:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISX 2021 Security Conference Eine proaktive Reaktion auf Angriffe vorbereiten
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Jüngste Ereignisse haben gezeigt, dass es möglich ist, wirksam auf eine Krise zu reagieren. Diejenigen, die erfolgreich sind, nutzen die Erfahrungen der Vergangenheit, um ihre Bereitschaft für unvermeidliche zukünftige Risiken proaktiv zu entwickeln. Die Maßnahmen, die sie ergreifen, sind präventiv und kontinuierlich. Unternehmen, die sich mit den Auswirkungen eines Cyberangriffs auseinandersetzen müssen, können viel von dieser "vorbereiteten" Denkweise lernen.
Cyberangriffe sind geschäftliche Realität. Laut einer Bitkom-Studie kostet Cyberkriminalität Unternehmen Milliarden. Die Auswirkungen des Angriffs und der verursachte Schaden hätten jedoch gemildert werden können. Je nachdem, wie ein Unternehmen auf Vorfälle reagiert und Krisenmanagement betreibt, kann ein Angriff mit dem Potenzial, die Geschäftskontinuität zu stören, geringe Auswirkungen haben. Dies kann erreicht werden, indem Vorfälle antizipiert werden und eine Reaktion auf spezifische Bedrohungen, deren Wahrscheinlichkeit und die Motive des Angreifers entwickelt wird. Es ist niemals das Ergebnis eines defensiven Arsenals an Technologien allein.
Bereits früh im IR-Lebenszyklus mit IR beginnen
Incident Readiness, also das ständige Vorbereitet sein auf eine mögliche Kompromittierung, sollte bereits früh im Incident Response (IR) Lebenszyklus integriert werden, so dass die Geschäftskontinuität während eines Angriffs aufrechterhalten werden kann. Sie ist sowohl die Bewertung der aktuellen Sicherheitslage eines Unternehmens als auch eine Reihe von Maßnahmen. Letztere können, wenn sie verbessert werden, die allgemeine Widerstandsfähigkeit des Unternehmens verbessern.
Incident Readiness kann mit der "Vorbereitungsphase" im IR-Lebenszyklus (siehe Bild) in Einklang gebracht werden und beeinflusst alle nachfolgenden Phasen. Sie ist breit angelegt und so konzipiert, dass sie so weit wie möglich vor einem Vorfall beginnt; diese Vorbereitungsphase kann Monate oder sogar Jahre vor einem Vorfall stattfinden. Obwohl diese Vorbereitungsphase für die IR-Praxis von grundlegender Bedeutung ist, wird sie häufig übersehen.
Nach dem Angriff ist vor dem Angriff
Die IR-Unit von F-Secure hat mehrere Vorfälle untersucht und seziert. Nach umfassenden forensischen Untersuchungen dauerte die Behebung von mehreren Vorfällen ohne adäquate Vorbereitung eines Vorfalls mehrere Iterationen. Dies führt bei Unternehmen zu langen Ausfallzeiten, die sich auf den Geschäftsbetrieb auswirkten. Die Untersuchungen ergaben auch, dass Angreifer die Unternehmen ein Jahr vor Erreichen seiner Ziele angriffen haben. In dieser Zeit blieben sie auf mehreren wichtigen Systemen persistent und sammelten systematisch Daten, die später als Grundlage für ihre endgültigen Angriffe dienen sollten.
Im Nachhinein lassen sich drei wichtige Erkennungsereignisse feststellen. Diese stellen den Punkt dar, an dem die Prozesse zur Reaktion auf Vorfälle hätten eingeleitet werden können, was letztendlich zu einem anderen Ergebnis für Unternehmen ohne Vorbereitung hätte führen können.
Der Reaktionsansatz von Unternehmen wird anhand der folgenden wichtigen Erkennungsereignisse, der jeweils ergriffenen Reaktionsmaßnahmen und der anschließenden Auswirkungen dargestellt.
Reaktive Reaktion
Nach Abschluss der Untersuchungen werden kritische Lücken in der Bereitschaftshaltung von Unternehmen ohne Vorbereitung festgestellt. Zumindest die folgenden hochrangigen Bereitschaftsmaßnahmen könnten die Auswirkungen von Vorfällen dieser Art verringern:
- Erstellung eines IR-Plans, in dem die einschlägigen Vorschriften, Schwellenwerte, Schweregrade von Vorfällen, Eskalationsmatrizen sowie die Rollen und Verantwortlichkeiten bei einem Cybersicherheitsvorfall aufgeführt sind.
- Entwicklung von IR-Handbüchern mit detaillierten Prozessabläufen für verschiedene Vorfallskategorien; diese würden das Vorfallsmanagement auf globaler Ebene und Vorfallskategorien auf regionaler Ebene umfassen.
- Schulung von regionalen Vertretern als Ersthelfer, um ihre Verantwortung für die Sicherung von Beweisen unter geeigneten Umständen zu unterstreichen. Dadurch würden sie auch in die Lage versetzt, eine erste Analyse der gesammelten Daten durchzuführen.
- Simulationen zur Reaktion auf Vorfälle, die systematisch für jede Region entwickelt und durchgeführt werden, um die Zustimmung der Regionalbüros zum Reaktionsplan und zum Playbook zu fördern.
Wir können nun überlegen, wie eine proaktive Reaktion für Unternehmen ohne Vorbereitung hätte aussehen können, wenn die oben genannten Elemente zum Zeitpunkt des Vorfalls vorhanden gewesen wären:
Proaktive Reaktion
Unternehmen, die der Incident Readiness einen hohen Stellenwert einräumen, sind besser gerüstet, um die Barrieren zwischen Advanced Persistent Threats (APTs) und ihren Zielen zu erhöhen, bevor es zu einer Kompromittierung kommt. Solche Bedrohungen sind systematisch und erfordern ausreichende Ressourcen, um erfolgreich zu sein. Durch die Aufbewahrung von wichtigen Daten und die Entwicklung von Erkenntnissen zu einem frühen Zeitpunkt in der Angriffskette verringern die von Angreifern benötigten Ressourcen den Wert ihrer Hartnäckigkeit. Anstatt sich auf Prävention zu verlassen und reaktiv zu reagieren, wenn diese fehlschlägt, schreckt dieser proaktiver Ansatz Bedrohungsakteure ab, indem es Unternehmen zu unwirtschaftlichen Zielen macht.
Vorbereitung ist mehr als nur die halbe Miete
Die Fähigkeit eines Unternehmens, die Geschäftskontinuität während eines Cybervorfalls aufrechtzuerhalten und etwaige Verluste in der Zeit danach zu beheben, hängt von der Handhabung des IR-Lebenszyklus ab. Dazu gehört die Vorbereitungsphase, in der kontrollierte und strategische Maßnahmen ergriffen werden können, die auf den Erkenntnissen aus Übungen, fähigkeitsspezifischen Bewertungen und echten Angriffen basieren.
Die untersuchten Vorfälle zeigen, dass die Vorbereitung über die Bereitstellung, Konfiguration und Prüfung von Werkzeugen hinausgeht. Geeignete Werkzeuge sind zwar unerlässlich, können aber allein nicht die Bereitschaft für einen Vorfall gewährleisten. Stattdessen sorgt ihre Einbeziehung zusammen mit dem strategischen Management von Menschen und Prozessen – durch ständig verbesserte IR-Pläne, Playbooks und vereinfachte Verfahren – für eine effektive Reaktion.
Die operative Widerstandsfähigkeit während eines realen Vorfalls ist das Ergebnis eines geschickten Risikomanagements und der technischen Fähigkeiten des CSIRT, zusätzlich zur Leistung der bereits vorhandenen Tools.
Für das interne CSIRT, das während einer Kompromittierung an der Front steht, kann eine proaktive Reaktion dazu beitragen, ein Burnout bei Mitarbeitern zu vermeiden und die Kommunikationskanäle mit dem Führungsteam zu verbessern. Eine solche abteilungsübergreifende Zusammenarbeit ist ein Schritt in Richtung Sicherheit als Geschäftspriorität.
Vorfälle sind in der Tat eine geschäftliche Überlegung und keine rein technische. Die Aufmerksamkeit von Kunden, Partnern, Aufsichtsbehörden und Medien, die sich aus einem Vorfall ergibt, ist ein Grund dafür, Sicherheitsteams zu entwickeln, die für die Abwehr moderner Bedrohungen gerüstet sind, die sich ständig weiterentwickeln und hartnäckig sind. Der Wert von Investitionen in Incident Readiness kann in diesem Zusammenhang den leitenden Interessengruppen als Weg zu mehr Glaubwürdigkeit, Kontinuität und Wachstum dargestellt werden.
Über den Autor: Klaus Jetter ist Regional Vice President bei F-Secure.
(ID:47598250)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934609/original.jpg "Der schlechteste Zeitpunkt, um festzustellen, dass Backups nicht funktionieren, ist unmittelbar nach einem Cyber-Angriff – deshalb muss die Datensicherung vorher getestet werden. (Gorodenkoff Productions OU)")