuelle Darstellung des Datenstroms erlaubt, die Ursache hinter der Anomalie intuitiv zu analysieren und bei begründetem Hacking-Verdacht geeignete Gegenmaßnahmen einzuleiten. In anderen Worten: Wenn es schon keinen 100prozentigen Schutz gegen Cyber-Attacken geben kann, lässt sich zumindest ein lernfähiges Frühwarnsystem zur Gefahrenabwehr einrichten.
Lesen Sie mehr zum Thema
