Immer wieder lesen wir von Hackerangriffen, bei denen es Angreifern monatelang unbemerkt gelang, ein Unternehmen, eine Behörde, ein Ministerium auszuspähen, ohne dass die Systeme beeinträchtigt waren.
Stellen Sie sich folgendes Szenario vor:
Ein Unternehmen ist infiltriert, weiss aber nichts davon. Es fließen sensible Daten in die Hände von Cyberkriminellen; seien es geistiges Eigentum (Industriespionage) oder persönliche Daten, die für kriminelle Aktivitäten wie Kreditkartenbetrug durch Identitätsdiebstahl verwendet werden.
Fällt die Infiltration auf und wird publik, ist es für das betroffene Unternehmen schon zu spät: Zu den Kosten für die Rettung der Systeme und Beseitigung der Mängel gesellen sich DSGVO-Strafen sowie in Imageschaden gegenüber Kunden, Lieferanten und anderen Geschäftspartnern.
A. Warum finden Hackerangriffe verdeckt statt?
- Ziele der Angreifer sind z.B. das gezielte Ausspähen für einen späteren Angriff,
- das Sammeln von wertvollen Informationen (z.B. zum späteren Verkauf)
- oder (Industrie-)Spionage.
Wir haben es hier also nicht mit einer schnellen und offensichtlichen Erpressung durch Datenverschlüsselung oder einer Kompromittierung der Systeme zu tun, die sofortigen Arbeitsausfall und Datenverlust bedeuten. Zumindest vorerst noch nicht.
B. Wie erkennt man den Hackerangriff, wenn er bereits im System ist, aber Unglaublich?
Gehen wir einen Schritt zurück. Haben die Kontrollen vorher versagt?
Experten sind sich weitgehend einig, dass trotz Schutzmaßnahmen wie Firewalls, Anti-Virenschutz, Applikations- oder Schnittstellenkontrolle ein 100%-iger Schutz nicht möglich ist. Schadsoftware und Angriffsmethoden entwickeln sich einfach rasant weiter und Menschen tappen in (immer ausgeklügeltere) Fallen.
C. Hackerangriff: Living-off-the-Land-Attacken
Darüber hinaus erfolgen nicht alle Attacken durch explizite Malware. Sogenannte Living-off-theLand (LotL)-Methoden machen sich im Großen und Ganzen das zunutze, was in der Umgebung bereits vorhanden ist. Es besteht keine Notwendigkeit, bösartige Dateien von Grund auf neu zu entwickeln. Vielmehr nutzen sie Eintrittspunkte aus, die bereits in IT-Systemen vorhanden sind.
Mit dieser Taktik kann man mehrere Dinge erreichen: Zunächst einmal umgehen sie häufig traditionelle Schutzsysteme - Virenscanner lösen bei scheinbar sicherer Software keinen Alarm aus. Damit ermöglichen sie das unauffällige und damit oft unbemerkte Eindringen von Cyberkriminellen in IT-Systeme. Selbst wenn eine Infiltration erkannt wird, ist es unter diesen Umständen viel schwieriger zu erkennen, woher der Angriff kommt. Viele klassische Cybersicherheitslösungen sind nicht in der Lage, gefährliches Verhalten zu erkennen, wenn es mit als legitim eingestuften Werkzeugen durchgeführt wird.
D. Wie kann man aber etwas aufspüren, von dem man noch nicht einmal weiß, ob es im eigenen System ist?
Die Analyse von Verhalten und die Suche nach Auffälligkeiten sind hierfür besonders relevant. Endpunkte (Endgeräte wie PCs, Laptops, mobile Geräte) müssen kontinuierlich überwacht werden.
Ereignisse (Events) auf den Endgeräten und im System sollten analysiert werden, um Spuren von Hackern zu identifizieren, Fehlverhalten der Mitarbeiter zu bestimmen und Sicherheitslücken ausfindig machen.
Mit Hilfe definierbarer Regeln sollten Sicherheitsverantwortliche einstellen können, auf welche Events mit welchem Verhalten reagiert werden kann, z.B. durch defensives Verhalten wie das Abschalten von Prozessen. Das entlastet IT-Abteilungen, die oft an vielen Fronten im Einsatz sind.
Für die Analyse von und Reaktion auf diese Events stehen den Verantwortlichen Endpoint Detection & Reponse Lösungen (oder kurz EDR) zur Verfügung.
E. Was sind die Merkmale einer EDR Lösung?
- Erkennung und Eindämmung von Sicherheitsvorfällen und nicht nur von dateibasierter Malware.
- Untersuchung von Sicherheitsvorfällen und Bedrohungssuche.
- Bereitstellung von Reaktionsmöglichkeiten zur Wiederherstellung nach einem Sicherheitsvorfall.
- Vorhersage potenzieller Sicherheitsverletzungen, z.B. die aktuelle Sicherheitslage eines Endpunkts wird angezeigt und Ratschläge zur Vermeidung von Bedrohungen gegeben.
Details über die Funktion solcher Lösungen erfahren Sie im nächsten Blogpost "EDR - der Sherlock Holmes der Cybersicherheit".
DriveLock
