„Always-on“-Risikobewertung gegen Angst
Keine Frage, IT-Bedrohungen können Angst machen. Aber wird übertrieben? Nun die individuelle Bedrohungslage ist abhängig sowohl von äußeren Faktoren als auch internen Faktoren, deren Risikopotenzial betrachtet werden muss, erläutert Richard Werner.
Vielleicht kennen Sie die Situation: Sie sitzen mit Freunden in der Kneipe zusammen und reden über Ihre Arbeit. Um Sie herum verstummen die Gespräche und man hört Ihnen zu. Als Cybersicherheitsexperte kennen Sie viele Geschichten darüber, wie es Angreifern gelingt, harmlose IT-Nutzer auszutricksen, über Angriffsschemata, mit denen Kriminelle nachweislich Milliarden verdienen und die immer wieder erfolgreich sind. Die Stories können einem den kalten Schauer über den Rücken jagen, und jeder Mensch hört schließlich gern Horrorgeschichten, solange er nicht selbst in eine verstrickt ist. Keine Frage, IT-Bedrohungen können Angst machen. Aber wird übertrieben, oder sind wir Sicherheitsexperten wohl nicht deutlich genug?
In der „guten alten Zeit“ (wörtlich gemeint) war Life-Hacking bei jeder größeren Veranstaltung das Mittel, um Kunden zu beweisen, dass Cyberattacken eine ernsthafte Gefahr für Unternehmensnetze darstellen. Über relativ einfache Demonstrationen wurde damals gezeigt, wie schnell ein erfolgreicher Angriff erstellt und wie einfach dieser mit dem jeweiligen Produkt erkannt und behoben werden konnte. Heutzutage muss niemandem mehr bewiesen werden, dass Cyberattacken jeden treffen können. Das erfährt man aus den Nachrichten.
Quellenlage - extern
Oft ist es Unwissenheit beziehungsweise mangelnde Informationen, die uns Angst machen. In der IT-Security haben wir den gleichen Effekt, aber durch eine Überfülle an Informationen. Etwa 2500 auf IT-Security spezialisierte kommerzielle Unternehmen, Strafverfolgungs- (z.B. BKA, FBI), Regierungsbehörden (BSI, ENISA…) sowie diverse Non-Profit-Organisationen (etwa MITRE) setzen sich aus unterschiedlichsten Motivationen mit Cyberbedrohungen auseinander. Dafür wird jede Bewegung der Gegenseite analysiert, diskutiert und dokumentiert. Erkenntnisse werden veröffentlicht, Warnungen ausgesprochen.
Und immer wieder erscheinen Nachrichten über erfolgreiche Cyberattacken. Jeden Tag gibt es hunderte Meldungen rund um das Thema Cybersicherheit. Aber nicht alles davon ist relevant. Cyberkriminalität ist ein internationales Geschäft, das auf die „Bedürfnisse“ seiner Kunden/Opfer eingeht. Diese sind sehr unterschiedlich, je nach geografischem Standort und abhängig davon, ob es sich um Unternehmen oder Privatpersonen handelt. So sind in Brasilien kursierende Bankentrojaner für den deutschen Onlinekunden völlig ungefährlich, da dort andere Formen der Authentifizierung gefordert werden. Auch die große Menge der Android Malware sollte nicht darüber hinwegtäuschen, dass viel davon ausschließlich deshalb existiert, weil chinesische Anwender ihre Apps nicht aus dem offiziellen Google App Store beziehen. Daher gilt es, die für die eigene Situation relevanten Informationen von den irrelevanten zu trennen. Und die Angst, die wir als Fachleute haben, besteht darin, etwas Wichtiges zu übersehen.
Quellenlage - intern
Wir müssen aber auch die andere Seite betrachten. Um sich vernünftig verteidigen zu können, muss man die eigene Situation verstehen und vor allem mögliche Schwachstellen kennen. In der normalen Unternehmens-IT gibt es diesbezüglich oft unangenehme Überraschungen. Bei einer Netzwerkuntersuchung stellen viele fest, dass Altsysteme, die gar nicht mehr existieren sollten, weiter vor sich hinsenden. Auch zahlen manchen Unternehmen für Cloud-Instanzen, die schon seit Monaten nicht mehr genutzt werden. Konfigurationseinstellungen oder auch nur Inventarlisten für verwendete Applikationen sind gar nicht oder unvollständig dokumentiert, und immer wieder gibt es Situationen, in denen die IT-Sicherheitsabteilung des Unternehmens nicht mehr in alle IT-Projekte involviert ist.
Aber selbst wenn die gesamte IT sauber gepflegt ist -- um erfolgreiche Angriffe zu erkennen, müssen Informationen gefiltert und die essenziellen vom Datenmüll getrennt werden. Das heißt, es gilt, täglich tausende Log-Informationen zu analysieren und mit den aktuellen Angriffsmethoden zu korrelieren, und das alles individuell nur für die eigene Umgebung. So ist die gerade angekündigte superkritische „BSI – roter Alarm“- Sicherheitslücke eigentlich nur dann bedrohlich, wenn es angreifbare Systeme gibt, während von der seit drei Jahren bekannten jetzt neu von Ransomware-Gangs für sich entdeckten Sicherheitslücke keine Rede mehr ist. Die wurde damals aus Zeitgründen nicht getestet, oder weil es Probleme gab, Patches nicht implementiert und dies irgendwie nie nachgeholt. Nun wird sie von den Angreifern dazu ausgenutzt, Privilegien zu ergattern, die normale Nutzer-Accounts nicht haben sollten. Das Risiko, gegen eine Cyberattacke zu verlieren, hat sich dadurch gerade stark erhöht. Gegenmaßnahmen könnten die Verantwortlichen selbstverständlich einleiten, wenn sie davon wüssten. Aber die Lücke ist eine von hunderten, die der Schwachstellen-Scanner jedes Mal ausspuckt, wenn er gestartet wird. Und das wie gesagt seit drei Jahren!
Geänderte Aufgabe der IT-Security-Technologie
Nicht zuletzt auf Grund der Tatsache, dass das BSI in aktuellen Veröffentlichungen von einer „erhöhten Bedrohungslage“ spricht, muss der Ernstfall einer Cyberattacke als Risikofaktor für den Fortbestand der Geschäftstätigkeit qualifiziert werden. Die Geschäftsleitung benötigt für diese Aufgabe eine Analyse der IT-Security, um die Angriffsoberfläche zu kennen und auf Schwachstellen zu analysieren sowie diese in ihrer Bedrohlichkeit einzuschätzen. Schwachstellen können dabei sowohl Software-basiert sein (fehlende Patches) als auch andere Ursachen haben (z.B. Fehlkonfigurationen oder fehlende Prozesse zur Informationsübermittlung).
Hier muss moderne IT-Sicherheitstechnologie ansetzen. Denn kein Unternehmen kann den Überblick über täglich hunderte neue Entwicklungen im Bereich der Cyberkriminalität behalten und diese mit tausenden Informationen, oft über verschiedene Abteilungen hinweg koordinieren. Dies müssen automatisierte Werkzeuge übernehmen, die in beiden Welten zu Hause sind, kurz IT-Sicherheitstechnologie.
Doch gab es früher gesicherte Erkenntnisse darüber, wie z.B. Viren oder Trojanern aussehen, so müssen heute kleinste Indikatoren aufgenommen und zu einem Bild zusammengesetzt werden. Hat beispielsweise der Aufruf einer bislang unbekannten Webseite damit zu tun, dass Unternehmenszugangsdaten zuletzt auf einer Darkweb-Seite gehandelt wurden? Oder hängen die ungewöhnlichen neuen Logeinträge mit einer auf dem System vorhandenen ungepatchten und bekanntlich von Cyberkriminellen verwendeten Sicherheitslücke zusammen? Solche Fragen sind keine Beweise im traditionellen Sinn, sollten in der heutigen Risikobetrachtung aber unbedingt berücksichtigt werden.
Ja, eigentlich muss die Betrachtung schon im Vorfeld einsetzen: in Form einer sich ständig aktualisierenden Risikobewertung, die mögliche Gefahrenherde ausweist und qualifiziert - die ungepatchte aber verwendete Sicherheitslücke, der im Darkweb gehandelte User Account. Hier setzt Trend Micro mit der Trend Micro One Plattform an und bietet Unternehmen eine „Always-on“-Risikodiskussion.
Fazit
Nun, eine eindeutige Antwort auf die Frage -- Wie groß ist die Bedrohung tatsächlich? – ist nicht möglich. Denn die individuelle Bedrohungslage ist abhängig sowohl von äußeren Faktoren, wie z.B. der geopolitischen Lage, der Spezialisierung von Angreifern, Verbindungen zu anderen Firmen, etc., als auch von den individuellen Verteidigungsfähigkeiten. Alle diese Faktoren können sich jederzeit ändern. Die Entdeckung einer neuen Sicherheitslücke vom Kaliber Log4Shell kann bedeuten, dass ein sicher geglaubtes Unternehmen über Nacht Cyberangriffen offen steht, aber auch eine neue Hackergruppe, die aus welchen Gründen auch immer Unternehmen einer bestimmten Branche im Visier hat, gehören heute zu den Risikofaktoren die berücksichtigt werden sollten.
Eine allgemeine Betrachtung der Lage ermittelt Trend Micro im für Regionen spezifischen Cyber Risk Index. Um diese Informationen individuell beurteilen zu können, benötigt man neben den externen Faktoren auch die interne Sicht. Diese wird im Rahmen der Trend Micro One Risikobetrachtung ermittelt und mit den äußeren Faktoren korreliert. Auf Grundlage all dieser Informationen können Sie dann immer noch entscheiden, ob Sie Angst haben müssen.
Übrigens: Die Lifehacks gibt es immer noch. Nur zahlen heutzutage Unternehmen dafür. Sie heißen dann auch Red Teaming oder Pen Testing und sind natürlich wesentlich ausgefeilter als die einst einstudierten Vorführungen.