Georg Beham - 10 Strategien gegen Hackerangriffe

+Skript Kiddies: bezeichnet wenig technisch versierte Angreifer, die vor allem vorgefertigte Tools – also gebrauchsfertige Lösungen und vorgefertigte Automatismen bzw. schriftliche Anleitungen verwenden. Sie sind hauptsächlich im Bereich des Cybervandalismus einzuordnen, wobei erfolgreiche Versuche oftmals unzureichendem Perimeterschutz[28] oder nicht vorhandenen Basissicherheitsmaßnahmen geschuldet sind.

+Cyberkriminelle: sind vornehmlich finanziell motivierte Akteure, die durchaus technisch versiert auftreten oder soweit organisiert sind, dass sie ihre Angriffe technisch professionell gestalten. Wenn sie selbst nicht über das notwendige Know-how verfügen, ihre Angriffe zu gestalten, kaufen sie die Expertise zu. Cyberkriminelle zeichnen sich jedenfalls dadurch aus, dass sie im ersten Moment keinen offensichtlichen Schaden bzw. keine Rufschädigung beabsichtigen, sondern alle Mittel zum Zweck der finanziellen Bereicherung einsetzen. Wenn dadurch Sachschaden entsteht, wie etwa durch den Einsatz von Ransomware, oder es zu Rufschädigung durch die Veröffentlichung von Informationen kommt, weil eine Erpressung nicht erfolgreich war, nehmen sie den Schaden in Kauf.

+Insider: hierbei handelt es sich um interne Mitarbeiter, die dem Unternehmen/der Organisation angehören und externe Mitarbeiter, die eine Vertrauensstellung in der Organisation einnehmen. Insider benötigen im Normalfall keine besonders ausgeprägten technischen Fähigkeiten, weil sie über ihre bereits bestehende Vertrauensstellung viel Schaden anrichten können.

+Staatliche Angreifer oder staatlich gesponserte Angreifer: verfügen nicht nur über exzellente technische Fähigkeiten, sondern auch über die notwendigen Ressourcen, Angriffe langfristig bzw. mehrphasig zu gestalten. Dabei können physische Angriffe mit virtuellen Angriffen kombiniert werden oder/und es kann nach erfolgreicher Infiltration über mehrere Schichten hinweg operativ gearbeitet werden. Wenn Angriffstechniken entdeckt werden, ist es auch möglich, die Vorgehensweisen und eingesetzten Tools zu wechseln. Ebenfalls ist es möglich, Angriffe durch das Nachbauen von Infrastrukturen und durch gezieltes Erforschen von Schwachstellen der eingesetzten Komponenten vorzubereiten.

Diese Einteilung ist zwar nur sehr grob, lässt aber einen Rückschluss darauf zu, wie komplex ein zu erwartender Angriff sein kann. Der Umstand, dass mittlerweile ein breites Repertoire an Beispielen zu durchgeführten Angriffen vorliegt und dieses auch stetig wächst, wirft kein gutes Licht auf die Zukunft. Diese Beispiele können jedoch maßgeblich dafür genutzt werden, um daraus den optimalen Einsatz von Sicherheitsmaßnahmen abzuleiten.

Zudem empfiehlt es sich, zu recherchieren, welche Angriffe andere Unternehmen in ähnlichen Branchen zu erleiden hatten, welche Motivation und welche Fähigkeiten hinter diesen Angriffen steckten und wie diese Unternehmen damit umgegangen sind.

Damit Bedrohungsakteure gegenüber einem Unternehmen oder einer Organisation letztlich kriminell, politisch, radikal oder terroristisch motiviert vorgehen können, benötigen sie zuallererst eine Angriffsfläche, um den Angriff überhaupt zu ermöglichen.

Die Möglichkeiten zum Angreifen werden durch das jeweilige Unternehmen bzw. die Organisation und ihre betriebene Infrastruktur selbst geschaffen. Dabei besteht ein natürliches Spannungsfeld zwischen dem Betreiben von digitalen Services und dem Exponieren von Angriffsflächen des Unternehmens im Cyberraum. Als Faustregel gilt: Je digitaler das Geschäftsmodell einer Organisation ist, desto verwundbarer ist es im Cyberraum.

Es ist daher naheliegend, dass ein geordneter IT-Betrieb mit gut strukturierten Prozessen weitaus weniger angreifbar ist als eine komplex aufgebaute Organisation, die unzureichend organisiert ist und deren Prozesse kaum überblickt werden können.

!

Praxistipp:

Angriffsfläche verkleinern

Disziplinen wie Schwachstellenmanagement zum Identifizieren von aktuellen Lücken in IT-Systemen, Patch-Management (siehe Kapitel 6.5) zum geordneten Schließen dieser Lücken und Change-Management zum Überwachen und Verwalten der Software- und Konfigurationsstände bewirken eine Verkleinerung der Angriffsfläche. Sie ermöglichen eine konsequente Überwachung von bekannten Lücken und sind daher auch geeignete Maßnahmen in einem Informationssicherheitsprogramm.

Über das Ausgestalten der IT-Infrastruktur und das Gestalten des IT-Betriebes bzw. einer effektiven IT-Betriebsführung kann also wesentlich zur Verminderung der Möglichkeiten des Angreifers beigetragen werden. Umso verwunderlicher mag es erscheinen, dass es zu so vielen erfolgreichen Angriffen kommt, wenn doch offensichtlich das Setzen einiger Sicherheitsmaßnahmen davor schützt.

Die Wahrheit ist, dass mit sehr wenigen Maßnahmen bereits ein guter Basisschutz erzielt werden kann. Allerdings ist der Schutz vor einem Angriff umso schwieriger, je motivierter der Angreifer ist, genau in dieses bestimmte Unternehmen einzudringen. Eine gewisse Rest-Angriffsfläche bleibt darüber hinaus in nahezu allen Fällen bestehen.

Mithilfe der Analyse der Motivation und der Fähigkeiten der Angreifer sowie der möglichen Angriffsflächen im Unternehmen lässt sich rasch klären, ob die bisher gesetzten Sicherheitsmaßnahmen ausreichend sind. Aus diesen Analyseergebnissen lässt sich eine bedrohungsorientierte Verteidigungsstrategie ableiten, die letztlich in ein Informationssicherheitsprogramm zur Umsetzung von zusätzlichen Sicherheitsmaßnahmen mündet.

!

Praxistipp:

Clustern von Sicherheitsmaßnahmen

Es gibt dazu zwar keine allgemein gültige Vorgehensweise, aber eine geübte Praxis ist es, sich gedanklich an Domänen von bestehenden Cybersecurity-Frameworks zu orientieren. Dazu eignen sich etwa die Domänen „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ aus dem NIST-Cybersecurity-Framework[29].

Dazu können bestehende Sicherheitsmaßnahmen und Themen zu den einzelnen Werte-Gruppen (Assets)[30], wie etwa (End-)Geräte, Applikationen, Netzwerk, Daten und Mitarbeiter, geclustert werden. So erhält man eine erste Übersicht der bestehenden Maßnahmen, die das Unternehmen derzeit vor Angriffen schützen.

Auf Basis der Analyse der Motivation und der Fähigkeiten des Angreifers lässt sich auch eine Art Profil der zu erwartenden Bedrohungen ableiten. Damit lässt sich in Kombination mit den möglichen Angriffsflächen prüfen, ob die geclusterten Maßnahmen adäquat sind, um die Bedrohung zu verhindern bzw. darauf zu reagieren, sollte ein Angriff erfolgreich durchgeführt worden sein.

Mithilfe dieser Überprüfung lässt sich relativ rasch und überblicksartig beurteilen, wie die Sicherheitssituation aktuell zu bewerten ist und ob bzw. wie dringend zusätzliche Sicherheitsmaßnahmen zu implementieren sind, um sich vor den zu erwarteten Bedrohungen zu schützen. Darüber hinaus können so bestimmte Bereiche für ein mögliches nachfolgendes Informationssicherheitsprojekt bzw. Cybersecurity-Projekt bereits zu Beginn priorisiert werden.

Obwohl diese Vorgehensweise letztlich eine gewisse Unschärfe mit sich bringt, bietet sie gerade in Zusammenschau mit bereits erfolgten Angriffen in ähnlichen Branchen einen guten Einstieg in das Thema, um rasch erste Ergebnisse zu erhalten und sich mit der Bedrohung im Cyberraum auseinanderzusetzen. Darüber hinaus lassen sich für nachfolgende Diskussionen mit Stakeholdern und Mitarbeitern Beispiele entwickeln, die den Weg zu einem Informationssicherheitsprojekt aufzeigen und alle Involvierten dahingehend sensibilisieren sollen.

23vgl. Improving Cybersecurity and Mission Assurance via Cyber Preparedness (Cyber Prep) Levels. Deb Bodeau. Richard Graubart. Jennifer Fabius Greene. The MITRE Corporation. 2009. Seite 3ff.