Immer wieder lesen wir von Hackerangriffen, bei denen es Angreifern monatelang unbemerkt gelang, ein Unternehmen, eine Behörde, ein Ministerium auszuspähen, ohne dass die Systeme beeinträchtigt waren.
Stellen Sie sich folgendes Szenario vor:
Ein Unternehmen ist infiltriert, weiss aber nichts davon. Es fließen sensible Daten in die Hände von Cyberkriminellen; seien es geistiges Eigentum (Industriespionage) oder persönliche Daten, die für kriminelle Aktivitäten wie Kreditkartenbetrug durch Identitätsdiebstahl verwendet werden.
Fällt die Infiltration auf und wird publik, ist es für das betroffene Unternehmen schon zu spät: Zu den Kosten für die Rettung der Systeme und Beseitigung der Mängel gesellen sich DSGVO-Strafen sowie in Imageschaden gegenüber Kunden, Lieferanten und anderen Geschäftspartnern.
Wir haben es hier also nicht mit einer schnellen und offensichtlichen Erpressung durch Datenverschlüsselung oder einer Kompromittierung der Systeme zu tun, die sofortigen Arbeitsausfall und Datenverlust bedeuten. Zumindest vorerst noch nicht.
Gehen wir einen Schritt zurück. Haben die Kontrollen vorher versagt?
Experten sind sich weitgehend einig, dass trotz Schutzmaßnahmen wie Firewalls, Anti-Virenschutz, Applikations- oder Schnittstellenkontrolle ein 100%-iger Schutz nicht möglich ist. Schadsoftware und Angriffsmethoden entwickeln sich einfach rasant weiter und Menschen tappen in (immer ausgeklügeltere) Fallen.
Darüber hinaus erfolgen nicht alle Attacken durch explizite Malware. Sogenannte Living-off-theLand (LotL)-Methoden machen sich im Großen und Ganzen das zunutze, was in der Umgebung bereits vorhanden ist. Es besteht keine Notwendigkeit, bösartige Dateien von Grund auf neu zu entwickeln. Vielmehr nutzen sie Eintrittspunkte aus, die bereits in IT-Systemen vorhanden sind.
Mit dieser Taktik kann man mehrere Dinge erreichen: Zunächst einmal umgehen sie häufig traditionelle Schutzsysteme - Virenscanner lösen bei scheinbar sicherer Software keinen Alarm aus. Damit ermöglichen sie das unauffällige und damit oft unbemerkte Eindringen von Cyberkriminellen in IT-Systeme. Selbst wenn eine Infiltration erkannt wird, ist es unter diesen Umständen viel schwieriger zu erkennen, woher der Angriff kommt. Viele klassische Cybersicherheitslösungen sind nicht in der Lage, gefährliches Verhalten zu erkennen, wenn es mit als legitim eingestuften Werkzeugen durchgeführt wird.
Die Analyse von Verhalten und die Suche nach Auffälligkeiten sind hierfür besonders relevant. Endpunkte (Endgeräte wie PCs, Laptops, mobile Geräte) müssen kontinuierlich überwacht werden.
Ereignisse (Events) auf den Endgeräten und im System sollten analysiert werden, um Spuren von Hackern zu identifizieren, Fehlverhalten der Mitarbeiter zu bestimmen und Sicherheitslücken ausfindig machen.
Mit Hilfe definierbarer Regeln sollten Sicherheitsverantwortliche einstellen können, auf welche Events mit welchem Verhalten reagiert werden kann, z.B. durch defensives Verhalten wie das Abschalten von Prozessen. Das entlastet IT-Abteilungen, die oft an vielen Fronten im Einsatz sind.
Für die Analyse von und Reaktion auf diese Events stehen den Verantwortlichen Endpoint Detection & Reponse Lösungen (oder kurz EDR) zur Verfügung.
Details über die Funktion solcher Lösungen erfahren Sie im nächsten Blogpost "EDR - der Sherlock Holmes der Cybersicherheit".