Cyber-Hiobsbotschaften verhindern

Von Serge Droz

Diesen Sommer warnten die Behörden eindringlich vor Ransomware-Angriffen auf Schweizer Unternehmen. Es vergeht fast kein Tag an dem uns nicht eine weitere Cyber-Hiobsbotschaft daran zweifeln lässt, ob das Internet tatsächlich eine so tolle Sache ist. Sowohl die Anzahl der Fälle als auch die Schadensumme steigen kontinuierlich. Aber gleichzeitig wächst auch die Anzahl der weltweiten Internetnutzer, und zwar schneller als die Summe der gemeldeten Schadensfälle. Trotzdem lohnt es sich die Thematik etwas genauer zu betrachten, um sich vor Schaden zu schützen.

Internetkriminalität

Die mit Abstand meisten Schäden entstehen durch kriminelle Machenschaften. Doch das Bild, das auch die Medien verbreiten, trifft nicht zu: Den typischen Internet-Kriminellen, der im schwarzen Hoody allein von seinem Laptop aus ganze Banken leerräumt, existiert kaum.

In den Anfängen des Internets war es tatsächlich so, dass eine einzelne Person oder eine kleine Gruppe einen Angriff von Anfang bis Ende selber durchführen konnte. Das war vor allem deshalb möglich, weil die meisten Systeme sehr unsicher waren und es oft mehr um ein Ausreizen von Grenzen ging, als um wirklich kriminelle Motive. Moderne Betriebssysteme sind jedoch heute so sicher, dass es schwierig ist, Schwachstellen auszunutzen, selbst in Drittsoftware. Zudem sind kriminelle Akteure heute deutlich professioneller und zu hundert Prozent finanziell motiviert. Das führt, genau wie in der physischen Welt, zu Optimierungen und Spezialistentum: Der Internet-Untergrund ist heute eine knallhart dienstleistungsorientierte Marktwirtschaft. Exemplarisch zeigt sich das bei den oben erwähnten Ransomware-Angriffen. Ein erster Angreifer sammelt automatisiert Zugangsdaten zu öffentlichen Remote-Desktop-Konten (RDP) und verkauft diese weiter. Eine nächste Person stiehlt Daten und verkauft den Zugang dazu weiter, bis schlussendlich ein Erpresser das gesamte Netzwerk verschlüsselt und Lösegeldforderungen bis im sechsstelligen Bereich fordert. Jeder einzelnen Player ist ausgesprochen spezialisiert und stellt seine Dienste oft als Service zur Verfügung.

Kill Chain und ATT&CK Framework

Um sich effektiv vor Cyberkriminellen zu schützen, hilft es zu verstehen, wie ein Angriff abläuft.  2011 entwickelten Eric Hutchins, Michael Cloppert und Rohan Amin die Intrusion Kill Chain. Ziel des Modells war es, Kompromittierungen systematischer entdecken zu können. Die Kill Chain beschreibt die verschienden Phasen eines Angriffes, allerdings ohne zu sagen, wie diese konkret ablaufen. 2015 veröffentlichte  MITRE das «Adversarial Tactics, Techniques, and Common Knowledge Framework» (ATT&CK-Framework) mit 96 Techniken, welche in den verscheidenen Phasen eines Angriffes zum Einsatz kommen. Diese Techniken werden aus der Analyse realer Vorfälle destilliert und es ist dieser enge Realitätsbezug, welche die ATT&CK-Wissensdatenbank so wertvoll macht.  ATT&CK hat viele Anwendungen, ist aber insbesondere für die systematische Detektion von Angriffen geeignet. Das Framework erlaubt es, quantitativ zu messen, welche Sicherheitsspezialisten welche Angriffstechniken in welcher Phase detektieren. Dies hat zu einer enormen Popularität des Frameworks geführt, welches mittlerweile als Community Effort weiterentwickelt wird.

 

Das ATT&CK Framework erlaubt es Organisationen ihre Fähigkeiten und Reife angesichts von Cyberattakcen systematisch zu evaluieren.

Schutz

Wie können sich Unternehmen gegen derart komplexe Bedrohungen schützen? Hier biete sich ein Vergleich mit der biologischen Welt an: Trotz abertausender Krankheiten steigt die Lebenserwartung seit Jahren kontinuierlich. Wir werden weniger oft krank und erholen uns von Krankheiten besser. Der Schlüssel dazu liegt hauptsächliche in einer immer besseren Hygiene. Weniger krank sein ist das beste Mittel, um gesund zu bleiben. Analoges gilt im Internet: Eine gute Cyber-Hygiene (siehe nachfolgenden Artikel) stellt sicher, dass es gar nicht erst zu einem erfolgreichen Angriff kommt. Erreicht wird dies durch das Befolgen von bekannten Sicherheitsregeln, wie sie beispielsweise die Melde- und Analysestelle Informationssicherung MELANI des Bundes veröffentlicht. Schliesslich sollten ob der vielen technischen Massnahmen auch die Nutzer nicht vergessen werden: Regelmässige Awarenesskampagnen und eine gute Fehlerkultur helfen dabei, Angriffe und deren Folgen zu minimieren.

Trotzdem kann es zu Sicherheitsvorfällen kommen. Ein guter und geübter Notfallplan hilft dabei, Schäden und Kosten zu vermeiden und einen erfolgreichen Angriff ohne grössere Komplikationen zu überleben.

Fazit

Das Risiko, Opfer eines Cyberangriffes zu werden ist real. Einfache Massnahmen und eine gute Vorbereitung helfen jedoch, einen solchen unbeschadet zu überleben.

Serge Droz

Dr. Serge Droz leitet ein Security Team bei der Open Systems AG und wird ab Anfang nächstem Jahr für die IT-Sicherheit bei Proton Technologies AG  verantwortlich sein. Er ist Chair des Non-Profit Forum of Incident Response and Security Teams (FIRST), dem globalen Dachverband alle IT Sicherheits-Teams.