:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Unternehmen vs. Cyberkriminelle Wie verteidigt man sich gegen Cybercrime-Gruppen mit Millionenbudget?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Frage aus der Überschrift stellt sich heute wohl jede IT. Es gibt einfache Antworten: „gar nicht“, „Entnetzung / Abhängigkeit von der IT reduzieren“ und „neue Tools kaufen“. Leider gilt hier ähnliches, wie bei vielen anderen komplexen Themen: Eine schnelle einfache Lösung („silver bullet“) gibt es nicht. Aber dafür gibt es ein bewährtes, dreistufiges Vorgehen aus dem Krisenmanagement, das sich einfach übertragen lässt.
Bevor man anfängt in technischen Lösungen zu denken, ist es wichtig die eigene Gefährdungslage zu kennen. Im Fall von Cybercrime muss man dazu die Täter und die aktuell benutzten Vorgehensweisen kennen. Begriffe wie „initial compromise“, „lateral movement“, „rights elevation“, “data exfiltration” sollten einer IT ebenso geläufig sein wie „Patient Zero“ oder „double extortion scheme”. Auf der kommenden ISX Konferenz erhalten Sie in gleich mehreren Vorträgen die Gelegenheit, sich mit diesen Begriffen und den Vorgehensweisen der Täter vertraut zu machen.
Die wichtigsten Lerninhalte dabei sind sicherlich:
- Ein „Totalschaden“ in der IT ist mittlerweile ein denkbares Szenario (das beweisen die vielen Berichte von betroffenen Firmen, die Sie und Ihre Vorstände kennen)
- Es kann jede Organisation treffen, die Geld hat, da die Angriffe ungezielt („untargeted“) sind (eine kurze Analyse der „Hall of Shame“ Seiten im Darknet zeigt dies sehr eindrücklich)
- Die Angreifer tummeln sich zwischen 3 Tagen und 3 Monaten unerkannt im Netz, bevor die Verschlüsselung stattfindet
- Der Angriff ist nicht vollautomatisiert, sondern ein manueller Angriff einer Hackergruppe (die durchaus mit hochspezialisierten und guten Tools arbeitet)
- Wenn Sie aus einem kürzlichen Backup wiederherstellen, stellen Sie auch die Zugänge der Hacker wieder mit her.
Abwehrstrategie festlegen
Die meisten IT-Abteilungen haben eine gute Strategie zur Verteidigung der Grenze zum Internet („defend the perimeter“). Firewalls, Spam- und Phishingschutz und andere Schutzmaßnahmen helfen, Bedrohungen aus dem Netz abzuwehren. Leider ist durch die zunehmende Cloud-Nutzung und die IT-Vernetzung im Businessbereich dieser Schutz nicht mehr so wirksam, wie das früher der Fall war. Eine Abwehrstrategie muss daher ein neues, zusätzliches Sicherheitsparadigma umsetzten: „Assume Breach“. Nehmen Sie an, ein Angreifer wäre bereits bei Ihnen im Netz. Würden Sie ihn erkennen? Können Sie den größten Schaden verhindern?
Prävention 1 - Alarmstufenmanagement
Die wichtigste organisatorische Maßnahme bei der Umsetzung einer „Assume Breach“-Strategie ist die Definition von Alarmstufen in der IT. Beginnt man im Inneren nach Hackern zu suchen, dann bleibt es nicht aus, dass man auch etwas findet. Neben dem Krisenfall (Alarmstufe rot) müssen auch Maßnahmen für die Alarmstufen orange und gelb definiert werden. Ebenso müssen Kriterien für die Rückkehr zum normalen Arbeitsmodus („grün“) festgelegt werden.
Unsere Empfehlung für die „Alarmstufe gelb“ wäre: Nachdem alle derzeit bekannten Fakten (Logeinträge, Warnungen, etc.) zusammengetragen wurden, kann nicht ausgeschlossen werden, dass es sich um einen Echtangriff nach einem bereits bekannten Muster handelt. Die bekannten Muster sollten Ihr Sicherheitsberater bzw. Ihr SOC-Dienstleister kennen, ansonsten hilft ein Studium der bekannten „Tactics, Techniques and Procedures“ (TTP) weiter. Grundsätzlich gilt, dass in einem „gelb“ Fall mit den Maßnahmen nicht mehr Schaden angerichtet werden darf als unbedingt notwendig. Es dürfen also für „gelb“ nur Vorgaben gemacht werden, die in einer durchschnittlichen IT-Infrastruktur mit durchschnittlichen IT-Admins kaum Business Impact entfalten. Ziel der Maßnahmen muss sein, entweder einen Angriff ausschließen zu können oder einen belegbaren Hinweis für eine maliziöse oder zumindest unberechtigte Aktivität eines Angreifers zu finden. Wir betiteln den gelben Alarm gerne mit „100 Prozent Wachsamkeit“.
Zusätzlich empfehlen wir die Definition einer „Alarmstufe orange“, die wir so definieren: In den derzeit bekannten Fakten befinden sich belegbare Hinweise für eine maliziöse oder zumindest unberechtigte Aktivität eines Angreifers. Es ist bis jetzt noch kein echter Schaden in den Kernprozessen des Unternehmens entstanden, ein Angriff ist aber definitiv im Gang. Vergleichbar ist die Situation mit einer Kameraüberwachung, die ein neu geschnittenes Loch im Zaun des Unternehmens aufzeigt. Die nun zu treffenden Sicherheitsmaßnahmen dürfen Business Impact haben, müssen aber geeignet sein, das klare Ziel, einen – jetzt sicher zu erwartenden – Schaden vom Unternehmen abzuhalten, zu erreichen.
Für beide Alarmstufen müssen Sie Maßnahmen definieren und diese bereits im Vorfeld vorbereiten. Vorbild dazu kann Ihr Krisenmanagement sein. Einige Beispiele für mögliche Maßnahmen:
- Definition eines Management Sponsors und seines Stellvertreters.
- Definition eines Reaktionsteams aus IT-Spezialisten, die alle Disziplinen Ihrer IT abdecken
- Alarmierung des SOCs
- Anhalten der Logrotation und Sichern der relevanten Logs quer über die Systeme
- Überwachung von typischen Alarm-Konditionen wie z.B.die Neuanlage von Admin-Benutzern, Änderungen in der GPO, den Scheduled Tasks oder im Sysvol, die Ausführung von PSExec oder Hackertools (Mimikatz, Cobaltstrike, Bloodhound) oder erhöhte WMI Aktivitäten.
- Aktivieren einer bereits im Vorfeld aufgebauten Internet-Whitelist.
- Durchführung von forensischen Analysen von befallenen Rechnern
- Systemweite Suche nach Indicators of Compromise (IoCs). Das können IP-Adressen, URLs oder File Hashes sein.
- Sofortiges Patchen aller Systeme, die nicht auf dem aktuellen Patchstand sind, insbesondere alle von extern erreichbaren Computer.
- Altsysteme, die noch in der Domäne und ohne Segmentierung betrieben werden, müssen nun temporär abgeschaltet werden.
- Aufbau zweier neuer, aktueller DCs mit einer neuen Installationsdatei von Microsoft („Clean Source“). Aktivierung aller aktuellen Sicherheits-Features auf diesen DCs. Nachdem die neuen DCs in Sync sind, alle bisherigen DCs demoten und einstweilen stilllegen.
- Sofortiges Aktivieren der MFA für alle externen Zugänge zum Unternehmensnetzwerk,
- Abschalten von Remote-Einwahlen,
- Reset aller von außen nutzbaren Passwörter.
- Sofortmaßnahmen zur Netztrennung vorbereiten (ggf. auch nur temporär über nacht)
- Geeignete Kommunikation der Alarmstufe an die Mitarbeiter, idealerweise in einer Form, dass kein Alarm an die Tagespresse dringt.
- Schaffung von „Cold-Standby“ Systemen durch Klonen kritischer IT-Strukturen
Prävention 2 - Hardening
Zusätzlich zum Alarmstufenmanagement empfiehlt die Corporate Trust Ihren Kunden eine (ständig überarbeitete) 22 Punkte-Liste mit „nicht-verhandelbaren Mindestanforderungen“ zu Verteidigung gegen Ransomware. Dazu zählen unter anderem detaillierte Anforderungen zu folgenden Themenblöcken:
- Spam- und Phishingschutz und Blocken gefährlicher Attachments, insbesondere die alten Office Formate
- Client Hardening, insbesondere die Nutzung von LAPS und das Durcharbeiten der Microsoft Security Baselines
- Zugänge von außen kontrollieren, insbesondere MFA oder risk-based Logins aktivieren
- Backup absichern
- Domäne schützen, insbesondere sollten Sie die Ergebnisse eines pingcastle.com Scans Ihrer Domäne kennen
- Protokollierung im Inneren optimieren, insbesondere Defender for Identity, 3-Tier Administration mit Alarming, etc.
- Überwachung der Protokolle mit einem SOC, insbesondere mit Anbindung der Firewall Logs
- Kontrolle der Endpoints mit einem EDR oder XDR System
- Gnadenloses und umfassendes Patch Management
- Isolierung unsicherer Systeme
Am Ende kann es aber immer sein, dass Sie einen Angreifer trotz aller Anstrengungen nicht entdecken. Dann ist Ihr wichtigstes Schutzelement Ihr Backup. Wenn Sie also nur einen Punkt erledigen wollen, dann sicheren Sie Ihr Backup:
- Es existiert ein komplettes Backup Ihrer IT das zu keinem Zeitpunkt älter als 7 Tage ist.
- Das Backup enthält neben allen Servern und Datenbanken u.a. eine Kopie des Active Directory (bzw. des System States eines DC).
- Dieses Backup kann von einem Angreifer mit Domain-Admin-Rechten und Zugriff auf die Passwörter sämtlicher Domänen-Accounts nicht gelöscht werden.
- Die Ausführung der Backup-Jobs wird überwacht. Wenn plötzlich weniger Daten als erwartet gesichert werden oder gar keine Daten mehr gesichert werden, fällt dies am nächsten Werktag auf und wird als Security Incident behandelt
Prävention 3 - Krisenreaktion definieren und üben
„Nicht geübt ist nicht gekonnt“ – Trainieren Sie Ihre Prozesse regelmäßig. Besonders bewährt hat sich eine Übung bei der Sie als Ausgangspunkt Ihre IT-Administratoren zusammenrufen. Stellen Sie diese Gruppe dann vor die Herausforderung: es ist Samstag 09:00. Ein Mitarbeiter entdeckt eine Ransomnote auf seinem Rechner und kann kein Serversystem mehr nutzen. Was würden Sie nun tun?
Dabei werden sich Ihnen viele neue Fragen stellen: Was sind die wichtigsten IT-Systeme für den Wiederanlauf? Und das entscheidet zuerst das Business: wo verdient die Firma am meisten Geld? Welche IT-Systeme werden dazu dringend gebraucht? Für welche Prozesse gibt es noch Non-IT-Workarounds? Und was ist die minimale IT-Infrastruktur die Sie benötigen? Wie schnell könnten Sie Ersatzsysteme in der Cloud hochziehen?
Fazit
Gegen Ransomware kann man verteidigen, aber es ist aufwändig. Noch aufwändiger ist aber der Wiederaufbau nach einem Angriff. Leider sind Sie damit aber noch nicht fertig. Denn nicht jeder IT-Angriff ist Ransomware. Industriespionage und state-sponsored actors (Stichwort „Cyberwar“) benötigen andere Verteidigungsstrategien.
Über den Autor: Florian Oelmaier leitet den Cyber-Bereich bei der Corporate Trust, Business Risk & Crisis Management GmbH und ist als Prokurist Mitglied der Geschäftsführung. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten. Florian Oelmaier veröffentlicht regelmäßig Artikel in diversen Zeitschriften, ist Buchautor und hält Vorträge auf verschiedensten Veranstaltungen. Außerdem ist er Mitglied im Expertenrat Cybersicherheit des Bundesamts für Sicherheit in der Informationstechnologie.
Auf der ISX2022 IT-Security Conference hält Florian Oelmaier sowohl am 22. Juni in Hamburg, als auch am 6. Juli in Garching & Digital eine Keynote! Jetzt noch schnell anmelden um dabei sein zu können!
(ID:48407683)
:quality(80)/p7i.vogel.de/wcms/4e/26/4e26f2160b80c07102d24e2d0e6d460b/0104969070.jpeg "Die ISX IT-Security Conference 2022 findet am 22.6. in Hamburg und am 6.7. in Garching bei München statt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")