Jüngste Malware-Zwischenfälle haben gezeigt, wie hoch die Kosten und der Schaden sein können, die durch Cyber-
Angriffe entstehen. Der Stuxnet-Wurm hat nach allgemeinem Kenntnisstand das iranische Nuklearprogramm nachhaltig geschädigt und gilt allgemein als erste funktionsfähige Cyber-Waffe.1 Shamoon gelang es, 30.000 Arbeitsstationen in einem Erdölkonzern zu infizieren und außer Gefecht zu setzen.2 Ein weiterer
gezielter Malware-Angriff auf ein großes Unternehmen führte dazu, dass das Unternehmen einen Verlust in Höhe von 66 Millionen US-Dollar als direkte Folge des Angriffs zu verzeichnen hatte.3 Diese Angriffe sind möglicherweise nicht immer erfolgreich. Doch wenn Angreifer ein Schlupfloch in das System eines Unternehmens finden, kann eine unmittelbare und gut vorbereitete Reaktion den Schaden schnell begrenzen und Systeme wiederherstellen, bevor größere Schäden entstehen.
Doch um eine solche Reaktion vorzubereiten, müssen Unternehmen wissen, wie Angriffe verlaufen können, eine Gegenstrategie entwerfen, entscheiden, wer für welche Maßnahmen zuständig ist, und anschließend den Plan testen und weiter optimieren.
2. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft
Einführung
Jüngste Malware-Zwischenfälle haben
gezeigt, wie hoch die Kosten und der
Schaden sein können, die durch Cyber-
Angriffe entstehen.
Der Stuxnet-Wurm hat nach allgemeinem Kenntnisstand das iranische
Nuklearprogramm nachhaltig geschädigt und gilt allgemein als erste
funktionsfähige Cyber-Waffe.1
Shamoon gelang es, 30.000 Arbeitsstationen in
einem Erdölkonzern zu infizieren und außer Gefecht zu setzen.2
Ein weiterer
gezielter Malware-Angriff auf ein großes Unternehmen führte dazu, dass das
Unternehmen einen Verlust in Höhe von 66 Millionen US-Dollar als direkte Folge
des Angriffs zu verzeichnen hatte.3
Diese Angriffe sind möglicherweise nicht immer erfolgreich. Doch wenn Angreifer
ein Schlupfloch in das System eines Unternehmens finden, kann eine unmittelbare
und gut vorbereitete Reaktion den Schaden schnell begrenzen und Systeme
wiederherstellen, bevor größere Schäden entstehen.
Doch um eine solche Reaktion vorzubereiten, müssen Unternehmen wissen,
wie Angriffe verlaufen können, eine Gegenstrategie entwerfen, entscheiden,
wer für welche Maßnahmen zuständig ist, und anschließend den Plan testen
und weiter optimieren.
www.emea.symantec.com/cyber-resilience
3. Verlauf von Angriffen
Ein Angriff startet mit einem Eintrittspunkt in das Unternehmen. Dies kann
ein ungeschütztes System sein, auf das sich Hacker Zugriff verschaffen, ein
anfälliger Rechner, auf dem Malware ausgeführt wird, oder ein Benutzer,
der sich dazu verleiten ließ, Malware zu installieren. Dieser Eintrittspunkt
kann dann dazu genutzt werden, weitere Angriffe im gesamten Netzwerk
zu starten. Dies kann beispielsweise durch Eindringen in andere Systeme
oder den Einsatz von Malware, die nicht mit einem Patch geschlossene
Sicherheitslücken in Systemen ausnutzt und sich automatisch auf anderen
Systemen installiert, erfolgen.
Sobald ein System infiziert ist, können Angreifer weitere Malware installieren
oder die Kontrolle über das System übernehmen und Befehle übertragen.
Angreifer können auch versuchen, Informationen wie vertrauliche Dateien
oder Benutzernamen und Kennwörter, die auf dem System gespeichert sind,
auszuschleusen.
Schutz vor Angriffen
Die meisten Angriffe lassen sich durch Implementieren grundlegender
Informationssicherheitsmaßnahmen abwehren. So kam das australische
Verteidigungsministerium zu dem Ergebnis, dass die Implementierung von
vier Minderungsstrategien ausreicht, um 85 Prozent der gezielten Angriffe
zu verhindern.4
Die britische Regierung weist darauf hin, dass es ausreicht,
sich auf zehn kritische Bereiche zu konzentrieren, um die meisten Cyber-
Bedrohungen abzuwehren.5
Als Mindestmaßnahme sollte ein Unternehmen sicherstellen, dass der
Netzwerkverkehr und Systeme auf Malware gescannt sowie Protokolle der
System- und Netzwerkaktivitäten aufbewahrt werden, um sie bei Bedarf zu
einem späteren Zeitpunkt analysieren zu können. Regelmäßig durchgeführte
Backups sind eine weitere wichtige Maßnahme, um sicherzustellen, dass die
normale Funktionsfähigkeit beschädigter Systeme wiederhergestellt werden kann.
Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft
Eintritt Ausbreitung
des Angriffs
Ausschleusung von
Informationen
Angreifer
Benutzer
Angreifer
Ausgeben von Befehlen
www.emea.symantec.com/cyber-resilience
4. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft
Mit angemessenen Informationssicherheitsmaßnahmen lässt sich die
Wahrscheinlichkeit, dass Angriffe erfolgreich sind, deutlich verringern. Doch
hinter jeder Schlagzeile über einen Cyber-Angriff verbirgt sich ein Unternehmen,
das fälschlicherweise davon ausgegangen war, ausreichend geschützt zu sein.
Größere Zwischenfälle passieren. Das muss bei der Planung berücksichtigt werden,
um Störungen des Geschäftsbetriebs zu reduzieren, Schäden einzudämmen
sowie die Zeit, die für die Wiederherstellung notwendig ist, zu verkürzen.
Vorbereitung auf
Zwischenfälle
Unternehmen sollten davon ausgehen, dass komplexe Angriffe gegen ihre
Systeme gestartet werden und sich entsprechend auf diese Möglichkeit
vorbereiten. In der Praxis ist diese Art von Angriffen eher selten. Doch um mit
den neuesten Entwicklungen bei Angriffen und Angriffstechniken Schritt zu
halten, sollten Unternehmen testen, ob ihre Systeme in der Lage sind, diese
Bedrohungen zu erkennen und abzuwehren.
Eine sorgfältige Vorbereitung stellt sicher, dass ein Angriff – wenn er tatsächlich
stattfindet – schnell erkannt werden kann. Viele identifizierte Vorfälle können
sich nach eingehender Analyse als Falschmeldungen (False Positives)
herausstellen. Andere wiederum können unbedeutend sein und keine massiven
Reaktionsmaßnahmen erfordern. Unternehmen sollten dennoch sicher sein,
dass sie sämtliche Vorfälle erfassen und aufzeichnen. Nur so können Angriffe,
die ein Eingreifen erforderlich machen, schnell identifiziert und eskaliert
werden. Dazu müssen zunächst die Eskalationskriterien und Mechanismen
festgelegt werden, nach denen ein erkannter Zwischenfall zur Aktivierung
eines Plans für die Reaktion auf Sicherheitsvorfälle führt.
Der erste Schritt des Plans sollte eine Bewertung der Situation sein. Als nächstes
sollten die Maßnahmen aufgeführt werden, die verhindern, dass sich der Angriff
auf andere Systeme ausbreitet und weitere Schäden verursacht. Bereits infizierte
Systeme müssen isoliert werden, um den Angriff einzudämmen. Systeme, die
bisher noch nicht infiziert wurden, müssen eventuell vorübergehend deaktiviert
werden, um zu verhindern, dass sich der Angriff innerhalb des Unternehmens
ausbreitet, und der Netzwerkzugriff muss eingeschränkt werden.
Auf Angriffe vorbereiten Reaktionsplan implementieren Reaktionsplan optimieren
Abbildung 2: Reaktionsphasen bei einem
Zwischenfall
Vorbereitung Reaktion WiederherstellungErkennung Prüfung
Uhrzeit
Angrifffindet
statt
Angreifer
wird
erkannt
System
e
werden
geschützt
Norm
albetrieb
wird
wiederaufgenom
m
en
www.emea.symantec.com/cyber-resilience
5. In der Wiederherstellungsphase müssen Systeme auf den Zustand vor der
Infektion zurückgesetzt werden. Dieser Vorgang wird vereinfacht, wenn
Backups der betroffenen Systeme verfügbar sind, vorausgesetzt, sie sind frei
von Malware. Dabei sollte sorgfältig darauf geachtet werden, dass Systeme
in einen nicht infizierten Zustand zurückversetzt werden.
Jeder Zwischenfall sollte nachträglich überprüft werden, um festzustellen,
welche Verfahren gut funktioniert haben und wo es Mängel bei vorhandenen
Praktiken gab. Diese Gelegenheit sollte genutzt werden, um aus dem
Zwischenfall zu lernen und Verfahren so zu optimieren, dass das Sicherheitsniveau
des Unternehmens verbessert wird.
Aufstellen eines
Reaktionsteams
In jedem Unternehmen sollte es nicht nur einen Reaktionsplan geben, sondern
auch ein Team, das diesen Plan in die Praxis umsetzt. Ein wichtiger Erfolgsfaktor
ist hierbei die Unterstützung durch die Geschäftsleitung. Tatsache ist, dass
bei einem sich schnell ausbreitenden Zwischenfall die Einbeziehung eines
leitenden Managers, der befugt ist, die für die Eindämmung und Beseitigung
des Vorfalls notwendigen Maßnahmen zu genehmigen, ein entscheidender
Vorteil sein kann. So kann man sich einen schnellen Vorsprung vor den
Angreifern verschaffen.
Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft
www.emea.symantec.com/cyber-resilience
Diese Maßnahmen können sich auf Benutzer und Services innerhalb des
Unternehmens auswirken. Dies betrifft vor allem die Art und Weise, wie Benutzer –
und insbesondere das Reaktionsteam – untereinander kommunizieren. Daher
sollte es Überlegungen dazu geben, wie die Kommunikation aufrechterhalten
wird und wie Benutzer und Führungskräfte über den Verlauf der Vorfallsbehebung
informiert werden.
Mithilfe von forensischen Analysen sollte festgestellt werden, ob Daten
kompromittiert wurden. Außerdem dienen diese Analysen dazu herauszufinden,
wie Angreifer in die Systeme eindringen konnten. Die Sicherheitslücke, die
für den Angriff ausgenutzt wurde, muss vorrangig geschlossen werden, um
zu vermeiden, dass sie nach der Beseitigung des aktuellen Angriffs wiederholt
für einen weiteren Angriff genutzt wird. Die Erfassung und Aufbewahrung
forensischer Informationen kann auch dazu beitragen, die Verantwortlichen
für den Angriff ausfindig zu machen und strafrechtlich zu verfolgen.
6. Relevante Mitarbeiter aus Abteilungen, die möglicherweise von einem Vorfall
betroffen sind, sollten in das Reaktionsteam aufgenommen werden. Der wichtigste
Beitrag zu diesem Team kommt jedoch von den technischen Mitarbeitern,
die den Plan umsetzen und über die notwendigen Fachkenntnisse verfügen,
um den Schaden zu beheben.
Nicht jede Position innerhalb des Teams muss mit eigenen Mitarbeitern besetzt
werden. Externe Experten mit speziellen Fachkompetenzen und Erfahrungen
mit ähnlichen Vorfällen können das Team ergänzen.
Außerdem sollte die Zusammensetzung des Teams regelmäßig einer Prüfung
unterzogen werden. Teammitglieder sind eventuell gezwungen, über längere
Zeiträume in Bereitschaft zu sein und sollten daher von anderen Teammitgliedern
abgelöst werden, um sich auszuruhen. Übungen und Tests könnten zusätzliche
Fähigkeiten aufzeigen, die im Team vorhanden sein sollten.
Testen des Plans
Gravierende Angriffe sind eher selten. Das ideale Ergebnis wäre, wenn der
Vorfallsplan und die Fachkenntnisse des Reaktionsteams nie zum Einsatz kämen.
Doch dadurch entstehen neue Risiken. Durch regelmäßiges Testen des
Vorfallsplans lassen sich Schwachpunkte aufdecken und verhindern, dass
Fachkenntnisse, die nicht genutzt werden, in Vergessenheit geraten.
Diese Testläufe können auf dem Papier stattfinden, indem die Reaktion auf einen
neuen Angriff und die Behebung des Vorfalls in der Theorie durchgespielt
werden. Oder diese Tests werden in Form einer praktischen Übung durchgeführt,
bei der ein Team aus Penetrationstestern simuliert, wie Angreifer ein System
infizieren können.
Regelmäßige Übungen tragen dazu bei, dass die Teammitglieder mit ihren
Funktions- und Verantwortungsbereichen vertraut sind. Durch das Testen
einer Reihe unterschiedlicher Angriffssituationen wird sichergestellt, dass
Verfahren umfassend und flexibel genug sind, um auf zukünftige Angriffe
reagieren zu können. Teams sollten nach folgendem Schema vorgehen: Planen,
Umsetzen, Prüfen und Handeln.
Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft
www.emea.symantec.com/cyber-resilience
7. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft
www.emea.symantec.com/cyber-resilience
Planen Aufstellen von Zielen, Richtlinien und Verfahren, die sich
nach den Bedürfnissen des Unternehmens richten.
Umsetzen Implementieren dieser Richtlinien und Verfahren.
Prüfen Überprüfen, ob diese in der Praxis zum gewünschten
Ergebnis führen.
Handeln Ergreifen von Maßnahmen, um Pläne aufgrund gesammelter
Erfahrungen zu überarbeiten und sie auf diese Weise zu
optimieren.
Stärkerer Fokus, weniger Risiko.
P
lanen
U
m
setzen
Hand
eln
Prüfe
n
8. Fazit
Unternehmen müssen wissen, wie
Angriffe verlaufen, die richtigen
Verfahren implementieren und
eine klare Reaktionsstrategie
entwickeln. Dann können sie künftige
Bedrohungen besser abwehren und
Schäden nach einem Zwischenfall
schneller beseitigen.
Referenzen
1 N. Falliere, L. O. Murchu, E. Chien, "W32. Stuxnet Dossier", Symantec
Security Response Whitepaper, Februar 2007
S. Davies, "Out of Control", Engineering & Technology v.6 (6) S. 60-62,
Juli 2011
2 D. Walker "Saudi Oil Company Back Online After Cyber Sabotage Attempt",
SC Magazine, 27. August 2012
3 H. Tsukayama, "Cyber Attack on RSA Cost EMC $66 Million", The Washington
Post, 26. Juli 2011
4 "Top Four Mitigation Strategies to Protect Your ICT System", Australian
Government Department of Defence Intelligence and Security, S. 1,
September 2011
5 "Executive Companion: 10 Steps to Cyber Security", Dept. for Business
Innovation & Skills, Centre for the Protection of National Infrastructure,
Office of Cyber Security & Information Assurance, S. 1, September 2012