Suchen

Cyber-Sicherheit Mehrstufiger Schutz stärkt Sicherheitslage der Bundesagentur für Arbeit

| Autor / Redakteur: Hans-Peter Bauer* / Ira Zahorsky

Durch die Einführung einer integrierten Sicherheitsplattform konnte die Bundesagentur für Arbeit einen mehrstufigen Schutz einrichten, der die Zeitspanne bis zur Bedrohungseindämmung verkürzt und die allgemeine Sicherheit verbessert.

Firmen zum Thema

Die Bundesagentur für Arbeit hatte nach dem Wannacry-Angriff die Cyber-Sicherheit zur Chefsache erklärt und ein umfassendes Sicherheitskonzept auf- und umgesetzt.
Die Bundesagentur für Arbeit hatte nach dem Wannacry-Angriff die Cyber-Sicherheit zur Chefsache erklärt und ein umfassendes Sicherheitskonzept auf- und umgesetzt.
(Bild: Bundesagentur für Arbeit)

Bei der Bundesagentur für Arbeit ist das Computer Emergency Response Team (CERT) für die digitale Sicherheit zuständig. Die Aufgabe des CERTs besteht unter anderem darin, 160.000 Endgeräte und mehr als 100.000 interne Benutzer innerhalb des Netzwerks sowie die vertraulichen Daten ihrer Mitbürger zu schützen. Dabei sind sie sich der zentralen Bedeutung der Aufgabe bewusst und können bestätigen, dass die Cyber-Bedrohungen an Zahl und Raffinesse zunehmen.

„In den vergangenen Jahren verzeichneten wir eine deutliche Steigerung der bei uns eingehenden Bedrohungen wie Ransomware und Distributed-Denial-of-Service-Attacken“, berichtet Peter Neuhauser, Leiter des CERTs. „Unsere Behörde verzeichnet pro Tag 1,2 Milliarden Sicherheitsvorfälle. Die Suche nach schwerwiegenden Zwischenfällen und den besten Möglichkeiten zum Schutz unseres Netzwerks ist sehr aufwändig und nervenaufreibend. Wir müssen jederzeit aufmerksam sein, ganz besonders in Bezug auf hochentwickelte Zero-Day-Bedrohungen.“

WannaCry-Angriff weckt Aufmerksamkeit der Behördenleitung

2017 war auch die Bundesagentur für Arbeit Opfer des global reichenden Angriffs durch die WannaCry-Ransomware. Anders als viele andere US-amerikanische und europäische Organisationen, verzeichnete die Behörde keine schwerwiegenden Schäden, doch war dieser Angriff wie ein Weckruf: Die Verbesserung der Cyber-Sicherheit hatte nun oberste Priorität.

Neben den gängigen Virenschutz-Lösungen, von denen die Bundesagentur bereits profitierte, entschied sich das CERT nach WannaCry für den Einsatz einer zentralen Orchestrierungskonsole zur Verwaltung verschiedenster Sicherheitsprodukte für die gesamte physische und virtuelle Infrastruktur der Behörde – und das über eine einzige Plattform und Benutzeroberfläche. Diese Produkte reichen von Viren- und Host-Eindringungsschutz bis hin zu Verschlüsselung und Schwachstellenverwaltung. Mithilfe des anpassbaren Dashboards behält das operative Team den Überblick über eine Vielzahl von Endgeräten und kann diese hierüber entsprechend verwalten und schützen. Darüber hinaus konnten viele kritische Prozesse automatisiert werden, so dass sich das Team darauf konzentrieren kann, die Automatisierung zu verbessern und im Ernstfall manuell zu reagieren.

Sicherere Endgeräte durch automatisierte Echtzeit-Scans und Cloud-Analysen

Im nächsten Schritt entschied sich die Bundesagentur für Arbeit ihren Endgeräteschutz auszubauen, denn zu den potenziell gefährlichen Zwischenfällen, mit denen sich das CERT auseinandersetzen muss, gehören unter anderem auch 2.000 Viren- und Malware-Varianten, die sich in Endgeräten einnisten können. Nach einer gründlichen Test-Phase, die über mehrere Monate lief, kam die umfassende Endgeräte-Lösung zum Einsatz: Das CERT stattete im Zuge dessen die meisten der 160.000 Endgeräte mit dieser Lösung aus. Dadurch standen zur Bedrohungserkennung nicht mehr nur signaturbasierte Scans zur Verfügung: Die modernen Machine-Learning-Techniken der Lösung erkennen böswillige Codes basierend auf Erscheinungsbild und Verhalten und sorgen in der gesamten Behörde für einen adaptiven Bedrohungsschutz. Dieses Modul wertet Cloud-basierte Echtzeitinformationen aus, welche von Millionen Schadcode-Einsendungen sowie statischen und dynamischen Verhaltensanalysen stammen. Diese Funktion wird dazu genutzt, Attribute und Verhaltensweisen unbekannter Dateien automatisch mit Bedrohungsmodellen abzugleichen, um effektiv Zero-Day-Malware zu erkennen. Darüber hinaus ist die Software im Ernstfall in der Lage, automatisch einen Rollback durchzuführen und betroffene Endgeräte in einen sicheren Zustand zurückzuversetzen.

Austausch von Bedrohungsinformationen beschleunigt Malware-Blockierung

Parallel zum Endgeräteschutz implementierte die Bundesagentur für Arbeit eine Threat-Intelligence-Lösung, die auf eine offene Kommunikationsplattform zurückgreift. Diese besteht aus einer Datenbank, auf die alle vernetzten Systeme Zugriff haben, was einen verbesserten Austausch lokaler sowie globaler Bedrohungsinformationen begünstigt. Das bedeutet: Wird auf einem Endgerät der Behörde eine verdächtige oder böswillige Datei erkannt, wird diese über die integrierte Reputationsdatenbank abgeglichen. Wenn die Datei als böswillig eingestuft wird, wird sie sofort blockiert – nicht nur auf dem „Patienten Null“, sondern auf allen Endgeräten innerhalb des Netzwerks

Sollte die Datenbank keine Informationen zu einer Datei besitzen, wird sie automatische einer gründlichen statischen und dynamischen Analyse (Malware-Sandbox-Analyse) unterzogen. Falls die Datei daraufhin als böswillig eingestuft wird, geht diese Information sofort an alle Systeme in der Umgebung, die mit der offenen Austauschplattform verbunden sind. Durch diesen mehrstufigen Schutz, der durch die Kombination aus Echtzeit-Informationen aus der Cloud und dem Bedrohungsdatenaustausch besteht, ist die Bundesagentur für Arbeit in der Lage, Malware bereits in ihren Anfängen zu stoppen.

Postfach für Sicherheitsprüfungen testet verdächtige eMails

Täglich erreichen die Bundesagentur für Arbeit rund 30 Millionen verdächtige eMails. Über die integrierte Sicherheitslösung lässt sich daher ein „Postfach für Sicherheitsprüfungen“ erstellen, mit dem die Mitarbeiter der Bundesagentur für Arbeit aktiv zur Sicherheit beitragen können. Wenn Behördenmitarbeiter eine eMail erhalten und sich über die Echtheit nicht sicher sind (z.B. wenn sie nicht in deutscher Sprache verfasst ist, einen unbekannten Link oder einen unerwarteten Anhang enthält), können sie sie an eine spezielle eMail-Adresse, das so genannte „Postfach für Sicherheitsprüfungen“, weiterleiten. Ein CERT-Mitarbeiter erhält eine eMail und kann verdächtige Inhalte über die intuitive Benutzeroberfläche analysieren lassen. Die Analyse erfolgt in einer sicheren Umgebung und die Ergebnisse stehen dem CERT-Analysten anschließend zur Verfügung, um auf potenzielle Bedrohungen reagieren und bei Bedarf entsprechende Maßnahmen zur Behebung ergreifen zu können.

SIEM rundet die strategische Sicherheitspartnerschaft ab

Im Rahmen der integrierten Lösung setzt die Bundesagentur für Arbeit ein Security Information and Event Management (SIEM)-Tool ein. „Durch die SIEM-Lösung erhalten wir einen Überblick über jeden der 1,2 Milliarden Sicherheitszwischenfälle, die wir jeden Tag erfassen“, sagt Peter Neuhauser. „Wir können umsetzbare, nützliche Berichte zentral abrufen. Die Dashboards und Berichte machen unsere Sicherheitsmaßnahmen sichtbar und helfen uns dabei, die Compliance-Anforderungen einzuhalten. Dies ist für uns heute wichtiger denn je, da wir unser Beratungsgeschäft im Zuge von Covid-19 komplett in die digitale Welt verlegt haben und sich somit noch mehr Einfallstore für Cyber-Kriminelle ergeben.“

Neuhauser sieht in McAfee einen wichtigen Partner im IT-Sicherheitsumfeld. Die Bundesagentur für Arbeit verwendet zahlreiche McAfee-Produkte und nutzt bei Bedarf den hauseigenen Service, zum Beispiel zur Unterstützung bei der Erstellung von Zwischenfallreaktionsplänen. „Kriminelle arbeiten äußerst professionell zusammen. Ich denke, dass der offene und gemeinsame Ansatz von McAfee genau die richtige Sicherheit für unsere Seite liefert“, schlussfolgert Peter Neuhauser.

Hans-Peter Bauer, Vice President Central Europe bei McAfee
Hans-Peter Bauer, Vice President Central Europe bei McAfee
(Bild: McAfee)

*Der Autor, Hans-Peter Bauer, ist Vice President Central Europe bei McAfee.

(ID:46765798)