S. 327XV. Technischer Schutz vor und bei Cybercrime

Martin Haunschmid

1. Warum fällt es so schwer, sich vor Cyberangriffen zu schützen?

Eines der grundlegenden Probleme, mit denen wir in der IT-Sicherheit zu kämpfen haben, ist, dass Angreifer genau einmal erfolgreich sein müssen, während die Verteidiger eine 100%ige Erfolgsquote benötigen, um die Organisation sicher zu halten. Diese Asymmetrie hat zur Folge, dass die Verteidiger ständig versuchen müssen, den Angreifern zuvorzukommen. Die Angreifer hingegen können sich alle Zeit der Welt nehmen. Macht ein Unternehmen einen Fehler, so wird dieser schnell von Angreifern bestraft, die, einem Rudel Piranhas gleich, scheinbar nur auf diesen Moment gewartet haben und ganze Unternehmen abnagen können.

Zum Glück lassen sich tatsächlich aber sehr viele Cyberangriffe bereits mit einfachen Maßnahmen erfolgreich abwehren.

2. Einordnung der Maßnahmen

Eine Studie von Microsoft ergab, dass sich 80 % der Cyberangriffe durch Maßnahmen verhindern ließen, die im Allgemeinen der sogenannten „IT-Hygiene“ zuzuordnen sind. Diese bedürfen weder tiefgehender Fachkenntnis noch einer großen Menge an Ressourcen. Aber auch einfache Tätigkeiten können sehr komplex werden, wenn diese in einer dynamischen Umgebung mit tausenden Benutzerkonten und Systemen laufend durchgeführt werden müssen. Lassen Sie sich nicht von den vermeintlich simplen Vorschlägen in diesem Artikel täuschen - diese konsistent quer durch eine Organisation durchzuziehen ist eine Herausforderung, der - wie sich in der aktuellen Praxis zeigt - nur wenige Organisationen gewachsen sind.

Die nachfolgenden Empfehlungen zur Vorbereitung auf einen cyberkriminellen Angriff gliedern sich in:

• IT-Hygiene: Diese Maßnahmen sind das absolute Mindestmaß; es sollte sichergestellt werden, dass sie laufend aktuell und funktional gehalten werden sowie kontinuierliche Verbesserung stattfindet. Nicht immer ist die Maximalvariante notwendig oder sinnvoll, weshalb externe Hilfe zur Erstellung einer Roadmap hier empfohlen werden kann.

• S. 328Proaktive Vorbereitung: Über die IT-Hygiene hinausgehend können proaktive Maßnahmen gesetzt werden, um einem Ernstfall besser und schneller begegnen zu können.

• Trainieren des Ernstfalles: „Jeder hat einen Plan, bis der erste Schlag ins Gesicht kommt“ hat der berühmte Boxer Mike Tyson von sich gegeben. Auch in der IT-Security gilt dieser Spruch und daher sollten Praxistests ebenfalls in die Cybersicherheitsmaßnahmen integriert werden.

Während die IT-Hygiene-Maßnahmen in abgeschwächter Form und Komplexität auch von Privatpersonen jedenfalls zu beachten sind, richten sich die proaktiven Maßnahmen eher an Organisationen, für die ein erfolgreicher Cyberangriff hohe Kosten verursachen oder gar existenzbedrohend sein kann.

An dieser Stelle sei auch darauf hingewiesen, dass die hier beschriebenen technischen Maßnahmen ihre Wirkung wohl am besten in Kombination mit einem bestehenden Management-System für Informationssicherheit (ISMS), also einem Rahmenwerk an Strategien zum Management sensibler Informationen, entfalten. Auch wenn von technischer Seite eine Zertifizierung beispielsweise nach ISO 27001 belächelt wird, wenn die Realität mit den Dokumenten zu weit auseinanderklafft, so führt für viele Organisationen wohl kaum ein Weg daran vorbei.

3. IT-Hygiene

Im Nachfolgenden werden viele unterschiedliche Maßnahmen vorgestellt, die für jedes individuelle Gefahrenmodell (sh hierzu ausf II.5.) unterschiedlich sinnvoll sind. Der Versuch, eine möglichst hohe Anzahl dieser Maßnahmen mit dem Einkauf von vielen Tools zu „erschlagen“ ohne diese bestmöglich in das Unternehmen und seine Prozesse zu integrieren, hat sich in der Praxis als wenig sinnvoll herausgestellt.

3.1. Passwörter

Die Empfehlungen betreffend Passwörter sind schnell erklärt, aber - sofern diese nicht schon eingehalten werden - auch mit großem Aufwand verbunden, wenn sie noch für alle Accounts umzusetzen sind. Prinzipiell sollte ein Passwort:

• Mindestens 16 Zeichen lang sein: Hier gibt es unterschiedliche Empfehlungen, denn ein Passwort selbst kann schon unterschiedlichen Gefahren ausgesetzt sein. Geht man aber davon aus, dass ein Angreifer den Hash eines Passwortes erlangt und diesen offline knacken will, sind mindestens 16 Zeichen zu empfehlen.

• Aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.

• S. 329Zufällig sein.

• Keine auf die Person rückführbaren Informationen enthalten: Weder die Bezeichnung des Autos noch der Name der Kinder, des Hundes oder des Partners ist ein gutes Passwort. Auch nicht der Fußballclub oder der Name des Lieblingssängers.

• Für jeden Account einzigartig sein: Es kann leider nicht ausgeschlossen werden, dass ein Passwort einmal öffentlich wird. Passiert dies, ist der Vorfall bei einzigartigen Passwörtern zumindest auf diesen einen Account beschränkt.

• Kein bereits bekanntes schwaches Passwort sein: Bekannte, bereits geknackte Passwörter finden sich in so genannten „Wortlisten“ wieder, die von Angreifern dann gerne verwendet werden, um Passwörter zu knacken.

Wir Menschen sind Gewohnheitstiere. Vermeiden Sie daher auch folgende Klassiker - die Angreifer kennen diese nämlich auch:

• Das Sonderzeichen ist in sehr vielen Fällen einfach ein angehängtes Rufzeichen.

• Die Zahlen sind sehr oft eine Jahreszahl - entweder das Geburtsjahr oder das Jahr, in dem das Passwort vergeben wurde.

• Passwörter wie „1q2w3e4r5t6z“ wirken zwar zufällig - aber sehen Sie sich das Passwort einmal auf einer gängigen Tastatur an. Es ist ein so genannter „Keyboardwalk“, bei dem die Finger über nebeneinander liegende Tasten „gehen“. Auch diese Passwörter sind leicht zu knacken.

• Verwenden Sie keine berechenbaren Teile in Ihrem Passwort. Ein 6-Zeichen-Passwort, bei dem jeweils nur der Name des entsprechenden Dienstes (zB „pfq!94facebook“) angehängt wird, ist ebenfalls unsicher. Wird dieses öffentlich, muss ein Angreifer nur den jeweiligen Teil austauschen und hat so potenziell Zugriff auf all Ihre anderen Dienste.

Betrachtet man die Anforderungen an das Passwortmanagement in der heutigen Zeit wird schnell klar: Das heutige digitale Leben ist mit Passwörtern, die wir uns merken müssen, kaum sicher bestreitbar. Aus diesem Grund gibt es eine Empfehlung, die fast uneingeschränkt getätigt werden kann: Die Verwendung eines Passwortmanagers.

3.1.1. Passwortmanager

Ein Passwortmanager ist ein Tool, welches alle Passwörter für uns abspeichert. Ähnlich einem Tresor haben wir dann nur mehr ein Passwort (das „Masterpasswort“), welches wir uns merken müssen. Mit diesem kommen wir dann in unseren Tresor, wo alle anderen Passwörter liegen.

Dies ermöglicht es, die Empfehlungen hinsichtlich Passwörter auf eine sehr einfache Art komplett umzusetzen. Das digitale Leben wird dadurch sogar bequemer: Mit nur einem Knopfdruck bin ich eingeloggt - ich muss nicht einmal Username und Passwort eingeben, lediglich auswählen, mit welchem Account ich nun unterwegs sein will.

S. 330Natürlich muss dieser Tresor entsprechend abgesichert sein. Das Masterpasswort sollte daher gut, und der Tresor zusätzlich noch mit einer Mehrfaktor-Authentifizierung abgesichert sein.

3.1.2. Die Wahl des Passwortmanagers

An dieser Stelle soll keine Empfehlung hinsichtlich der Wahl eines bestimmten Passwortmanagers erfolgen. Dennoch gibt es einige Faktoren, die bei der Auswahl berücksichtigt werden sollten:

• Offline oder Cloud: Es gibt Passwortmanager, bei denen der Tresor (und damit all Ihre Passwörter) auf Servern des jeweiligen Unternehmens liegen. Das ist eine persönliche Präferenz - vertraut man einem Unternehmen, die Ablage sicherer zu gestalten, als man es selbst kann?

• Rechteverwaltung: Vor allem im unternehmerischen Kontext müssen Zugänge manchmal geteilt werden (auch wenn dies nicht empfehlenswert ist, siehe Pkt 3.3.1. in diesem Kapitel). Hier sollte granular bestimmt werden können, wer worauf Zugriff hat.

• Sicherung und Wiederherstellung: Dadurch, dass die Tresore verschlüsselt sind, kann bei Verlust des Passwortes der Tresor potenziell nicht mehr wiederhergestellt werden. Das muss bei der Verwendung bewusst sein.

• Einfügen in die Organisationskultur: Die Einführung eines Passwortmanagers ist auch eine kulturelle Herausforderung. Eine möglichst reibungslose Integration in den Alltag der Personen, die am meisten davon profitieren, sollte daher bei der Auswahl bereits mitgedacht werden. So sollte es zB für Außendienstmitarbeiter möglichst einfach sein, am Laptop oder Mobiltelefon auf die Passwörter zuzugreifen. Auch das Teilen von Passwörtern mit Personen inner- und außerhalb der Organisation ist zu berücksichtigen.

• Unterstützte Systeme: Müssen beispielsweise auch Smartphones oder Laptops außerhalb des Unternehmens auf die gespeicherten Passwörter zugreifen? In diesem Fall müssen für Offline-Passwortmanager entsprechende Möglichkeiten geschaffen werden.

3.1.3. Passwortlose Authentifizierung

Immer mehr Dienste unterstützen „Passkeys“. Hier passiert die Authentifizierung nicht mehr via Username und Passwort, sondern über ein kryptografisch generiertes Schlüsselpaar. Dieses ist auf einem Gerät gespeichert und kann von Webseiten und Services angefragt werden. Der Nutzer erlaubt dies am Gerät (beispielsweise via Fingerabdrucksensor), Gerät und Service erledigen den Rest. Da dieser Prozess Nutzerfehler fast gänzlich ausschließt und der entsprechende Service nicht mehr „gefälscht“ werden kann, ist diese Form der Authentifizierung resistent gegen Phishing-Attacken.

S. 331Da das Schlüsselpaar jedoch am Gerät gespeichert ist, verliert man mit dem Verlust des Gerätes auch den Zugriff auf die entsprechenden Accounts, sofern es keine Backup-Lösung gibt. Dies sollte bei der Verwendung von Passkeys berücksichtigt werden.

3.1.4. Mehrfaktor-Authentifizierung

Passwörter können abhandenkommen. Passiert dies, so kann sich jeder, der im Besitz der Username-Passwort-Kombination ist, in den entsprechenden Account einloggen. Aus diesem Grund hat es sich bewährt, zum Login einen oder gar mehrere weitere Faktoren abzufragen. Faktoren können beispielsweise sein:

• Etwas, das man weiß: Dies ist meist das Passwort.

• Etwas, das man ist: Hierunter fallen biometrische Daten wie der Fingerabdruck oder die Iris. Auch die Entsperrfunktion via Gesichtserkennung am Smartphone fällt bis zu einem gewissen Grad darunter, zählt aber mehr als Bequemlichkeitsfunktion als zur Sicherheit.

• Etwas, das man besitzt: Dieser Faktor kann mehrere Ausprägungen haben. Vom Smartphone mit entsprechender Authenticator-App bis zu Hardware-Tokens, die Einmalpasswörter in Form von sechs Ziffern generieren bis zum FIDO-Token, welcher am entsprechenden Gerät physisch aktiviert werden muss und dann den Login zulässt.

Die Empfehlung hier ist, auf möglichst allen, vor allem aber für wichtige oder hochprivilegierte Accounts die Mehrfaktor-Authentifizierung zu aktivieren. Eine SMS als zweiter Faktor sollte allerdings vermieden werden, da hier die Möglichkeit der Umgehung ebenfalls besteht. Beim sogenannten „SIM Swapping“-Angriff wird der Mobilfunkanbieter dazu gebracht, die Rufnummer des Opfers einer anderen SIM-Karte - der des Angreifers - zuzuweisen. Jegliche Mehrfaktor-SMS gehen dann an den Angreifer.

3.2. Sichtbarkeit

Die eingangs bereits erwähnte Sichtbarkeit ist essenzieller Bestandteil der IT-Sicherheit. Ohne sie besteht keine Basis, auf der Vorfälle erkannt werden können. Das Unternehmen ist nicht im Stande, potenzielle Angreifer im Netzwerk frühzeitig zu entdecken. Der wichtigste Bestandteil in dieser Hinsicht ist die Implementierung von Systemen, die aus einer Vielzahl an Datenquellen Protokolle an einem zentralen Punkt sammeln. Auf Basis dieser Daten kann sodann verdächtiges Verhalten detektiert werden - auch über mehrere User und Systeme hinweg. Im Idealfall passiert durch die implementierten Tools auch sogleich vollautomatisch das erste Bearbeiten des Vorfalls.

S. 3323.2.1. EDR/XDR/SIEM

Hinter diesen Kürzeln stecken folgende Tools bzw Funktionalitäten:

• Security Information and Event Management (SIEM): Sammelt Daten aus einer Vielzahl an Quellen im Unternehmen an einem zentralen Ort, führt aber keine automatische Detektion von Vorfällen am Endgerät durch.

• Endpoint Detection and Response (EDR): Ein Tool am Endgerät, welches Schadsoftware und verdächtiges Verhalten erkennt und dieses auch automatisch mitigieren kann. Die Weiterentwicklung des klassischen Antivirus.

• Extended Detection and Response (XDR): Erweitert die Funktionalitäten der EDR um die Korrelation der Daten über unterschiedliche Systeme und Ebenen hinweg. Der Begriff XDR wird oftmals synonym zu EDR verwendet. Diese Art der Tools besitzt meist eine Cloud-Plattform, in der alle Datenströme zusammenfließen und zu bereits entdeckten Vorfällen alle Informationen zur detaillierten Analyse zur Verfügung stehen. Die XDR kann also als eine Kombination von EDR und SIEM gesehen werden.

Man ist nun vielleicht dazu geneigt, diese Tools mit einem klassischen Antivirus gleichzusetzen. Hierzu sei nur gesagt, dass es im Bereich der Erkennung von Schadsoftware und verdächtigem Verhalten eklatante Unterschiede zwischen einzelnen Tools gibt. An dieser Stelle werden nur zwei Vergleichsszenarien aus dem beruflichen Alltag von Penetrations-Testern beispielsweise präsentiert:

• „Klassischer“ Antivirus mit minimaler Verhaltensdetektion: Diese legen der Tätigkeit der Angreifer kaum Steine in den Weg. Der Aufwand, diese Lösungen zu umgehen ist oft gleich null. Sie eignen sich vielleicht noch zur Erkennung von Schadsoftware, die nach dem Gießkannenprinzip verteilt wird, hindert die meisten der beschriebenen Threat Actors aber kaum an ihrer Tätigkeit.

• Moderne Security-Lösung: Hier benötigt man vom Start weg mehrere Stunden bis Tage, um unentdeckt Schadsoftware ausführen zu können. Und selbst dann - nachdem ein System bereits ferngesteuert werden kann - muss dennoch sehr vorsichtig vorgegangen werden, denn jeder Prozess wird laufend auf verdächtiges Verhalten analysiert. Ein Fehler, und der Zugang ist verloren.

Aber nicht nur in der Prävention, auch in der nachgelagerten Analyse eines Vorfalls vereinfachen diese Tools stark das Leben der IT und der Forensiker. Auf Basis der so zur Verfügung stehenden Daten können die Wege der Angreifer viel genauer nachvollzogen werden.

Durch teilweise frei zugängliche oder um wenige tausend Euro verfügbare Tools können auch von technisch nicht versierten Angreifern Antivirus-Systeme relativ leicht umgangen werden. Die Anbieter so genannter „Command and Control“-Software rühmen sich teilweise damit, wie viel Zeit man sich als Penetrations-S. 333Tester sparen kann. Auch wenn diese Tools offiziell nur an verifizierte IT-Security-Unternehmen verkauft werden, finden sie in der Praxis leider doch teils den Weg in die Hände von Hacker-Gruppen.

Dies führt zu einem weiteren wichtigen Punkt: Dem Testen der Lösung. EDR und XDR-Systeme besitzen eine Vielzahl an Konfigurationen, welche auf die jeweilige Umgebung angepasst werden sollten. Daher sollte - wenn schon eine große Menge Geld in diese Tools investiert wird - auch sichergestellt werden, dass sie stets richtig konfiguriert sind.

3.2.2. Security Operations Center

Bei entsprechender Größe steht einem Unternehmen auch offen, ein eigenes Security Operations Center aufzubauen oder diese Dienstleistung zuzukaufen. In einem SOC wird das Netzwerk des Unternehmens durchgehend überwacht; dedizierte Analysten reagieren auf potenzielle Alarme, analysieren diese und können diese im Extremfall auch eskalieren.

3.2.3. Honeypots: Tarnen und Täuschen

Stehen wenige Ressourcen zur Verfügung, kann mit sogenannten Honeypots und Täusch-Technologien mit geringem Aufwand ein Alarmmechanismus geschaffen werden, der nur dann aktiv wird, wenn sich Angreifer tatsächlich aktiv im Netzwerk befinden. Die Honeypots sind hierbei Fallen, die sich als „echte“ Server, Dienste oder User tarnen.

So kann man zum Beispiel einen User anlegen und dessen Passwort auf Netzwerklaufwerken in einer Word-Datei namens „Passwörter“ ablegen. Im normalen Tagesablauf wird dieser User jedoch von niemandem verwendet - loggt sich dieser User also auf einem System ein, ist das ein Indiz, dass mit hoher Wahrscheinlichkeit gerade ein Angreifer aktiv im Netzwerk unterwegs ist. Natürlich muss hierfür auf die entsprechende Warnung auch reagiert werden.

3.2.4. Threat Intelligence

Als zusätzliche, aber bei weitem nicht für alle Unternehmen sinnvolle Maßnahme kann die sogenannte Threat Intelligence durchgeführt werden. Gängige Tätigkeiten im Rahmen dieser Dienstleistung sind:

• Die Überwachung von Untergrund-Foren, um konkrete Bedrohungslagen gegen das Unternehmen frühzeitig erkennen zu können. Da in Darknet-Foren potenzielle Angriffsziele diskutiert und erbeutete Zugangsdaten verkauft werden, können diese Informationen zur Einschätzung der Gefahrenlage verwendet werden.

• Überwachung von veröffentlichten oder zum Verkauf stehenden Zugangsdaten - sind hier Nutzer des entsprechenden Unternehmens enthalten?

• S. 334Erstellung eines generellen Lagebildes: Zielen Hacker-Gruppen im Moment auf bestimmte Organisationen ab? Ist aufgrund der geopolitischen Lage ein Unternehmen plötzlich exponiert?

Ein simpler und effektiver Weg ist die Registrierung des eigenen Unternehmens auf haveibeenpwned.com vorzunehmen. So erhält man immer eine Warnung, wenn eigene oder Zugangsdaten des Teams in irgendeiner Form öffentlich werden. Zwar deckt diese Plattform keine Untergrundforen ab, ist dafür aber auch kostenlos. Auch für Privatpersonen wird dieser Dienst angeboten.

3.3. Identitäten

Bei Identitäten handelt es sich prinzipiell um Accounts. Diese können an eine einzelne Person gebunden sein oder aber an einen Service (zum Beispiel einen Datenbank-, Service- oder Admin-Nutzer). Bei Identitäten gibt es - zusätzlich zum Thema Passwörter - einige Punkte zu beachten. So sollte man sich hier Gedanken über die Nachvollziehbarkeit von Aktionen und den Lebenszyklus von Identitäten/Accounts machen.

3.3.1. Nachvollziehbarkeit der Nutzer einer Identität

Im Idealfall sollten einzelne Aktionen innerhalb der Infrastruktur auf Personen rückführbar sein.

Aus diesem Grund sollten so weit wie möglich Accounts an einzelne Personen gebunden werden. Auch in Ihrer IT! Noch klarer wird dies, wenn man bedenkt, dass Mitarbeiter nicht ewig im Unternehmen bleiben werden.

3.3.2. Lebenszyklus von Accounts

Die Nutzer-Accounts von ehemaligen Arbeitnehmern eines Unternehmens bleiben oftmals auch lange nach Ende des jeweiligen Anstellungsverhältnisses aktiv. Besonders im Falle einer unharmonischen Beendigung könnte durch einen noch existierenden Zugang durchaus die Gefahr eines willentlichen Missbrauchs der Daten entstehen. Insbesondere bei geteilten Admin-Accounts ist diese Gefahrenquelle sehr heikel. Ein Unternehmen sollte sich daher stets die Fragen vor Augen S. 335halten: Wie viele Zugänge externer Dienstleister gibt es noch in der Umgebung? Wer kann sich noch in das System einloggen?

Um den Gefahren noch bestehender, aber nicht mehr benötigter Accounts zu begegnen sollte es eine regelmäßige Bereinigung von Altlasten in der eigenen Infrastruktur sowie einen Prozess zur Dekommissionierung und Rotation von Zugangsdaten bei Auflösung eines Dienstverhältnisses geben. Dies kann für Personen mit wenigen Berechtigungen recht einfach sein (einen Nutzer deaktivieren bzw löschen), wird mit steigender Anzahl der Berechtigungen aber immer komplexer: Besonders risikoreich ist vor allem die Stellung des Systemadministrators eines Unternehmens, der im Bereich der technischen Infrastruktur eine große Verantwortung trägt und dementsprechend über hoch privilegierte User verfügt.

3.3.3. Berechtigungsmanagement

Das Prinzip der niedrigsten Berechtigungen besagt, dass ein Nutzer immer nur so viele Rechte haben sollte, wie unbedingt für die eigene Arbeit benötigt. Das stellt eine Organisation vor schwere Aufgaben. Erstens muss man wissen, was genau überhaupt die benötigten Rechte sind. Zweitens ändern sich diese benötigten Rechte über Zeit - dies über die gesamte Belegschaft aktuell zu halten bindet Ressourcen. Da ist es natürlich viel einfacher, allen externen Dienstleistern und der internen IT direkt Admin-Rechte zu geben. Nur: Wird ein Nutzer-Account übernommen, der viel zu hochprivilegiert ist, haben Angreifer ein leichtes Spiel. Vor allem Unternehmen in der Software-Branche sind hier gefährdet: Programmierern fällt es tendenziell schwer, sich von Admin-Rechten am eigenen Gerät zu trennen. Wird jedoch einmal ein Entwickler-Rechner übernommen, besteht meist direkt Zugriff auf zentrale Systeme zur Auslieferung von Software.

Hier kann das so genannte Privileged Access Management (PAM) oder Privileged Identity Management (PIM) Abhilfe schaffen. Mit dieser Funktionalität muss sich eine Person erweiterte Rechte erst freigeben lassen. Außerdem sind die Rechte zeitlich beschränkt und der Prozess kann zusätzlich via einen zweiten Faktor noch einmal abgesichert werden. Wird also ein Nutzer-Account übernommen, hat der Angreifer nur niedrige Rechte und auch nicht die Chance, diese ohne weiteres zu erweitern, selbst wenn der gehackten Person eigentlich Vollzugriff auf die Infrastruktur möglich ist.

3.4. E-Mail und Browser

E-Mail ist nach wie vor eines der Haupteinfallstore, sei es durch Schadsoftware im Anhang oder das Erlangen von Zugangsdaten durch Phishing-Angriffe. Aber auch der Browser wird immer mehr zum Angriffsziel: Durch schädliche Online-S. 336Werbung wird Schadsoftware verteilt oder Google-Anzeigen leiten ahnungslose Benutzer auf die Webseite einer Software, die täuschend echt aussieht und auch die entsprechende Software zum Download anbietet - allerdings mit einem Trojaner versehen. Von Programmierer-Tools bis Passwortmanagern oder Software für Kreative wurde diese Art von Angriffen bereits beobachtet.

3.4.1. E-Mail-Filter

Viel besser noch als eine Betrugs-E-Mail, die als solche erkannt wird, ist eine, die nicht einmal den Weg in die Postfächer der potenziellen Opfer findet. Hier brillieren die Cloud-Dienstleister (Microsoft, Google) im Vergleich zu den klassischen E-Mail-Hostern. Je nachdem, über welchen Dienstleister Ihre E-Mails konfiguriert sind, müssen Sie hier kein zusätzliches Tool einführen.

3.4.2. Die „EXTERN“-Warnung

Als eine leicht zu implementierende Sofortmaßnahme (bei der die Wirkung nach einiger Zeit jedoch etwas nachlässt) ist eine Warnung zu sehen, die für jedes E-Mail, das nicht innerhalb der Organisation selbst verschickt wird, in ein E-Mail oder gar den Betreff eingefügt wird. Dies mitigiert Betrügereien, bei denen jemand beispielsweise eine ähnlich klingende E-Mail-Adresse wie die der Geschäftsführung anlegt, um so die Belegschaft anzugreifen.

3.4.3. Technische Sicherheitsmaßnahmen

Bedingt durch den aus IT-Sicherheits-Sicht nicht optimalen Aufbau der verwendeten Protokolle, kann prinzipiell jede Person von jeder E-Mail-Adresse ausgehend E-Mails versenden (den Absender also impersonieren) - einzig der empfangende Server kann dies auf Basis verschiedener Faktoren prüfen und eventuell verwerfen. Als Gegenmaßnahmen können die drei technischen Maßnahmen „Sender Policy Framework“ (SPF), „Domain Keys Identified Mail“ (DKIM) und „Domain-based Message Authentication, Reporting und Conformance“ (DMARC) implementiert werden. Diese stellen sicher, dass der Absender einer E-Mail entsprechend verifiziert werden kann.

3.4.4. Werbeblocker

Für viele Internet-User ist ein Werbeblocker heutzutage unverzichtbar. Auch aus Unternehmenssicht lohnt es sich, einen Werbeblocker in der gesamten Organisation zu implementieren. Via Werbebanner ausgespielter Schadcode wird ebenso nicht mehr geladen wie Suchmaschinenwerbung, die auf gefälschte DownloadS. 337webseiten weiterleitet. Auch der positive Einfluss auf die Mitarbeiterzufriedenheit ist nicht zu vernachlässigen, wenn nicht ständig Werbung „aufpoppt“.

3.5. Netzwerksegmentierung und Zero-Trust

Ist ein Netzwerk nicht oder unzureichend segmentiert, kann ein Angreifer Verbindungen zu Servern und Diensten aufbauen, die eigentlich nicht ermöglicht sein müssten. So ergibt sich für einen Angreifer eine viel größere Angriffsfläche. An anderer Stelle wurde bereits der Vergleich der Unternehmens-IT mit einer mittelalterlichen Stadt bemüht - einem Angreifer ist es so nach Überwinden der Stadtmauer möglich, jede Schatzkammer zu erreichen, ohne dass er an Bezirksgrenzen noch einmal kontrolliert wird.

In einer Unternehmensinfrastruktur gibt es viele Assets, die ausschließlich von Administratoren verwendet werden. Es könnte also ein eigenes Admin-Netzwerk erstellt werden, mit dem sich kein normaler User von seinem Rechner aus verbinden kann. Dies vermindert die generelle interne Angriffsfläche und legt den Angreifern Steine in den Weg - welche wiederum die Chance erhöhen, dass ein Angriff rechtzeitig bemerkt wird.

Zusätzlich vereinfacht ein segmentiertes Netzwerk das Handling eines Krisenfalles: Befinden sich Angreifer noch in einem Subnetz, kann dieses und somit auch der Angriff an sich abgegrenzt werden.

3.5.1. Remote-Arbeit

Im Zuge der COVID-19-Pandemie musste für viele Teammitglieder schnell die Möglichkeit geschaffen werden, auch von zu Hause aus auf das Unternehmensnetzwerk zuzugreifen. Dies hatte zur Folge, dass vermehrt Unternehmensgeräte in prinzipiell nicht vertrauenswürdigen Netzwerken unterwegs waren. Dieser „Kontrollverlust“ hat auch in der IT-Sicherheit weitreichende Folgen. Sind die Unternehmensgeräte unzureichend gehärtet und überwacht, können Angreifer sich unter Umständen über diese Rechner mit dem Unternehmensnetzwerk verbinden. Im LastPass-Hack 2022 wurde beispielsweise der Laptop eines Programmierers über eine Sicherheitslücke in einem Tool gehackt, welches dieser im Heimnetzwerk in einer veralteten Version installiert hatte. Dieser Einfallsvektor sollte jedenfalls in der Infrastruktur beachtet werden.

3.5.2. Zero-Trust

Die bisher beschriebenen Netzwerkkonfigurationen basieren bis zu einem gewissen Grad auf implizitem Vertrauen: Ist jemand innerhalb der Stadtmauer, wird ihm S. 338(mehr) vertraut. Alles außerhalb der Stadtmauer muss zuerst entsprechend verifiziert werden.

Der Zero-Trust-Ansatz räumt mit diesem impliziten Vertrauen auf, in dem er davon ausgeht, dass Bedrohungen überall lauern können, und dass dementsprechend auch eigentlich „interne“ Zugriffe, beispielsweise eines Administrators auf ein Management-Tool, so abgesichert sein sollten, wie der Login in eine offen im Internet zugängliche Plattform. Dies macht die Ausbreitung von Angreifern dementsprechend schwer.

3.6. Asset- und Patchmanagement

Zwischen dem Veröffentlichen eines Sicherheitsupdates für ein Produkt und der Ausnutzung der durch das Update behobenen Lücke liegen inzwischen oft nur mehr wenige Stunden bis Tage. Die Durchführung des Updates in einem Unternehmen braucht in den meisten Fällen deutlich länger, vorausgesetzt, dass dem Unternehmen überhaupt bewusst ist, dass es die entsprechende Software benutzt. Daraus ergibt sich eine der größten Herausforderungen der IT-Sicherheit: Das Asset- und Patchmanagement.

Beim Asset Management geht es darum, eine möglichst aktuelle Übersicht aller Geräte, User, Software (und die Version ebendieser), Cloud-Ressourcen - kurz: aller IT-Assets - zu haben. Ohne eine solche besteht keine Chance, auf neue Sicherheitslücken und damit die Ausnutzung ebendieser zu reagieren. Hat man so ein Verzeichnis, führt dies direkt zur nächsten Herausforderung: Es ist fast unmöglich, die gesamte Infrastruktur laufend am neuesten Stand zu halten. Es muss daher einen Prozess zur Priorisierung und dem schnellstmöglichen Einspielen von (Sicherheits-)Updates geben. Dies wird allgemein als Schwachstellen- oder Patchmanagement bezeichnet.

Zum Glück gibt es inzwischen Abhilfe: Beispielsweise können die meisten XDR-Lösungen so ein Asset-Inventar vollautomatisiert erheben und mit Schwachstellendatenbanken abgleichen. Dieser Ansatz birgt jedoch Tücken: Gibt es sog „Schatten-IT“, also Assets, von denen nicht bekannt ist, dass sie existieren (zum Beispiel eine Webseite, die von der Marketing-Abteilung via Agentur auf einem Shared Webhoster installiert wurde) oder Cloud-Assets, auf denen die Lösung nicht installiert werden kann, so können hier Schwachstellen in Systemen existieren, von denen die IT nicht einmal weiß, dass es sie gibt.

Auch hier kann man sich die Denkweise von Angreifern zu Nutze machen, indem beispielsweise alle externen IP-Adressen des Unternehmens sowie das interne Netzwerk regelmäßig Schwachstellenscans unterzogen werden. Diese scannen Systeme „von außen“ und können so sowohl Schatten-IT entdecken, als auch mit anderen Ansätzen unentdeckte Schwachstellen finden.

S. 3393.7. Backup-Konzept

Generell hat die IT-Sicherheitsbranche wenig Vertrauen in die Fähigkeit von Unternehmen, Angriffe rechtzeitig zu erkennen und abzuwehren. Aufgrund der grundlegenden Asymmetrie von Cyberangriffen muss davon ausgegangen werden, dass es einer Hacker-Gruppe in Zukunft einmal möglich sein wird, den Betrieb eines Unternehmens zumindest teilweise empfindlich zu stören. Wird dieser Fakt akzeptiert, ergibt sich daraus die Notwendigkeit, zumindest die Wiederherstellung des Unternehmens aus Sicherungen möglichst schnell und mit möglichst wenig Datenverlust zu gestalten.

Ein besonders wichtiger Faktor ist es, nicht veränderbare (oder gar Offline-) Backups zu haben. Wie in der Vorgehensweise von Ransomware-Gruppen beschrieben, werden Backups aktiv gejagt - kein Wunder: Ein Unternehmen, welches nicht einmal mehr die Chance hat, den Betrieb aus Backups wiederherzustellen, wird schneller gewillt sein, Lösegeld zu bezahlen.

Für Ihr individuelles Backup-Konzept wenden Sie sich am besten an IT-Dienstleister oder andere Personen mit dem benötigten Know-how.

3.8. Bewusstsein

Um stattfindende Angriffe und Betrugsfälle frühzeitig erkennen zu können, ist es empfehlenswert, sich als Privatperson über neue Betrugsmaschen informiert zu halten und als Unternehmen das Bewusstsein um mögliche Angriffe gegen die Organisation zu schaffen. Im wirtschaftlichen Kontext klassisch als „Awarenesstraining“ bezeichnet, sollte in der gesamten Belegschaft zumindest geschult werden:

Aber nicht nur der klassische Endnutzer sieht sich Angriffen ausgesetzt - auch technischere Rollen sollten diese Trainings erhalten. Erfahrungsgemäß herrscht bei technisch versierteren Personen oft die Denkweise vor, dass einem das doch nie passieren würde. Gerade weil technisch versierte Personen durch ihr Wissen bei „klassischen“ Phishing-Angriffen einen großen Vorteil haben, kommt es zu anderen, viel perfideren Angriffen gegen diese. Es sollte diesen oft hoch privilegierten Rollen (Systemadministratoren, Programmierern, Helpdesk) klar sein, dass sie weitreichende Rechte haben und was dies für ihren Alltag bedeutet.

S. 3403.9. Unternehmenskultur

Natürlich hat auch die Unternehmenskultur Auswirkungen auf die IT-Sicherheit im Unternehmen. Viele schwerwiegende Angriffe konnten nur verhindert werden, weil eine Person, die auf einen Phishing-Link klickte und Zugangsdaten eingegeben hat, keine persönlichen, finanziellen und rechtlichen negativen Konsequenzen befürchten musste.

Wichtig ist es hier, dass im gesamten Team ankommt, dass es besser ist, einen Verdacht zu melden, als ihn zu verschweigen und dass hier seitens der Führungskräfte (oder IT-Abteilung) keine negativen Folgen zu erwarten sind. Vielmehr sollten diese Personen positiv hervorgehoben werden. Auch das Ansprechen von vermeintlich nicht zur Organisation gehörenden Personen sollte normalisiert werden.

3.10. Datenschutz

Oft unterschätzt wird die Auswirkung des Themas Datenschutz auf die IT-Sicherheit eines Unternehmens. Werden - wie in der DSGVO vorgesehen - entsprechende Verzeichnisse geführt, können diese sehr gut zur Priorisierung und Bewertung der Unternehmenssysteme verwendet werden. Auch der Grundsatz zur Datenminimierung sowie der Datenlöschung sind hier sehr zu begrüßen, da diese die Angriffsfläche sowie den potenziell möglichen Schaden stark minimieren - es kann von Hackern nur erbeutet werden, was auch existiert.

3.11. Cyberversicherung

Nach erfolgreicher Implementierung aller bisher beschriebenen Maßnahmen bleibt dennoch ein Restrisiko - vollkommene Sicherheit kann nie gewährleistet werden. Für dieses Restrisiko - und ausschließlich dieses Restrisiko - ist es sinnvoll, eine Cyberversicherung abzuschließen. Hier sei davor gewarnt, diese Versicherung in irgendeiner Form als Fangnetz oder alleinige Absicherung zu betrachten: Erstens verlangen Versicherungen inzwischen einen gewissen Reifegrad hinsichtlich IT-Sicherheit. Zweitens sind viele der größten und wichtigsten Maßnahmen im Schadensfall nicht durch eine Versicherung geboten, beispielsweise die Wiederherstellung des Unternehmens oder das Setzen der notwenigen Schritte im Krisenmanagement bezüglich der Kunden, Belegschaft und sonstiger Stakeholder.

4. Proaktiv für den Ernstfall planen

Zusätzlich zur generellen Verbesserung können auch proaktiv Vorbereitungen für den Ernstfall - zum Beispiel eines erfolgreichen Angriffes einer Ransomware-Gruppe - getätigt werden.

S. 3414.1. Notfallplan

Eingebettet im breiteren Rahmen des Business Continuity Management ist ein Notfallplan ein Dokument, welches unterschiedliche Szenarien (wie auch mögliche Cyberangriffe) und die dementsprechend zu tätigenden Maßnahmen beinhaltet. Wichtige Punkte bei der Erstellung eines solchen Planes können sein:

• Kontaktdaten aller relevanten Personen (auch Kommunikationskanäle außerhalb der Organisation, zB das private Mobiltelefon).

• Wer wird wann von einem Vorfall informiert und was ist die Rolle der entsprechenden Person?

• Von wem wird die Forensik durchgeführt? Wie werden die Ergebnisse Dritten zur Verfügung gestellt?

• In welcher Reihenfolge werden Systeme wiederhergestellt?

• Unternehmensexterne Ressourcen: Die Kontaktdaten der Incident Responder, der Cyberversicherung, Rechtsanwälten, PR-Beratern und wie diesen Parteien welche Informationen zur Verfügung gestellt werden.

• Informationen zur Cyberversicherungs-Polizze.

• Möglichst aktuelle Dokumentation des Netzwerkes und sonstiger IT-Assets.

• Handling der Übergabe in die längerfristige Wiederherstellung.

• Vorformulierte Statements an das Team, Kunden und sonstige Stakeholder.

• Rechtliche Rahmenbedingungen (zB Meldepflichten).

Externer Input kann bei der Formulierung des Notfallplans sehr wertvoll sein. Existiert eine brauchbare Version dieses Planes, so sollte dieser (inklusive aller Anhänge) ausgedruckt (!) und auffindbar abgelegt werden. Ein Notfallplan, auf den aufgrund eines verschlüsselten Fileservers nicht mehr zugegriffen werden kann, ist nicht besonders hilfreich.

4.2. Kontakte zur Incident Response

Die Wahrscheinlichkeit ist sehr hoch, dass im Fall eines schwerwiegenden IT-Security-Vorfalls die Situation nicht mehr nur mit internen Ressourcen behoben werden kann. In diesem Fall ist es lohnend, ein Verzeichnis bekannter Incident-Response-Unternehmen zur Hand zu haben, die Erfahrung sowohl in der Wiederherstellung als auch der forensischen Analyse besitzen. Diese Unternehmen bieten auch Service Level Agreements, bei denen sie für eine monatliche Summe garantieren, innerhalb kürzester Zeit zur Verfügung zu stehen. Je nach Gefahrenmodell sollte hier also so ein Vertrag existieren. Die Unternehmen, die Incident Response anbieten, sind meist sehr gut gebucht.

4.3. Parallelinfrastruktur für den Notfall

Ist tatsächlich potenziell die gesamte Infrastruktur von einem Cybersecurity-Vorfall betroffen, so müssen auch die internen Kommunikationsmöglichkeiten als S. 342kompromittiert betrachtet werden. In manchen öffentlich gewordenen Fällen war es den Hackern durch ihren Zugriff auf die interne Kommunikation möglich mitzuverfolgen, wie das Unternehmen versuchte, die Daten wiederherzustellen.

Eine Parallelinfrastruktur zur Kommunikation kann beispielsweise wie folgt aussehen:

• Eine physische, ausgedruckte Liste der wichtigsten Personen und ihrer Telefonnummern.

• Ein paralleler Kommunikationskanal (beispielsweise eine Messaging-App-Gruppe oder direkt ein Drittanbieter-Dienst, der nichts mit der eigenen Infrastruktur zu tun hat).

• Im Falle einer Microsoft-Azure-Cloud-Infrastruktur: Ein paralleler Tenant, in dem alle für die Vorfallbehandlung wichtigen Personen bereits vorangelegt sind und der nur im Extremfall aktiviert wird.

5. Den Ernstfall testen

Um Kenntnis über die Stärke des verwendeten technischen Schutzes zu erlangen, ist meist ein realer oder simulierter Test des Extremfalls notwendig. Bei diesen Tests lohnt es sich, die Angreifersicht einzunehmen. Die Dienstleistungen des Penetrationstests und des Red-Teamings existieren genau zu diesem Zweck. Testgegenstand können hier die Angriffe selbst oder die Wiederherstellung sein. Beides kann sowohl aus technischer als auch organisatorischer Sicht betrachtet werden.

Abb 1: Möglichkeiten, den Ernstfall zu testen

S. 3435.1. Backup-Test

Ein Backup, welches nicht wieder einspielbar ist, ist kein Backup. Bei dieser Form des Tests, auch Recovery-Test genannt, wird versucht, verschiedene Systeme durch existierende Backups komplett wiederherzustellen. Was einfach klingt, birgt in den meisten Fällen mehrere Überraschungen und Erkenntnisse. So kann es zum Beispiel sein, dass die Wiederherstellung bestimmter Systeme viel länger dauert, als erwartet und der zu erwartende Schaden durch Stillstand im Fall eines Cybersecurity-Vorfalls (hierbei muss es sich nicht einmal um Cyberkriminalität handeln) tatsächlich viel höher ist als angenommen.

5.2. Tabletop-Simulationen

Analog zu klassischen Pen-and-Paper-Rollenspielen wie Dungeons and Dragons werden bei Tabletop-Simulationen reale Angriffsszenarien (beispielsweise aus einem Gefahrenmodell) durchgespielt. Hierbei werden (nach einer Vorbereitungsphase in kleinerer Runde) alle Personen mit für das durchzuspielende Szenario benötigten Fähigkeiten und Verantwortlichkeiten in einen Raum geholt und unter Anleitung eines Game Masters durch das Szenario geleitet. Der Game Master fordert auch die Annahmen aller Teilnehmer heraus: Schafft es die IT beispielsweise wirklich, vier Standorte zeitgleich wiederherzustellen? Eine Tabletop-Simulation identifiziert eventuelle Schwächen im eigenen Notfallplan. Auch werden potenzielle Konflikte zwischen Abteilungen (zum Beispiel, wenn es um die Priorisierung der Dienste in der Wiederherstellung geht) sichtbar.

5.3. Penetrationstests

Ein Penetrationstest ist ein meist technischer Test einer Applikation oder Infrastruktur unter Anwendung der Taktiken, Tools und Prozeduren der möglichen Angreifer. Ziel hierbei ist es jedoch nicht, unentdeckt zu bleiben (dies würde den Test viel aufwendiger machen), sondern eine möglichst gute Testabdeckung in Form möglichst vieler getesteter Systeme und Schwachstellen zu erzielen. Das Ergebnis hierbei ist ein Report, der gefundene Schwachstellen und generell Potenziale zur Verbesserung aufzeigt. Die Schwachstellen werden im Idealfall behoben und durch die Tester noch einmal verifiziert.

5.4. Red-Teaming

Zwar nutzen Red Teams prinzipiell dieselben Taktiken wie Penetrationstester, jedoch gehen Red Teams viel vorsichtiger vor und versuchen unentdeckt zu bleiben. Auch ist das Ziel keine möglichst breite Testabdeckung, sondern die Erreichung von im Vorhinein festgelegter und für die Zielorganisation kritischer Ziele. In der getesteten Organisation wissen nur sehr wenige Personen von einem stattS. 344findenden Test. Beim Red-Teaming wird neben den technischen Systemen die Organisation selbst, im konkreten das so genannte Blue Team, also die „Verteidiger“ getestet:

• Wie steht es um die Sichtbarkeit? Bestimmte Aktionen sollten in den Tools des Blue Teams aufscheinen. Warum tun sie das nicht?

• Wie gut wird auf entdeckte Angriffe reagiert? Wie weit wird hier analysiert? Wird nur der eine konkrete aufgeflogene Zugang gekappt oder wird eine fundierte Analyse der gesamten Angriffskette durchgeführt? Ist so eine fundierte Analyse mit der vorliegenden Datenbasis effektiv durchführbar?

Aufgrund der besonderen Vorsicht und der dafür benötigten Ressourcen machen Red-Teamings hauptsächlich für Organisationen mit entsprechendem Gefahrenmodell, entsprechendem Reifegrad und entsprechender Größe sowie Budget Sinn.

6. Fazit

In diesem Kapitel wurde ein Überblick über die vielfältigen Maßnahmen gegeben, welche Unternehmen - und bis zu einem gewissen Grad auch Privatpersonen - tätigen können, um auf Cyberangriffe bestens vorbereitet zu sein oder diese gar nicht erst erfolgreich werden zu lassen. Zusätzlich zur Umsetzung der Maßnahmen empfiehlt sich, sich auf den Ernstfall vorzubereiten und diese Vorbereitung auch einer möglichst realistischen, extern unterstützten Prüfung zu unterziehen. Wie schon an anderer Stelle erläutert: Jemand, der an der Umsetzung von Maßnahmen oder der Erstellung von Plänen maßgeblich beteiligt war, kann per Definition blinde Flecken nicht ausfindig machen.