Fünf Richtlinien für Unternehmen
Auf Angriffe richtig reagieren
Die Gefahren, wenn sich Angreifer unbemerkt ins Netzwerk hacken, reichen weit: von Datenklau durch immer ausgefeilteres Phishing bis zu Ransomware, einer zunehmend erfolgreichen Angriffsmethode, bei der Hacker von betroffenen Organisationen Lösegeld in Form von Bitcoins für einen Entschlüsselungscode fordern, um verschlüsselte Daten wiederzuerlangen. Die Trojaner Petya und Locky sind Beispiele dieser Art der Erpressung, die rasant zunimmt.
Besonders der Anstieg sogenannter APTs (Advanced Persistent Threats, gezielte Angriffe professionell organisierter und finanzierter Gruppen) bereitet vielen IT-Leitern Sorge. Der "Regional Advanced Threat Report for Europe, Middle East and Africa" [1] von Fireeye belegt das Ausmaß mit Zahlen: Im zweiten Halbjahr 2015 stiegen beispielsweise die APT-Angriffe auf Finanzdienstleister in der EMEA-Region im Vergleich zum ersten Halbjahr fast auf das Dreifache. Speziell in Deutschland ist die Fertigungsindustrie ein beliebtes Ziel der Angreifer - über fünfzig Prozent aller gezielten Angriffe richten sich in Deutschland gegen produzierende Unternehmen. Das Verheerende: Viele Organisationen bemerken Angriffe dieser Spezialisten erst nach mehreren Monaten, und meist wurden schon längst Informationen aus dem Netzwerk entwendet. Die Angriffe sind dabei genau auf die Opfer zugeschnitten, die Taktiken der Angreifer immer besser an die Abwehrmaßnahmen der Unternehmen angepasst.
Wurde ein Angriff auf IT-Systeme entdeckt, müssen Unternehmen schnell und akkurat reagieren. Damit dies gelingt, ist ein Incident-Response-Plan erforderlich, der für jede Organisation individuell auszuarbeiten ist. Die folgenden fünf Richtlinien, wie im Fall eines Angriffs zu handeln und was zu beachten ist, besitzen jedoch für alle Organisationen Gültigkeit.
1. Keine Schreckschüsse
Hinter einem Angriff steht nicht nur Technik, sondern ein Mensch - und Menschen reagieren emotional. Maschinen mögen berechenbar sein, die nächsten Schritte des Angreifers jedoch nicht. Ein Beispiel: Das sofortige Schließen einer Sicherheitslücke, durch die ein Angreifer sich Zugang verschafft hat, ist nicht zwingend der richtige Weg. Bemerkt der Hacker, dass er entdeckt wurde, wird er andere Wege nutzen, um an sein Ziel zu gelangen. Oft ist es sinnvoller, zunächst alle Stellen zu identifizieren, an denen der Eindringling sich bereits eingenistet hat, um dann sämtliche Verbindungen zu kappen. Dabei sollte jede direkte Interaktion mit den Kriminellen auf ein Minimum beschränkt und juristisch begleitet werden.
2. Keine Zeit für Experimente
Wurde ein Angriff entdeckt, ist die Zeit zu handeln knapp. Das Vorgehen muss daher klar geregelt und fokussiert sein. Im ersten Schritt gilt es, den Angriff so schnell wie möglich zu bewerten: Wie groß ist das Ausmaß? Wieviele und welche Daten sind betroffen? Je schneller das Security-Team oder die IT-Abteilung arbeitet, umso geringer ist die Gefahr eines kompletten Kontrollverlusts. Denn ist ein Hacker einmal in das System eingedrungen, so wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Indem er die gesamte Infrastruktur mappt, versucht er die wichtigsten Assets zu definieren und einen Stützpunkt auf allen Ziel-Servern zu etablieren. Malware sucht dafür nach gemappten Laufwerken auf infizierten Laptops oder Desktops, um sich im Netzwerk weiter auszubreiten.
Aus Zeitmangel können betroffene Organisationen oft nicht alles retten. Deshalb ist in zweiter Instanz festzulegen, wo die Prioritäten liegen: Das kann eine möglichst schnelle Rückkehr zum Alltagsgeschäft sein, das Identifizieren des Angreifers oder ein Protokoll über das genau Ausmaß des Datenverlusts. Jede Aktion muss dabei helfen, das selbstdefinierte Ziel zu erfüllen. Dazu muss man auch Workarounds in Kauf nehmen.
3. Kommunikation zählt
Interne und externe Kommunikation sind genauso wichtig wie technische Maßnahmen. Viele Unternehmen fokussieren sich zunächst auf technische und juristische Beratung und lassen dabei außer Acht, dass das Aufarbeiten eines Angriffs auf die IT viel mit richtiger Kommunikation zu tun hat. Intern sind Mitarbeiter der verschiedenen Fachabteilungen auf relevante Informationen zum Status quo und dem weiteren Vorgehen angewiesen. Nach außen ist Kommunikation Teil der Schadensminderung: Partner und Kunden muss man so schnell wie möglich über den Angriff und das Ausmaß informieren - im Fall einer vorhergehenden Sicherheitslücke allerdings erst, sobald diese behoben wurde, um nicht noch weiteren Angreifern eine Chance zu bieten. Organisationen fürchten neben dem Verlust kritischer Daten vor allem den Vertrauensverlust ihrer Kunden und ihres guten Rufs. Doch es gilt: Je transparenter ein Unternehmen kommuniziert, desto höher ist die Toleranz der betroffenen Kunden.
4. Vorsorge ist besser als Nachsorge
In der Regel verfügen Unternehmen über ausgereifte Backup-Richtlinien, um im Fall eines Systemfehlers Schäden vermeiden zu können. Oft sind diese Backups jedoch Teil der gleichen Umgebung, die ein Hacker angreift. Der Zugriff zu den Backup-Umgebungen muss deshalb so klein wie möglich gehalten sein, um das Risiko zu minimieren, dass Hacker auch über die Backups angreifen. Die Wahrscheinlichkeit ist groß, dass nach dem ersten Angriff weitere Kriminelle versuchen werden, in das Netzwerk einzudringen. Deshalb gilt es, die Sicherheitsvorkehrungen sofort zu erhöhen. Dazu gehört auch ein detaillierter Untersuchungsbericht, der allen Ebenen im Unternehmen Aufklärung bietet: dem Management genauso wie den technischen Mitarbeitern, Versicherern und dem Anwalt. Lösungen, die eine IT-Organisation nach Entdeckung des Angriffs kurzfristig implementiert hat, um die Sicherheit zu erhöhen, muss sie im Nachgang ausbauen und operationalisieren. Penetrationstest helfen dabei, die eigenen Kontrollmechanismen zu bewerten sowie Schwachstellen zu identifizieren und zu beheben.
5. Ransomware: zahlen ist nicht zwingend richtig
Bei einem Befall mit Ransomware gilt es zunächst, Ruhe zu bewahren. Denn bevor es zu Lösegeldzahlungen kommt, muss die IT-Organisation ihre Umgebung zunächst kritisch prüfen und das Eindringen der Malware bestätigen: Oft legen Angreifer zum Beweis angeblich gestohlene Daten vor, deren Echtheit und Herkunft ebenfalls analysiert sein will. In vielen Fällen ist es die richtige Entscheidung, das Lösegeld zu zahlen - eine Garantie, dass es bei einer Zahlung bleibt, ist jedoch zu keinem Zeitpunkt gegeben. Auch eine Rückgabe gestohlener Daten oder eine Entschlüsselung ist mit keiner Summe sichergestellt.
Angriffe auf die IT-Infrastruktur sind eine Bedrohung, auf die sich jedes Unternehmen einstellen muss. Um Cyberkriminalität erfolgreich zu bekämpfen, ist es wichtig zu verstehen: Fast jeder Angriff hat ein klar definiertes Ziel. Erst wenn klar ist, was das Ziel ist und an welchen Daten die Hacker interessiert sind, lässt sich der Kreis potenzieller Angreifer eingrenzen.
Ziel der Angreifer ist entscheidend
Um das Ziel und möglicherweise auch die Täter zu identifizieren, sind Informationen nötig. Externe Security-Spezialisten für die Bedrohungsanalyse beobachten Hackergruppierungen weltweit und haben damit das Wissen, um Angriffe in den richtigen Kontext einzuordnen. Die Erstellung eines Täterprofils hilft dabei, potenzielle Angreifer über für sie typische Methoden zu identifizieren.
Das Resultat dieser Analysen sind Berichte über die Bedrohungen der IT-Infrastruktur ("Cyber Threat Reports") - Know-how, das in die Abwehrmaßnahmen einfließt und die frühe Erkennung oder gar Verhinderung gezielter Angriffe ermöglicht. Derlei Berichte enthalten Profile der wichtigsten Angreifergruppen einschließlich ihrer Werkzeuge, Methoden und Ziele mit entsprechenden Erkennungszeichen einer Kompromittierung (Indicators of Compromise), die über herkömmliche Informationskanäle zu Gefahren (Threat Feeds) hinausgehen.
Experten ermitteln dann die Verbindung zwischen den technischen Indikatoren (wie IP-Adressen und Domains im Zusammenhang mit den Angriffen oder mit den Hashes als "Fingerabdruck" von Schaddateien) und den Gegnern beziehungsweise der Information, die sie erlangen wollen. Die Spezialisten müssen Sprachen und deren Slang sowie den kulturellen Hintergrund kennen, aber auch die Motive und Beziehungsgeflechte auf der gegnerischen Seite durchschauen. Dies erfordert Recherche und intensiven Austausch, um die Analysen zusammenzuführen. Hunderte von Analysten verfolgen eine Vielzahl bekannter Angreifergruppen.
Technik ist für die Bekämpfung von Angriffen und die Schadensminderung eine wichtige Basis, reicht allein jedoch nicht aus. Menschliche Intelligenz hilft dabei, vergangene, gegenwärtige und zukünftige Taktiken, Techniken und Verfahren einer Vielzahl von Gegnern zu verstehen. Dies versetzt Unternehmen in die Lage, nicht nur zu reagieren, sondern schon im Vorfeld Sicherheitsmaßnahmen zu ergreifen.
Lesen Sie mehr zum Thema
