Digital Risk Management

Vier Schritte um das digitale Risiko zu senken

| Autor / Redakteur: Stefan Bange / Peter Schmitz

Unternehmen mit einem möglichst vollständigen Bild der IT-Risiken, können Sicherheitsvorfälle besser priorisieren und Ressourcen und Werkzeuge dort einsetzen, wo sie am dringendsten benötigt werden.
Unternehmen mit einem möglichst vollständigen Bild der IT-Risiken, können Sicherheitsvorfälle besser priorisieren und Ressourcen und Werkzeuge dort einsetzen, wo sie am dringendsten benötigt werden. (Bild: gemeinfrei / Pixabay)

Cloud Computing gehört längst zur Best Practice, Big Data ist Alltag geworden und die digitale Transformation steht auf jeder Agenda. Für die Cybersecurity bedeutet das: Die Perimeter-Grenze verschwimmt, während die Angriffsfläche kontinuierlich wächst. Wer sich gegen digitale Risiken schützen will, ist auf die richtigen Strategien und Tools angewiesen.

Schritt 1: Key-Assets bestimmen und schützen — Die erste Frage beim Digital Risk Management (DRM) sollte nicht lauten: Wie schütze ich mein Unternehmen, sondern was muss ich schützen? Erst wenn die geschäftskritischen und schützenswerten Assets feststehen, lassen sich entsprechende Strategien und Tools auswählen.

Rein technisch könnten Unternehmen sämtlich IT-Assets innerhalb ihrer Infrastruktur auflisten und System für System überprüfen. Weitaus sinnvoller ist es jedoch, den Begriff Assets weiter zu fassen. Neben dem Faktor Mensch (z. B. Kunden, Mitarbeiter, Partner, Dienstleister) sollten auch Organisationen (z. B. Peer-Organisationen, Zulieferer, Service-Abteilungen, gemeinsame Infrastrukturen) sowie alle kritischen Systeme mit externen Schnittstellen berücksichtigt werden, z. B. Websites, Portale, Datenbanken mit Kundendaten oder ERP-Anwendungen.

Der Fokus auf geschäftskritische Bereiche zahlt sich später im Risikomanagementprozess aus. Kriterien der Risikobewertung umfassen sowohl operative Resilienz, geistiges Eigentum, Marktvorteile (z. B. bei Produktneueinführungen) als auch geschäfts- oder investitionsrelevante Informationen. Diese Key-Assets zu ermitteln ist nicht immer einfach. Die Priorität von bestimmten Assets kann sich von Unternehmen zu Unternehmen unterscheiden. Und nicht immer stimmt die Einschätzung auf Unternehmensseite mit den taktischen Überlegungen potentieller Angreifer überein.

Eine bewährte Praxis ist es, eine große Bandbreite unterschiedlicher Marker festzulegen und Dateien und Dokumente zu taggen. Sie sind hilfreich, um bestimmte Arten von Assets im Bedarfsfall später zu identifizieren und aufzuspüren. Dabei ist es egal ob es sich um, technische Wasserzeichen, Fußzeilen, Domänen oder Schutzvermerke zur Kennzeichnung vertraulicher Dokumente handelt.

Schritt 2: Bedrohungen verstehen und kennen

Um das Risiko für Assets bewerten zu können, ist im nächsten Schritt ein Blick auf die Bedrohungslandschaft notwendig. Frameworks wie MITRE ATT&CK bieten eine gute Grundlage, um das Verhalten von Angreifern besser zu verstehen und die beobachteten Taktiken, Techniken und Verfahren (TTPs) bekannter Gruppen zu analysieren. Die dokumentierten Angriffe in Kombination mit einem dynamischen Bedrohungsmodell geben Hinweise, was bestimmte Bedrohungsakteure dazu veranlasst, das eigene Unternehmen ins Visier zu nehmen. Zu den drei gängigen TTPs gehören:

  • 1. Kontoübernahmen durch geleakte oder öffentliche Login-Daten von Mitarbeitern
  • 2. Ausnutzung von Sicherheitslücken in zugänglichen Anwendungen
  • 3. Ausspionieren von technischen Informationen sowie psychologische Manipulation von angreifbaren Personen, um Sicherheitslücken für spätere Angriffe zu identifizieren

Schritt 3: Kostenlose Tools für das Monitoring

Sind die Key-Assets priorisiert und die relevanten Bedrohungen ausgelotet, geht es an die eigentliche Praxis: das Monitoring. Hier gilt es, eine Vielzahl an Quellen im Auge zu behalten. Cyberkriminalität spielt sich keinesfalls nur in zwielichtigen Foren im Dark Web ab. Die Mehrheit an kritischen oder personenbezogenen Daten findet sich frei zugänglich im Open und Deep Web – ob über offene Cloud Storage Services, falsch konfigurierte Websites, FTP- Smb- oder Rsync-Server, Paste Sites oder Code Repositories. Auf Grund von Konfigurationsfehler oder fehlenden Anweisungen kann es vorkommen, dass in robots.txt von Google Informationen indexiert und damit auffindbar sind, die im frei zugänglichen Web im Normallfall nichts zu suchen haben.

Unternehmen können auf einfachem und sicherem Weg einen ersten Einblick gewinnen. Viele kostenlose Tools bieten hier einen guten Ausgangspunkt:

Exponierte Daten aufspüren: Google Alerts mögen auf den ersten Blick als Monitoring-Tool banal erscheinen. Tatsächlich stellen sie jedoch eine einfache Methode dar, um fortwährend über geleakte Daten informiert zu werden. Mit einfachen Hacks wie der Erweiterung der Google-Syntax um „site:pastebin.com“ AND „aceme.com“ meldet Google beispielsweise alle Instanzen, in denen die Unternehmens-Domän auf Pastebin veröffentlicht und von der Google-Engine indiziert wurde.

Über „Google Hacking“ /„Google Dorks“ lässt sich die Suchmaschine über die erweiterte Suche gezielt nutzen. Beispielsweise liefert das Kürzel „filetype:“ in Kombination mit der entsprechenden Dateierweiterung ausschließlich DOC-, XLS- oder PDF-Dateien. Über den Befehl „site:“ kann eine bestimme Domain oder Website untersucht werden.

Darüber hinaus findet sich im Netz eine breite Palette spezifischer Services und Tools, die kostenlos genutzt werden können. Die Website HaveIBeenPwned zeigt beispielsweise an, ob Zugangsdaten des eigenen E-Mail-Kontos öffentlich zugänglich und wo diese zu finden sind – natürlich ohne Angabe der Kennwörter. Die Enterprise-Version bietet darüber hinaus die Möglichkeit, die eigene Domäne zu registrieren. Mit TestDrive erhalten Sicherheitsexperten sieben Tage lang vollen Zugriff auf Lösung ShadowSearch und können nach exponierten Daten im Open, Deep und Dark Web suchen. Die Google Hacking Database und das Projekt Bishop Fox’s Diggity stellen ebenfalls gute Anleitungen bereit, mit denen sich die Unternehmenspräsenz im Web tracken lässt. Diejenigen, die mit Google Hacking nicht vertraut sind, finden unter Yandex intuitive Dropdown-Menüs für die Filterung nach Dokumenttyp. Man sollte sich aber nicht auf eine einzige Suchmaschine verlassen, da die Ergebnisse variieren.

Programmiercode- und Snippets lassen sich über GitHub finden. Dabei sucht man entweder nach dem Unternehmensnamen oder diversen vorab definierten Software- und Versionskennungen. So lässt sich feststellen, ob kritische Daten (z. B. AWS Keys, proprietärer Code) von Entwicklern, Zulieferern oder Dritten veröffentlicht wurde.

Phishing-Websites und Fake-Social Media Profile: Manipulationsversuche des eignen Domänennamens (z. B. Phishing Websites) lassen sich über das Phyton-Skript DNS Twist erkennen. Ein etwas anderes Konzept verfolgt Phishing Catcher von X0rz. Anwender von Kali Linux können mit URL Crazy ihren Domänennamen auf Typosquatting testen. Zudem sollte man stets auf bekannte Phishing-URLs achten. Wer in der Finanzbranche oder im Einzelhandel tätig ist, sollte sich überlegen, Informationen von urlhaus.abuse.ch zu beziehen. Hierüber werden fundierte Daten über Domains bereitgestellt, die als Teil von Spam- oder sonstigen kriminellen Kampagnen registriert wurden.

Über die Twitter API erhalten registrierte Unternehmen Programmierzugriff auf Twitter Daten und können so über Schlüsselbegriffe (z. B. Produktname, CEO) falsche Profile und Konten auf dem sozialen Kanal aufdecken.

Schwachstellen in der Infrastruktur: Es lohnt sich, eine Karte der technischen Angriffsfläche sowohl Ihres Unternehmens als auch Ihrer Partner zu erstellen. Dies kann bei richtiger Anwendung fast vollständig passiv erfolgen. Für die Suche nach falsch konfigurierten Datenbanken, Servern und Geräten eignen sich beispielsweise Shodan und Censys. Schwache oder auslaufende Zertifikate innerhalb der eigenen Infrastruktur findet man mit Testssl. Für erfahrene Anwender stehen über die Kali Linux Distribution weitere kostenlose Tools zur Verfügung, wie zum Beispiel die Community-Edition von Paterva Maltego und OSINT-Frameworks, wie beispielsweise Recon-ng. Die Buscador -Tools von Michael Bazell könnten dabei helfen, sich ein Bild von der eigenen Angriffsfläche zu machen.

Schritt 4: Risiken mindern und beseitigen

Digital Risk Management schließt neben der Aufdeckung digitaler Risiken auch den konkreten Schutz vor Bedrohungen mit ein. Bei diesem vierten Schritt kann zwischen taktischen, operativen sowie strategischen Maßnahmen unterschieden werden. Taktisch sinnvoll ist es, die Angriffsfläche zu reduzieren und Services auf ein Mindestmaß zu reduzieren. Das setzt eine enge Zusammenarbeit mit den einzelnen Abteilungen voraus. Um fragwürdige Inhalte aus dem Web zu entfernen gibt es unterschiedliche Möglichkeiten – von Takedown-Verfahren der Social Media-Betreiber über das Einreichen von Beschwerden beim Webhosts und ISPs bis hin zu rechtlichen Maßnahmen.

Operativ sollten alle gesammelten Informationen zu Vorfällen und Bedrohungen langfristig in die weitere Strategie zur Aufdeckung von Bedrohungen einfließen. Die Integration in Incident-Response-Prozesse ermöglicht es, ein Alarmsystem aufzustellen. Zudem schafft die Analyse der digitalen Risiken einen wertvollen Kontext, der für die weiteren Sicherheitsoperationen entscheidend ist. Hierzu zählt der Hosting-Verlauf einer besetzten Domäne, der Status von Kennwort-Leaks für ein bestimmtes Konto sowie das bisherige Verhalten von Angreifern.

So gut das Monitoring und die Aufdeckung digitaler Risiken auch sind, unterliegt die Risikolage eines Unternehmens immer einer gewissen Ungenauigkeit. Grundsätzlich gilt aber: Je tiefer das Verständnis der Inputs, desto genauer und richtiger ist das Modell. Wichtig ist auch die fortlaufende Aktualisierung der Risikobewertungen sowie die Berücksichtigung von Risiken Dritter und der Lieferkette. Teams, denen ein möglichst vollständiges Bild der Risiken vorliegt, können Sicherheitsvorfälle besser priorisieren und Ressourcen und Werkzeuge dort einsetzen, wo sie am dringendsten nötig sind.

Über den Autor: Stefan Bange ist Country Manager DACH bei Digital Shadows.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45981542 / Risk Management)