Unternehmen vs. Cyberkriminelle Wie verteidigt man sich gegen Cybercrime-Gruppen mit Millionenbudget?

Von Florian Oelmaier

Anbieter zum Thema

Die Frage aus der Überschrift stellt sich heute wohl jede IT. Es gibt einfache Antworten: „gar nicht“, „Entnetzung / Abhängigkeit von der IT reduzieren“ und „neue Tools kaufen“. Leider gilt hier ähnliches, wie bei vielen anderen komplexen Themen: Eine schnelle einfache Lösung („silver bullet“) gibt es nicht. Aber dafür gibt es ein bewährtes, dreistufiges Vorgehen aus dem Krisenmanagement, das sich einfach übertragen lässt.

Gegen Ransomware kann man verteidigen, aber es ist aufwändig. Noch aufwändiger ist aber der Wiederaufbau nach einem Angriff.
Gegen Ransomware kann man verteidigen, aber es ist aufwändig. Noch aufwändiger ist aber der Wiederaufbau nach einem Angriff.
(Bild: Egor - stock.adobe.com )

Bevor man anfängt in technischen Lösungen zu denken, ist es wichtig die eigene Gefährdungslage zu kennen. Im Fall von Cybercrime muss man dazu die Täter und die aktuell benutzten Vorgehensweisen kennen. Begriffe wie „initial compromise“, „lateral movement“, „rights elevation“, “data exfiltration” sollten einer IT ebenso geläufig sein wie „Patient Zero“ oder „double extortion scheme”. Auf der kommenden ISX Konferenz erhalten Sie in gleich mehreren Vorträgen die Gelegenheit, sich mit diesen Begriffen und den Vorgehensweisen der Täter vertraut zu machen.

Die wichtigsten Lerninhalte dabei sind sicherlich:

  • Ein „Totalschaden“ in der IT ist mittlerweile ein denkbares Szenario (das beweisen die vielen Berichte von betroffenen Firmen, die Sie und Ihre Vorstände kennen)
  • Es kann jede Organisation treffen, die Geld hat, da die Angriffe ungezielt („untargeted“) sind (eine kurze Analyse der „Hall of Shame“ Seiten im Darknet zeigt dies sehr eindrücklich)
  • Die Angreifer tummeln sich zwischen 3 Tagen und 3 Monaten unerkannt im Netz, bevor die Verschlüsselung stattfindet
  • Der Angriff ist nicht vollautomatisiert, sondern ein manueller Angriff einer Hackergruppe (die durchaus mit hochspezialisierten und guten Tools arbeitet)
  • Wenn Sie aus einem kürzlichen Backup wiederherstellen, stellen Sie auch die Zugänge der Hacker wieder mit her.

Abwehrstrategie festlegen

Die meisten IT-Abteilungen haben eine gute Strategie zur Verteidigung der Grenze zum Internet („defend the perimeter“). Firewalls, Spam- und Phishingschutz und andere Schutzmaßnahmen helfen, Bedrohungen aus dem Netz abzuwehren. Leider ist durch die zunehmende Cloud-Nutzung und die IT-Vernetzung im Businessbereich dieser Schutz nicht mehr so wirksam, wie das früher der Fall war. Eine Abwehrstrategie muss daher ein neues, zusätzliches Sicherheitsparadigma umsetzten: „Assume Breach“. Nehmen Sie an, ein Angreifer wäre bereits bei Ihnen im Netz. Würden Sie ihn erkennen? Können Sie den größten Schaden verhindern?

Prävention 1 - Alarmstufenmanagement

Die wichtigste organisatorische Maßnahme bei der Umsetzung einer „Assume Breach“-Strategie ist die Definition von Alarmstufen in der IT. Beginnt man im Inneren nach Hackern zu suchen, dann bleibt es nicht aus, dass man auch etwas findet. Neben dem Krisenfall (Alarmstufe rot) müssen auch Maßnahmen für die Alarmstufen orange und gelb definiert werden. Ebenso müssen Kriterien für die Rückkehr zum normalen Arbeitsmodus („grün“) festgelegt werden.

Unsere Empfehlung für die „Alarmstufe gelb“ wäre: Nachdem alle derzeit bekannten Fakten (Logeinträge, Warnungen, etc.) zusammengetragen wurden, kann nicht ausgeschlossen werden, dass es sich um einen Echtangriff nach einem bereits bekannten Muster handelt. Die bekannten Muster sollten Ihr Sicherheitsberater bzw. Ihr SOC-Dienstleister kennen, ansonsten hilft ein Studium der bekannten „Tactics, Techniques and Procedures“ (TTP) weiter. Grundsätzlich gilt, dass in einem „gelb“ Fall mit den Maßnahmen nicht mehr Schaden angerichtet werden darf als unbedingt notwendig. Es dürfen also für „gelb“ nur Vorgaben gemacht werden, die in einer durchschnittlichen IT-Infrastruktur mit durchschnittlichen IT-Admins kaum Business Impact entfalten. Ziel der Maßnahmen muss sein, entweder einen Angriff ausschließen zu können oder einen belegbaren Hinweis für eine maliziöse oder zumindest unberechtigte Aktivität eines Angreifers zu finden. Wir betiteln den gelben Alarm gerne mit „100 Prozent Wachsamkeit“.

Zusätzlich empfehlen wir die Definition einer „Alarmstufe orange“, die wir so definieren: In den derzeit bekannten Fakten befinden sich belegbare Hinweise für eine maliziöse oder zumindest unberechtigte Aktivität eines Angreifers. Es ist bis jetzt noch kein echter Schaden in den Kernprozessen des Unternehmens entstanden, ein Angriff ist aber definitiv im Gang. Vergleichbar ist die Situation mit einer Kameraüberwachung, die ein neu geschnittenes Loch im Zaun des Unternehmens aufzeigt. Die nun zu treffenden Sicherheitsmaßnahmen dürfen Business Impact haben, müssen aber geeignet sein, das klare Ziel, einen – jetzt sicher zu erwartenden – Schaden vom Unternehmen abzuhalten, zu erreichen.

Für beide Alarmstufen müssen Sie Maßnahmen definieren und diese bereits im Vorfeld vorbereiten. Vorbild dazu kann Ihr Krisenmanagement sein. Einige Beispiele für mögliche Maßnahmen:

  • Definition eines Management Sponsors und seines Stellvertreters.
  • Definition eines Reaktionsteams aus IT-Spezialisten, die alle Disziplinen Ihrer IT abdecken
  • Alarmierung des SOCs
  • Anhalten der Logrotation und Sichern der relevanten Logs quer über die Systeme
  • Überwachung von typischen Alarm-Konditionen wie z.B.die Neuanlage von Admin-Benutzern, Änderungen in der GPO, den Scheduled Tasks oder im Sysvol, die Ausführung von PSExec oder Hackertools (Mimikatz, Cobaltstrike, Bloodhound) oder erhöhte WMI Aktivitäten.
  • Aktivieren einer bereits im Vorfeld aufgebauten Internet-Whitelist.
  • Durchführung von forensischen Analysen von befallenen Rechnern
  • Systemweite Suche nach Indicators of Compromise (IoCs). Das können IP-Adressen, URLs oder File Hashes sein.
  • Sofortiges Patchen aller Systeme, die nicht auf dem aktuellen Patchstand sind, insbesondere alle von extern erreichbaren Computer.
  • Altsysteme, die noch in der Domäne und ohne Segmentierung betrieben werden, müssen nun temporär abgeschaltet werden.
  • Aufbau zweier neuer, aktueller DCs mit einer neuen Installationsdatei von Microsoft („Clean Source“). Aktivierung aller aktuellen Sicherheits-Features auf diesen DCs. Nachdem die neuen DCs in Sync sind, alle bisherigen DCs demoten und einstweilen stilllegen.
  • Sofortiges Aktivieren der MFA für alle externen Zugänge zum Unternehmensnetzwerk,
  • Abschalten von Remote-Einwahlen,
  • Reset aller von außen nutzbaren Passwörter.
  • Sofortmaßnahmen zur Netztrennung vorbereiten (ggf. auch nur temporär über nacht)
  • Geeignete Kommunikation der Alarmstufe an die Mitarbeiter, idealerweise in einer Form, dass kein Alarm an die Tagespresse dringt.
  • Schaffung von „Cold-Standby“ Systemen durch Klonen kritischer IT-Strukturen

Prävention 2 - Hardening

Zusätzlich zum Alarmstufenmanagement empfiehlt die Corporate Trust Ihren Kunden eine (ständig überarbeitete) 22 Punkte-Liste mit „nicht-verhandelbaren Mindestanforderungen“ zu Verteidigung gegen Ransomware. Dazu zählen unter anderem detaillierte Anforderungen zu folgenden Themenblöcken:

  • Spam- und Phishingschutz und Blocken gefährlicher Attachments, insbesondere die alten Office Formate
  • Client Hardening, insbesondere die Nutzung von LAPS und das Durcharbeiten der Microsoft Security Baselines
  • Zugänge von außen kontrollieren, insbesondere MFA oder risk-based Logins aktivieren
  • Backup absichern
  • Domäne schützen, insbesondere sollten Sie die Ergebnisse eines pingcastle.com Scans Ihrer Domäne kennen
  • Protokollierung im Inneren optimieren, insbesondere Defender for Identity, 3-Tier Administration mit Alarming, etc.
  • Überwachung der Protokolle mit einem SOC, insbesondere mit Anbindung der Firewall Logs
  • Kontrolle der Endpoints mit einem EDR oder XDR System
  • Gnadenloses und umfassendes Patch Management
  • Isolierung unsicherer Systeme

Am Ende kann es aber immer sein, dass Sie einen Angreifer trotz aller Anstrengungen nicht entdecken. Dann ist Ihr wichtigstes Schutzelement Ihr Backup. Wenn Sie also nur einen Punkt erledigen wollen, dann sicheren Sie Ihr Backup:

  • Es existiert ein komplettes Backup Ihrer IT das zu keinem Zeitpunkt älter als 7 Tage ist.
  • Das Backup enthält neben allen Servern und Datenbanken u.a. eine Kopie des Active Directory (bzw. des System States eines DC).
  • Dieses Backup kann von einem Angreifer mit Domain-Admin-Rechten und Zugriff auf die Passwörter sämtlicher Domänen-Accounts nicht gelöscht werden.
  • Die Ausführung der Backup-Jobs wird überwacht. Wenn plötzlich weniger Daten als erwartet gesichert werden oder gar keine Daten mehr gesichert werden, fällt dies am nächsten Werktag auf und wird als Security Incident behandelt

Prävention 3 - Krisenreaktion definieren und üben

„Nicht geübt ist nicht gekonnt“ – Trainieren Sie Ihre Prozesse regelmäßig. Besonders bewährt hat sich eine Übung bei der Sie als Ausgangspunkt Ihre IT-Administratoren zusammenrufen. Stellen Sie diese Gruppe dann vor die Herausforderung: es ist Samstag 09:00. Ein Mitarbeiter entdeckt eine Ransomnote auf seinem Rechner und kann kein Serversystem mehr nutzen. Was würden Sie nun tun?

Dabei werden sich Ihnen viele neue Fragen stellen: Was sind die wichtigsten IT-Systeme für den Wiederanlauf? Und das entscheidet zuerst das Business: wo verdient die Firma am meisten Geld? Welche IT-Systeme werden dazu dringend gebraucht? Für welche Prozesse gibt es noch Non-IT-Workarounds? Und was ist die minimale IT-Infrastruktur die Sie benötigen? Wie schnell könnten Sie Ersatzsysteme in der Cloud hochziehen?

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Fazit

Gegen Ransomware kann man verteidigen, aber es ist aufwändig. Noch aufwändiger ist aber der Wiederaufbau nach einem Angriff. Leider sind Sie damit aber noch nicht fertig. Denn nicht jeder IT-Angriff ist Ransomware. Industriespionage und state-sponsored actors (Stichwort „Cyberwar“) benötigen andere Verteidigungsstrategien.

Florian Oelmaier, Prokurist, Leiter Cyber Operations & Research, IT-Krisenmanagement bei Corporate Trust.
Florian Oelmaier, Prokurist, Leiter Cyber Operations & Research, IT-Krisenmanagement bei Corporate Trust.
(Bild: Corporate Trust )

Über den Autor: Florian Oelmaier leitet den Cyber-Bereich bei der Corporate Trust, Business Risk & Crisis Management GmbH und ist als Prokurist Mitglied der Geschäftsführung. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten. Florian Oelmaier veröffentlicht regelmäßig Artikel in diversen Zeitschriften, ist Buchautor und hält Vorträge auf verschiedensten Veranstaltungen. Außerdem ist er Mitglied im Expertenrat Cybersicherheit des Bundesamts für Sicherheit in der Informationstechnologie.

Auf der ISX2022 IT-Security Conference hält Florian Oelmaier sowohl am 22. Juni in Hamburg, als auch am 6. Juli in Garching & Digital eine Keynote! Jetzt noch schnell anmelden um dabei sein zu können!

► Mehr Infos zur ISX 2022 IT-Security Conference

 

 

(ID:48407683)