cyberANGRIFF: Gehackt, und nun?

Erste Schritte nach einem Angriff

Ist das alles eine zu pessimistische Ansichtsweise, technischer IT-Zynismus oder planvolle Evolution? Sicher nicht. Angriffe auf Unternehmen, von denen man in den Medien liest, sind nur die Spitze des Eisbergs und viele Angriffe bleiben außerhalb des Sichtfeldes der Öffentlichkeit.

Betreiber kritischer Infrastrukturen sind meldepflichtig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI), falls sie Opfer eines Angriffs geworden sind. Das BSI wiederum arbeitet eng mit IT-Dienstleistern zusammen, um Empfehlungen zu geben, welche Dienstleister bei einem speziellen Angriffsszenario helfen können.

Wie aber reagiert man am besten auf Bedrohungen und Angriffe? Wie können die wichtigen und kritischen Assets am besten geschützt werden?

Das, was ein starkes Sicherheitsnetz ausmacht, ist die Verknüpfung von in sich funktionierenden und abgeschlossenen Einzelmaßnahmen und Systemen, welche zusammen als enge Maschen dem Gesamtkonstrukt eine stärkere Wirkung geben als die einzelnen Maßnahmen an sich.

Dort wo die Dezentralität eben noch ein Sicherheitsrisiko war, kann sie schon morgen ein Bindeglied einer starken Kette sein. Wichtig ist, dass es eine Kombination der richtigen und effektiven Einzelmaßnahmen ist, die zu einem sinnvollen Ganzen ergänzt werden. Damit sollen diese zu einem Sicherheitsnetz für die kritischen Infrastrukturen und auch zur Energiewende führen.

Dort wo bis jetzt auf ein klassisches 3-stufiges Sicherheitskonzept (Identify, Protect und Detect) Wert gelegt wurde, wird dieses nun im Kontext der Cyberresilienz durch die Stufen Respond & Recover erweitert.

Der richtige Schutz vor Angriffen

Essenziell für den Schutz vor externen Angriffen ist es so wenig wie möglich Assets in den Kontakt mit öffentlichen Netzen zu bringen. Auch wenn eine ständige Verfügbarkeit und Kontrolle attraktiv sein mag, ist ein „public access“ oft fahrlässig und sicherheitstechnisch unverantwortlich.

Was aber der private Anwender mit seiner PV-Anlage meist noch nicht etabliert hat, haben Firmen meist voraus. Sie schützen ihre Assets mit einem starken Perimeter-Netzwerk, stellen Server mit öffentlichem Zugriff (wie z. B. Webserver) in eine extra demilitarisierte Zone und nutzen, für die Vernetzung von Unternehmensressourcen über öffentliche Netze, VPN-Verbindungen.

Neben dem physischen Schutz, also dem Schutz von Netzwerken und deren Servern und Kunden, ist der Faktor Mensch immer noch ein großes Risiko. Umso mehr kommt es darauf an, einen berechtigten Benutzer von einem unberechtigten Benutzer zu unterscheiden und einem berechtigten Nutzer gemäß seiner Rolle im Unternehmen klare Zugriffsrechte zu erteilen. Weniger ist hier immer mehr. Ein umfassendes und lückenlos implementiertes Identity- und Accessmanagement System ist hier Mittel der Wahl. Durch die Anwendung einer konsistenten und nachhaltigen Zero-Trust-Policy können Unternehmen hier das gewünschte Ergebnis erzielen – mehr Sicherheit.

Das klassische Monitoring in der IT setzt auf die Überwachung von Diensten und deren Verfügbarkeit innerhalb eines Netzwerkes. So wird überprüft, ob der Zugang zum SAP-System gegeben ist, die Dateiablagen zur Verfügung stehen, über ausreichend Speicher verfügt wird oder der Internetzugang performant gegeben ist.  

Dieses Monitoring ist nicht hilfreich, sobald es um das Erkennen von Anomalien  in einem Unternehmensnetzwerk und seinen Assets geht. An dieser Stelle kommen heute moderne Intrusion Detection und Intrusion Prevention Systeme zum Einsatz, welche meist auf allen 7 OSI Schichten den Netzwerkverkehr, aber auch Dienste und User überprüfen sowie mittels selbstlernender AI dazulernen und dabei korrektes von auffälligem Verhalten unterscheiden können.

Wer bereits ein solches System administriert hat, kennt die große Zahl an sog. „false positives“, welche solch ein System unbrauchbar machen, bis man es auf die betrieblichen Anforderungen angepasst hat. Was noch vor 10 Jahren mehrere Monate dauerte und einen erheblichen Ressourceneinsatz forderte, verringert sich heute bei ausgereiften Systemen auf 3-4 Wochen „Trainingsphase“. AI und deren selbstlernenden Fähigkeiten sei Dank.

Danach sind solche Systeme in der Lage Anomalien zu erkennen, welche vorher nicht oder nur nach ausführlichen Audits aufgefallen wären – oder warum versucht der Account von „Buchhalter Müller“ Abends um 18 Uhr auf Ressourcen der Personalabteilung zuzugreifen?

Ich bin gehackt worden! Und nun?

Der erste Schritt zur Abwehr eines Angriffs oder eines schon im internen Netzwerk befindlichen Angreifers ist, überhaupt zu erkennen, dass es sich um einen Angriff handelt. Wie bereits im letzten Beitrag zu Cyber Security beschrieben, hat es nicht jeder Angreifer auf Zerstörung und Chaos abgesehen und geht entsprechend vorsichtig vor.

Was aber ist die beste Taktik, einem bereits identifizierten Angriff entgegenzuwirken? Bei Angriffen, welche alle im Netzwerk auffindbaren Assets verschlüsseln, ist die Identifizierung des Incident nicht schwierig, denn das Problem tritt blitzartig auf.

Die Folge ist der Ausfall von allen betroffenen Diensten sowie der nicht mehr vorhandene Zugriff auf Unternehmensdateien, einschließlich zentraler Dienste wie Mail und Telefonie. Das Core-Netzwerk ist oft das einzige noch funktionierende System, da die einzelnen Komponenten eines Backbones mit proprietären Betriebssystemen arbeiten. Meist wird man hier vom Erpresser rasch kontaktiert und es wird ein Lösegeld gefordert. Den Entschlüsselungscode erhält man ausschließlich gegen die Bezahlung von Bitcoins oder anderer Kryptowährungen. Ob dies ein probater Weg ist, wieder an seine Daten zu gelangen, sei dahingestellt. Auch wenn eine solche „schnelle Lösung“ meist verlockend ist, gibt es keine Garantien, dass man den Code tatsächlich erhält bzw. die Entschlüsselung vollständig gelingt. Oftmals scheitert ein solches Vorgehen schon daran, dass deutsche Firmen häufig kein Krypto-Wallet haben, mit der sie die Zahlung in digitaler Währung vornehmen könnten.

Eine Wiederherstellung aus einer aktuellen Sicherheitskopie ist hier oft die einzig sinnvolle und verantwortbare Methode.

Aber auch bei Angriffen, welche das Ausspähen und Stehlen von Daten zum Ziel haben, sollte man mit Bedacht vorgehen. Ein vorschnelles Abschalten der IT-Infrastruktur vernichtet meist wichtige forensische Daten zur Aufklärung des Angriffs. In Absprache mit IT-Spezialisten und lokalen, spezialisierten Strafverfolgungsbehörden gilt es hier die beste Taktik für das aktuelle Szenario zu definieren. Das kann im Einzelfall auch bedeuten, zu warten, zu beobachten und Beweise zu sichern.

Die Erfahrung der letzten Jahre hat gezeigt, dass Unternehmen, die von Anfang an die Unterstützung von Spezialisten eingebunden haben, mehr Erfolg hatten, den Schaden wieder zu richten, als jene, die das Problem der hauseigenen IT überlassen hatten. Unabhängig davon, wie gut Ihre IT ist, ist es wichtig, Experten einzuschalten, die Ihnen in solchen Fällen helfen können.

Neben dem physischen Schutz, also dem Schutz von Netzwerken und deren Servern und Kunden, ist der Faktor Mensch immer noch ein großes Risiko. Umso mehr kommt es darauf an, einen berechtigten Benutzer von einem unberechtigten Benutzer zu unterscheiden und einem berechtigten Nutzer gemäß seiner Rolle im Unternehmen klare Zugriffsrechte zu erteilen. Weniger ist hier immer mehr. Ein umfassendes und lückenlos implementiertes Identity- und Accessmanagement System ist hier Mittel der Wahl. Durch die Anwendung einer konsistenten und nachhaltigen Zero-Trust-Policy können Unternehmen hier das gewünschte Ergebnis erzielen – mehr Sicherheit.

Das klassische Monitoring in der IT setzt auf die Überwachung von Diensten und deren Verfügbarkeit innerhalb eines Netzwerkes. So wird überprüft, ob der Zugang zum SAP-System gegeben ist, die Dateiablagen zur Verfügung stehen, über ausreichend Speicher verfügt wird oder der Internetzugang performant gegeben ist.

Dieses Monitoring ist nicht hilfreich, sobald es um das Erkennen von Anomalien in einem Unternehmensnetzwerk und seinen Assets geht. An dieser Stelle kommen heute moderne Intrusion Detection und Intrusion Prevention Systeme zum Einsatz, welche meist auf allen 7 OSI Schichten den Netzwerkverkehr, aber auch Dienste und User überprüfen sowie mittels selbstlernender AI dazulernen und dabei korrektes von auffälligem Verhalten unterscheiden können.

Wer bereits ein solches System administriert hat, kennt die große Zahl an sog. „false positives“, welche solch ein System unbrauchbar machen, bis man es auf die betrieblichen Anforderungen angepasst hat. Was noch vor 10 Jahren mehrere Monate dauerte und einen erheblichen Ressourceneinsatz forderte, verringert sich heute bei ausgereiften Systemen auf 3-4 Wochen „Trainingsphase“. AI und deren selbstlernenden Fähigkeiten sei Dank.

Danach sind solche Systeme in der Lage Anomalien zu erkennen, welche vorher nicht oder nur nach ausführlichen Audits aufgefallen wären – oder warum versucht der Account von „Buchhalter Müller“ Abends um 18 Uhr auf Ressourcen der Personalabteilung zuzugreifen?

Kommunikationsstrategien

Vielen Unternehmen und deren CxO Level wollen sich nicht eingestehen, dass sie Opfer eines Angriffs geworden sind. Neben dem Reputationsverlust des Unternehmens und der eigenen Person muss man sich meist noch unangenehme Fragen von Anteilseignern, Betriebsräten, Personal und Medien stellen.

Deshalb sollte eine gut vorbereitete und auf verschiedene Szenarien ausgelegte Kommunikationsstrategie, bei der das betroffene Unternehmen aktiv und transparent steuert, entwickelt werden.

Hierbei ist die Herausforderung, die verschiedenen Bereiche IT, Unternehmensleitung, Marketing sowie Unternehmenskommunikation zu vereinen. Nur wenn alle an einem Strang ziehen und vorher definiert wird, wie mit einem bestimmten Szenario umzugehen ist, wird die Kommunikation und Initiative dem betroffenen Unternehmen nicht aus der Hand genommen.

Voraussetzung ist aber, dass sich im Ernstfall alle Parteien an das abgesprochene Skript halten und niemand einen Alleingang wagt.

Fazit & Ausblick

Nur die Kombination, die richtige Abwägung der Maßnahmen und die Adoption an das stattfindende Angriffs-Szenario garantiert eine möglichst effektive Antwort auf eine Bedrohung oder einen konkreten Angriff. Egal wie viel man investiert, es wird immer ein Restrisiko vorhanden sein.

Wichtig ist, dass man sich dem Risiko immer bewusst ist und weiß, wie man im Ernstfall handeln muss, um einem Angriff bestmöglich zu begegnen. Denn eins ist sicher: Es geht nicht um die Frage des „ob“, sondern des „wann“ und „wie“!

Die Energiewende benötigt definitiv ein Sicherheitsnetz, um sich nicht angreifbar zu machen. Ein flexibles Portfolio aus Maßnahmen kombiniert mit getesteten Vorgehensweisen (Business Continuity Plan) und starken Partner, die alle Aufgaben abdecken können, die man nicht selbst erbringen kann oder will. Schafft man es auch noch, diese Vorgehensweise regelmäßig, im Turnus von 6 Monaten kritisch zu hinterfragen und den aktuellen Gefahren anzupassen, besteht eine sehr gute Ausgangslage, mit Bedrohungen aller Art auf Augenhöhe umgehen zu können.