Cyberangriffe als Teil des Alltags

Richtig auf Angriffe durch Cyberkriminelle reagieren

| Autor / Redakteur: Markus Auer / Peter Schmitz

Bedrohungen sind Teil des Unternehmensalltags und der richtige Umgang mit dem Thema Cybersicher­heit ist ein entscheidender Faktor für jede Firma.
Bedrohungen sind Teil des Unternehmensalltags und der richtige Umgang mit dem Thema Cybersicher­heit ist ein entscheidender Faktor für jede Firma. (Bild: Pixabay / CC0)

IT-Sicherheit etabliert sich immer mehr im Unternehmensalltag und von CEO über IT-Entscheider bis zum IT-Administrator setzt sich der Gedanke durch, dass Sicherheit ein Grundpfeiler der Innovation sein muss. Allerdings sollten Führungskräfte bedenken, dass die veränderte Gefahrenlage und die Wichtigkeit von Schutzmechanismen auch in anderen Bereichen neue Anforderungen mit sich bringen.

Unternehmen stehen deshalb in der Verantwortung. Rechtliche Anforderungen und Compliance-Vorgaben werden strenger und präziser. Im Falle einer neuen Angriffswelle müssen IT-Verantwortliche schnell Auskunft geben, um eine Einschätzung der Bedrohung abgeben zu können. Das Paradigma von der rein defensiven IT-Security ist überholt, stattdessen gibt es ein komplexes Geflecht aus Security Operation Teams, IT-Abteilungen, Compliance-Beauftragen, Security-Analysten, Datenschutz-Beauftragten und häufig noch weiteren Fachabteilungen.

In der Praxis ist dies eine riesige Herausforderung. Speziell in Enterprise-Unternehmen sind diese Teams häufig nicht zentral organisiert. Außerdem nutzen die Fachkräfte unterschiedliche Tools und eine Koordination fällt damit häufig schwer. Die einzelnen Bereiche stehen vor eigenen Herausforderungen und entwickeln schnell eine autonome Dynamik. Das wird dann zum Problem, wenn Organisationen eine Bewertung der Gesamtlage erstellen sollen, denn die Sammlung der nötigen Informationen ist nahezu unmöglich. Diese Fähigkeit ist aber in Zeiten von Advanced Persistant Threats (APTs) und Multivektor-Angriffen überlebenswichtig.

Cyber-Attacken für jedermann auf Bestellung

Neues eBook „Cybercrime as a Service“

Cyber-Attacken für jedermann auf Bestellung

23.11.18 - Cyberangriffe werden immer komplexer und intelligenter, gleichzeitig wird es immer einfacher und kostengünstiger, selbst Cyber-Attacken zu starten. Cybercrime as a Service ist eine Entwicklung in der Internetkriminalität, deren Auswirkungen nicht zu unterschätzen sind. Das neue eBook untersucht diesen Trend, nennt konkrete Beispiele und gibt Hinweise für notwendige Maßnahmen. lesen

Nicht nur Cyberkriminelle haben aufgerüstet

Security Vendors, aber auch Behörden und nicht-staatliche Akteure leisten einen wichtigen Beitrag bei der Abwehr solcher Bedrohungen. Organisationen stehen mittlerweile eine riesige Menge an Informationen zur Verfügung. Eine Analyse zeigt, dass im Jahr 2016 über 180 Millionen Indicators of Comprise (IOCs) allein aus Open-Source-Quellen verfügbar waren. Allerdings muss diese Menge an Informationen erst einmal verarbeitet werden – besonders in Bezug auf die geschilderte Aufteilung von Sicherheitsteams und einer immer größer werdenden Anzahl von eingesetzten Sicherheitstools ist dies nicht einfach.

In den meisten Unternehmen ist die Sicherheitslandschaft stark fragmentiert und es fehlt eine einheitliche Plattform, welche abteilungsübergreifend das Ausmaß einer Gefahr feststellen und IOCs standardisieren kann. Dadurch gestaltet sich die Arbeit der Fachkräfte oft mühsam und ineffizient. Dies ist besonders kritisch, da gerade im Bereich Security viele Firmen Probleme mit einem Mangel an Fachkräften haben – und damit sowieso schon zu wenig Personal.

Neben der Gefahr durch neue Bedrohungen stellt dies mit ein Grund dar, dass Organisationen bis zu 40 Sicherheitsprodukte gleichzeitig im Einsatz haben. Dieser Technology Sprawl soll eigentlich die Abteilungen entlasten und neue Angriffsvektoren absichern, führt aber auch zu einer Mehrbelastung der bestehenden Belegschaft. Es erschwert in Folge die Koordination und Erstellung einheitlicher Reportings. Damit bilden sich in der Regel Informationssilos.

Administratoren sind gezwungen, die vorhandenen Informationen manuell in die einzelnen Tools einzupflegen und stehen damit vor einem massiven Datenmanagementproblem, da jede Architekturebene ihre eigenen Logs und Ereignisse kreiert. Zwar sind Werkzeuge im Unternehmen zur Abwehr theoretisch vorhanden, können aber nicht effizient eingesetzt werden. Stattdessen werden immer nur Teilbereiche erfasst und einzelne Mitarbeiter arbeiten unkoordniert vor sich hin.

Cybersicherheit wird größtes Risiko für Führungskräfte

Studie zur Managerhaftung

Cybersicherheit wird größtes Risiko für Führungskräfte

12.12.18 - Cyberangriffe und Datenverlust sind 2018 die größten Risiken für Führungskräfte. Das geht aus dem jährlichen Directors Liability Report „D&O: Personal Exposure to Global Risk“ hervor, den Willis Towers Watson gemeinsam mit der Anwaltskanzlei Allen & Overy veröffentlicht hat. lesen

Richtige Reaktion unter allen Umständen

IT-Sicherheitsverantwortliche sind es gewohnt, dass sie Angriffe abwehren müssen. Die Schwierigkeit liegt eher darin, das Ausmaß der Bedrohung zu erkennen und Gegenreaktionen mit anderen Abteilungen abzustimmen. Zudem müssen sie aber auch reagieren können, wenn es eine Attacke gibt, jedoch nicht sicher ist, ob ihre Organisation ein potenzielles Opfer ist bzw. bereits angegriffen wurde.

Daher brauchen Sicherheitsteams Mittel und Wege, die ihnen helfen, verfügbare Informationen in nutzbare Intelligence umwandeln zu können. Dadurch ist es ihnen möglich, den Grad der Bedrohung festzustellen und umgehend zu reagieren. Dabei geht es nicht nur um Gegenmaßnahmen, sondern beispielsweise auch um die Erkenntnis, dass die eignen Systeme gar nicht betroffen sind und man sich auf andere Prioritäten besinnen kann.

Das ist leichter gesagt als getan, denn wie angesprochen, gibt es sehr viel Informationen. Im Rahmen einer von der ESG durchgeführten Studie gaben 42 Prozent der Sicherheitsexperten an, ihre Organisation ignoriere eine beträchtliche Anzahl an Sicherheitswarnungen aufgrund der Menge, und mehr als 30 Prozent antworteten, dass sie sogar mehr als die Hälfte ignorieren würden. In den meisten Fällen sind es die Mitarbeiter im Security Operation Center, die an diesen Daten ersticken, wenn sie sich an die beschwerliche Aufgabe der manuellen Korrelation von Logs und Ereignissen zu Prüfungszwecken und anderen Aktivitäten machen.

Hier ist ein proaktiver Ansatz im Umgang mit Bedrohungen erforderlich. Der erste praktische Schritt sollte daher der Aufbau einer eigenen Threat Intelligence Plattform (TIP) sein. In dieser können alle externen Informationen wie IOCs aggregiert werden. Damit diese Daten dann zu ausführbarer Intelligenz werden, müssen sie automatisch angepasst und modifiziert werden. Neben der Deduplizierung und dem Ablgeich mit internen Informationen, sollten die Informationen zudem vereinheitlicht werden, sodass sie an in einem geeigneten Format an andere Abteilungen weitergeleitet werden können.

Mit Intelligence-basierten Workflows ist es Sicherheitsfachkräften möglich, ihre Kenntnisse über Gegner und deren Entwicklungsgang zu nutzen, um die interne Überwachung zu verbessern. Gleichzeitig können sie Prioritäten setzen, sich auf relevante Bedrohungen konzentrieren und zudem Warnungen minimieren, die lediglich Störungen oder Falschmeldungen darstellen.

Sicherheitsteams können die Abwehrmaßnahmen verstärken, indem sie relevante Bedrohungsinformationen direkt an das Sensornetz (Firewalls, IPS, IDS, NetFlow, usw.) senden, um Richtlinien und Vorschriften neu zu erstellen beziehungsweise zu aktualisieren, und damit die eigene Organisation proaktiv vor künftigen Bedrohungen schützen.

Cyberattacken auf deutsche Industrie nehmen stark zu

Bitkom-Studie

Cyberattacken auf deutsche Industrie nehmen stark zu

16.10.18 - Die deutsche Industrie steht immer häufiger im Fadenkreuz von Cyberkriminellen: Für gut acht von zehn Industrieunternehmen (84 Prozent) hat die Anzahl der Cyberattacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel (37 Prozent) sogar stark. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen repräsentativ befragt wurden. lesen

Fazit

Bedrohungen sind Teil des Unternehmensalltags und der richtige Umgang mit dem Thema Cybersicherheit ist ein entscheidender Faktor für jede Organisation. Rein defensive Ansätze sind nicht mehr zeitgemäß, stattdessen müssen Unternehmen ein sich auf ein neues Paradigma einstellen. Die Fähigkeit zur Kommunikation von Schwachstellen, der richtigen Verarbeitung von Threat Intelligenz und das Erstellung von Reportings sind der Schlüssel, um Bedrohungen entgegenzutreten. Aus eigener Kraft und ohne die Nutzung von externen Informationsquellen kann keine Organisation der Gefahrenlage Herr werden.

IT-Entscheider müssen daran arbeiten, die Aktionsfähigkeit ihrer Teams zu gewährleisten. Gleichzeitig sollten alle Aktionen richtig koordiniert und kommuniziert werden. Daher macht es Sinn, eine Threat Intelligence Plattform im eigenen Unternehmen aufzubauen und so die eigene Sicherheitsarchitektur auf ein effizientes Fundament zu stellen und die richtigen Bedrohungsdaten zur richtigen Zeit am richtigen Ort zu haben.

Über den Autor: Markus Auer ist Regional Manager Central Europe bei ThreatQuotient.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45686610 / Sicherheitsvorfälle)