Abwehr zielgerichteter Angriffe – die Paradedisziplin der Informationssicherheit

Kommentieren Drucken

Zielgerichtete Angriffe, im Englischen Advanced Persistent Threats (APTs), zur Spionage und Sabotage der IT von Unternehmen, Behörden, politischen Institutionen und insbesondere auch kritischer Infrastrukturen (KRITIS) haben seit mehreren Jahren eine kontinuierliche Präsenz in den Statistiken zu Informationssicherheitsvorfällen.

Von APTs geht ein erhebliches Gefährdungspotential aus, und es ist sogar schon vorgekommen, dass am Ende einer Abwehrschlacht eine Komplettsanierung der IT anstand, wie der Angriff auf den Deutschen Bundestag vom Juni 2015 eindrucksvoll gezeigt hat.

Es wäre nun fatal zu denken, man selber könnte nie Ziel eines solchen Angriffs werden. Eine typische Frage ist hier: „Was könnte ein Angreifer bei mir schon holen?“. Eine Antwort kann z.B. einfach sein: Identitäten. Es hat schon APTs gegeben, die zunächst eine Institution angegriffen und kompromittiert haben, um das eigentliche Angriffsziel durch E-Mails, die nachvollziehbar von einer vertrauenswürdigen Quelle (nämlich der zunächst angegriffenen Institution) stammen, leichter angreifen zu können. Als Beispiel kann hier ein Angriff auf das Weiße Haus in den USA im Jahr 2015 [1] genannt werden. Hier hatte der Angreifer zunächst das Außenministerium gehackt, um dann von dort aus am Weißen Haus mit bösartigen Phishing Mails anzugreifen [2].

Außerdem gibt es einen weiteren gefährlichen Trend. Wie dem Lagebericht des BSI 2016 zu entnehmen ist, „findet ein Technologietransfer aus dem Bereich der Advanced Persistent Threats (APT) hin zu den allgemeinen Schadprogrammen statt“ [3]. Dieser Technologietransfer hat sich z.B. im Bereich der Kryptotrojaner schon deutlich gezeigt.

Um Abwehrstrategien gegen APTs entwickeln zu können, ist es entscheidend die Vorgehensweise und den Werkzeugkasten der Angreifer zu verstehen („Know your enemy!“) und die eigene IT mit den Augen eines potentiellen Angreifers zu sehen.

1. Was genau ist ein zielgerichteter Angriff?

Ein zielgerichteter Angriff hat ein fest umrissenes Angriffsziel, läuft typischerweise in mehreren Phasen ab und kombiniert unterschiedliche, aufeinander aufbauende Angriffstechniken. Der englische Begriff APT beschreibt die Charakteristiken sehr treffend:

  • Advanced: Der Angreifer hat Know-how und nutzt fortgeschrittene Techniken. Das heißt natürlich nicht, dass der Angreifer nicht auch auf frei verfügbare Werkzeuge zurückgreift.
  • Persistent: Ein APT kann sich über einen längeren Zeitraum hinziehen und der Angreifer arbeitet sich ausdauernd zum Angriffsziel vor und wartet auch geduldig auf sich bietende Angriffsgelegenheiten. Je nach Angriffsziel kann der Angreifer zum Dauergast in der angegriffenen Infrastruktur werden.
  • Threat: Der Angreifer nutzt systematisch Schwachstellen aus, die er in der angegriffenen Infrastruktur vorfindet. Im Extremfall werden auch sogenannte Day Zero Exploits eingesetzt, d.h. bisher unbekannte Ausnutzungen von (ggf. bis dato unbekannten) Schwachstellen, die die Organisation des Angreifers selbst entwickelt oder in der dunklen Seite des Internets eingekauft hat.

Typischerweise läuft ein APT in fünf Phasen ab (siehe Abbildung 1).

Phase 1: Auskundschaften / Zielerfassung
In der ersten Phase werden Spear Phishing, Watering-Hole-Angriffe und andere Varianten des Social Engineering eingesetzt. Beim Spear Phishing enthält eine als seriös getarnte E-Mail ein Attachment mit Schadsoftware oder einen Link auf eine schadenstiftende Web-Seite. Watering-Hole-Angriffe infizieren zielgerichtet Web-Seiten, die das Ziel potentiell besucht, z. B. eine spezielle Community, wie ein Developer-Forum.

Phase 2: Eindringen und Erstinfektion
In Phase 2 wird der in Phase 1 eingebrachte schadenstiftende Code dann ausgeführt und lädt typischerweise den eigentlichen Schädling auf das angegriffene System. Hierzu muss lediglich ein Internet-Zugang für das infizierte System erlaubt sein, das dann beispielsweise ein sogenanntes Remote Administration Tool (RAT) herunterlädt und ausführt. Das RAT unterhält dann eine Verbindung zur zentralen Infrastruktur des Angreifers, dem Command and Control Server (C&C). Diese Kommunikation ist natürlich nach den Regeln der Kunst verschleiert, d.h. die Kommunikation erfolgt verschlüsselt über mehrere Stufen (z.B. Systeme in einem Bot-Netz), die eine Nachverfolgung ausgesprochen schwer macht.

Phase 3: Folgeinfektion(en), Übernahme von erweiterten Rechten / weiteren Systemen
Nicht selten ist das zunächst angegriffene System nicht das eigentliche Ziel bzw. nicht das einzige Ziel. In der dritten Phase erfolgt dann die Ausbreitung des Angriffs im Netzwerk, indem Server, PCs von Administratoren und sonstige Systeme angegriffen werden. Ggf. wird hierfür zusätzliche Schadsoftware vom C&C geladen. Alternativ können auch auf dem kompromittierten Rechner vorgefundene Tools wie Shells, Windows Terminal Services, NetBIOS-Befehle oder Virtual Network Computing verwendet werden.

Phase 4: Datendiebstahl / Sabotage
In Phase 4 verrichtet der Angreifer über die Schadsoftware in der angegriffenen Infrastruktur seinen Dienst, indem er z. B. Systeme sabotiert oder Passworte, Dokumente, etc. überträgt. Bei einem Datendiebstahl befindet sich der eigentliche Ziel-Server wie eben skizziert über mehrere Stufen versteckt im Internet.

Phase 5: Verwischen von Spuren
Zuletzt vernichtet sich der Schädling selbst, mutiert, indem er neuen Schadcode nachlädt, oder löscht lediglich einen Teil seiner Komponenten bzw. Daten und legt sich zur Ruhe.

2. Warum sind zielgerichtete Angriffe so oft erfolgreich?

Der Erfolg zielgerichteter Angriffe hat zwei grundlegende Ursachen:

  • Das Ganze ist mehr als die Summe seiner Einzelteile
    Es werden system- und anwendungsübergreifende Angriffe ausgeführt. Hierdurch entsteht ein Kumulationseffekt hinsichtlich der ausgenutzten Schwachstellenlage. Hinzu kommen das mangelnde Bewusstsein bei Nutzern und Administratoren, die oft unzureichende Umsetzung von Sicherheitsmaßnahmen und zugehörigen Prozessen sowie auch eine Überschätzung der eigenen Security.
  • Ausnutzung längst bekannter Schwachstellen in der IT
    Oft müssen gar keine High-End-Angriffswerkzeuge eingesetzt werden, sondern es reichen allgemein verfügbare Freeware Tools. Beim oben genannten Bundestags-Hack 2015 haben die Angreifer unter anderem auch auf das in der Praxis bewährte Tool mimikatz [4] urückgegriffen, um über Schwachstellen in Windows-PCs an Credentials für die Anmeldung an Admin-Konten heranzukommen [5].

3. Gibt es Symptome eines zielgerichteten Angriffs?

In den Phasen 1 und 2 des Angriffs finden sich z. B Malware in E-Mail-Anhängen oder auf Web-Seiten und in Folge Backdoor-Trojaner auf Endgeräten. Hier ist zwar eigentlich der Virenschutz gefordert, nur gelingt es den Angreifern immer wieder sich erfolgreich am Virenschutz vorbei zu schmuggeln.

In den weiteren Phasen eines APT gibt es gewisse Symptome, die auf den Angriff hindeuten können.

In der dritten Phase des Angriffs kann beispielsweise die Zahl der Anmeldungen an Konten mit erweiterten Rechten zunehmen. Dies ist oft auch häufig außerhalb der regulären Arbeitszeit zu verzeichnen. Auch Log-Einträge, die auf gehäufte Fehlanmeldungen an einem System / Konto hindeuten, oder solche, die auf den Stopp / Neustart sicherheitsrelevanter Dienste wie Virenschutz oder Firewall hindeuten, können ein Indiz für einen zielgerichteten Angriff in der Phase 3 sein. An dieser Stelle wird oft die Rolle einer (zentralen) Protokollierung unterschätzt. Die typische Maßnahme, fehlerhafte Anmeldeversuche an Systemen und Anwendungen zentral zu protokollieren und ggf. eine Alarmierung auszulösen, kann solche Angriffe nämlich durchaus aufdecken. Wie die WirtschaftsWoche im Dezember 2016 berichtet hatte, ist z. B. ein massiver Cyberangriff auf Thyssen Krupp dadurch aufgefallen, dass mehrere fehlerhafte Anmeldeversuche auf einem Server verzeichnet wurden.

Während der Phase 4 eines zielgerichteten Angriffs können große Datenbestände an ungewöhnlichen Speicherorten und / oder komprimierte Daten in einem für die betreffende Institution unüblichen Format auffallen. Auch ausgehende Verbindungen zu Servern mit schlechter Reputation, z. B. für schadenstiftende Inhalte bekannte Server oder bekannte C&C Server, deuten auf einen zielgerichteten Angriff hin. Ein weiteres Indiz können ungewöhnliche bzw. große insbesondere ausgehende Datenströme oder ungewöhnliche verschlüsselte Netzverbindungen sein.

4. Maßnahmen

Um zielgerichtete Angriffe erkennen und abwehren zu können, werden system- und anwendungsübergreifende Strategien benötigt. Hierzu reichen jedoch technische Maßnahmen alleine nicht aus! Mindestens genauso wichtig sind organisatorische Maßnahmen, wie beispielsweise die Sensibilisierung aller Mitarbeiter. Damit diese Maßnahmen nachhaltig zusammenwirken und sich ergänzen, ist als Basis ein Information Security Management System (ISMS) unentbehrlich (siehe Bild 2).

4.1 Was taugen traditionelle Maßnahmen zur Abwehr von APTs?
Zunächst muss an dieser Stelle festgehalten werden, dass bestehende, traditionelle technische IT-Sicherheitsmaßnahmen ihren festen Platz auch in der Bekämpfung zielgerichteter Angriffe haben (siehe Bild 3). Denn jede Maßnahme, die es einem Angreifer erschwert seinen Angriff durchzuführen, ist eine sinnvolle Maßnahme.

Traditionelle technische IT-Sicherheitsmaßnahmen

Intrusion Detection and Prevention Systems (IDPSs) ermöglichen auf der Basis von Signaturen und mit statistischen Methoden eine Erkennung von Anomalien im Netzverkehr, die auf Schadsoftware bzw. allgemein auf einen Angriff hindeuten können. Je nach Policy kann dann ein als schadenstiftend erkannter Verkehr vom IDPS geblockt werden. Da der Einsatz einer IDPS-Funktion z.B. in einer Firewall mit erheblichen Einbußen in der Performance verbunden ist, erfolgt meist nur ein punktueller Einsatz an kritischen Netzübergängen. Damit hat ein IDPS das grundsätzliche Problem, dass es nur einen kleinen Ausschnitt der Gesamtinfrastruktur sieht und daher system- und anwendungsübergreifende Angriffsmuster ggf. gar nicht wahrnehmen kann. Außerdem analysiert ein IDPS den Verkehr auf Ebene einzelner Pakete, d.h. sehr feingranular und kann daher kaum Ereignisse, zwischen denen eine längere Zeitspanne liegt, korrelieren.

Secure Web Gateways (SWGs) sind im Prinzip Proxies mit zusätzlichen Sicherheitsfunktionen und dienen zur Absicherung des Web-Zugriffs durch URL-Filterung, Malware-Scanning, Content-Filterung sowie Erkennung und Kontrolle von Anwendungen. Die Grenzen von SWGs sind für die Abwehr von APTs jedoch spätestens erreicht, wenn verschlüsselter Verkehr untersucht werden muss, da das Entschlüsseln von Verkehr oft nicht erlaubt ist. Außerdem erfordert der Einsatz von zentralen SWGs in den eigenen Rechenzentren, dass bei mobilen Mitarbeitern der Web-Zugriff ausschließlich über VPN erfolgt, was die Nutzung von Hotspots und auch für diverse Apps auf Smartphones und Tablets unmöglich machen kann.

Secure Email Gateways (SEGs) setzen neben dem klassischen Spam-Filter ähnliche Funktionen wie bei einem SWG ein, d.h. Virenschutz und Entfernen von schadhaften Anhängen, URL-Filterung und Überprüfung in E-Mail-Inhalten. Zur Lösung der offensichtlichen Probleme bezüglich Datenschutz und Postgeheimnis (z.B. Entschlüsselung zur Kontrolle von E-Mails) werden bei SEGs Nutzer-Quarantänen angeboten, wohin verdächtige E-Mails zur Untersuchung verschoben werden. Dies ist jedoch gerade bei einem Verdacht, der sich als falsch herausgestellt hat (sogenannter False Positive), mit Unbequemlichkeiten und einem Zeitverzug für den Nutzer verbunden. Nun ist der Dienst E-Mail aber auch nicht so Zeit-unkritisch, wie vielfach behauptet wird. Dieser Aspekt betrifft auch eine weitere Funktion von SEGs: die Sandbox – hierzu später mehr.

Unter den bewährten Schutzmethoden gibt es neben den eben genannten teils auf spezifische Anwendungszwecke bezogene Lösungen auch übergreifende, ganzheitliche Ansätze.
Hierzu zählen neben Netzzugangskontrolle (Network Access Control, NAC), um den Zugang zum Netz zu kontrollieren, die Verschlüsselung bei Transport und Ablage von Daten, Data Loss Prevention (DLP), um den Abfluss von Daten zu erkennen, und Lösungen für das Security Information and Event Management (SIEM), um Protokolldaten zu korrelieren und Sicherheitsvorfälle zu erkennen. Gerade die system- und anwendungsübergreifende Korrelation von Ereignissen in einem SIEM-System erweist sich als wichtiges Instrument zur Erkennung von APTs.

Als eine weitere Kernmaßnahme ist die Segmentierung von Netzen zu nennen. Zonenkonzepte sehen eine Trennung von Netzen sowohl in Rechenzentren als auch in Campus-LANs in Sicherheitszonen vor, um Kommunikation mit (kritischen) Systemen über ein kontrollierendes Sicherheitselement (Firewall ggf. mit IDPS-Funktion) zu führen. Mit den Mitteln der Netztrennung kann die Ausbreitung von schadenstiftender Software eingegrenzt und insbesondere die Angriffsfläche reduziert werden. Obwohl Zonenkonzepte recht aufwändig in Aufbau und Betrieb sind, haben sie sich zu einem Standardinstrument der Netzwerksicherheit etabliert. Interessant ist in diesem Zusammenhang ein Bericht des FBI, der einen APT analysiert, bei dem im letzten Jahr die Demokratische Partei im Rahmen der Präsidentenwahl in den USA angegriffen wurden [6]. Der Bericht listet in den empfohlenen Top-7-Sicherheitsmaßnahmen gegen APTs an der Position Nr. 4 Zonenkonzepte. An Position Nr. 3 wird in dem Bericht die Einschränkung und Kontrolle von administrativen Privilegien genannt und auch hier leisten Zonenkonzepte einen wesentlichen Beitrag.

4.2 Erweiterte technische Maßnahmen zur Abwehr von APTs
Die genannten traditionellen Maßnahmen sind zwar wichtig, haben aber nur eine eingeschränkte Wirkung gegen zielgerichtete Angriffe. Durch den speziellen Charakter von APTs sind erweiterte Maßnahmen notwendig, die oft unter dem Namen (Advanced) Threat Protection geführt werden (siehe Abbildung 4). Zu diesen gehören u.a. die Ausführung von Code in einer (virtualisierten) Sandboxumgebung, der Einsatz einer system- und anwendungsübergreifenden angriffsspezifischen Intelligenz zur Korrelation von Ereignissen über einen längeren Zeitraum, zur globalen Analyse von Angriffsschemata und Verhaltensmustern.

Dabei ist es wichtig, dass diese erweiterten Sicherheitsmaßnahmen mit den klassischen Sicherheitsmechanismen bzw. -komponenten interagieren können. Kommunikation, die über eine erweiterte Sicherheitsmaßnahme als zu einem Angriff gehörend identifiziert wurde, muss z.B. an der klassischen Sicherheitskomponente Firewall blockiert werden können. Ebenso könnte der klassische Sicherheitsmechanismus NAC dafür genutzt werden, Systeme, von denen durch erweiterte Sicherheitsmaßnahmen erkannt Angriffe ausgehen, in ein Quarantäne-Netz zu isolieren. (siehe Bild 5)

Die wesentlichen erweiterten Sicherheitsmaßnahmen werden im Folgenden vorgestellt.

Sandboxing
Die Funktion des Sandboxing, d.h. der Installation, Ausführung und Beobachtung von verdächtigem Code in einer dediziert bereitgestellten Umgebung, kann unterschiedliche traditionelle Sicherheitselemente sinnvoll ergänzen.

Neben Stand-Alone-Sandbox-Lösungen, wie z. B. von FireEye, findet man die Funktion inzwischen zum einen in Next Generation Firewalls (NGFWs) / IDPS / Unified Threat Management (UTM) Appliances, wie z. B. von Check Point Software, Palo Alto Networks, oder Fortinet. Zum anderen wird Sandboxing häufig als Erweiterung von SWGs (z. B. von Blue Coat oder Zscaler) oder SEGs (wie z. B. Proofpoint oder Cisco) genutzt.

Unabhängig von der Komponente, welche die Sandbox-Funktion realisiert, folgt die Technik einem gleichen Muster. Zunächst muss im Datenverkehr ein ausführbares Objekt (z.B. eine Datei) erkannt werden. Dann wird dieses Objekt in einer meist virtuellen Umgebung auf einem oder mehreren vorgefertigten VMs (z.B. einmal Windows XP, einmal Windows 7 und einmal Windows Server 2012) ausgeführt. Da dies immer Standard-Images sind, kann aufgrund eines geänderten Verhaltens der Maschine festgestellt werden, ob sich mit der Datei z.B. ein RAT mitinstalliert hat, das versucht Kontakt mit dem C&C Server aufzunehmen. Welches Systemverhalten nun auf welche Angriffsart Rückschlüsse erlaubt, muss nun mittels einer (immer aktuellen) Datenbank abgeglichen werden, die Muster für bekannte Angriffe beinhaltet.

Für unterschiedliche Realisierungen der Sandboxing-Funktion ergeben sich natürlich auch unterschiedliche Varianten der Integration in die Infrastruktur (siehe Bild 6).

Bei dieser Technik gibt es natürlich auch Tücken. Von der Abbildung von unternehmensspezifischen Images auf Prüfung gegen herstellerspezifischen Standardimages mal abgesehen, gibt es klassische Probleme wie Speicherplatz für virtuelle Maschinen, Datenschutzaspekte bei der Verwendung von Cloud-Lösungen, etc.. Darüber hinaus kann die geringe Akzeptanz von Wartezeit / Latenz, die durch Hochfahren, Ausführung und Scanning entsteht, bei (zumindest gefühlt) zeitkritischen Diensten dazu führen, dass die Sandbox ggf. nicht ausreichend effektiv konfiguriert wird. Außerdem passen Angreifer ihre Schadsoftware an Sandboxes an und vermeiden (z.B. einfach durch Passivität) ein Verhalten, das in einer Sandbox zur Einstufung als Schadsoftware führen würde.

Korrelation von Ereignissen mit Big Data
Big-Data-Analysemethoden können gut als Technologie für die Analyse von Merkmalen von zielgerichteten Angriffen genutzt werden, denn bei der Bekämpfung von APTs müssen Informationen aus unterschiedlichsten Quellen zusammengetragen und korreliert werden, um Verhaltensmuster extrahieren zu können, die potentiell auf einen APT schließen lassen.

Wenn alle Sicherheitskomponenten (inklusive Firewalls, IDPSs, SWGs, SEGs, Sandboxing-Lösungen) und zumindest alle exponierten oder kritischen IT-Systeme all ihre Ereignisprotokolle an eine zentrale Stelle bündeln, entsteht innerhalb kürzester Zeit eine enorme Datenmenge. Traditionelle SIEM-Lösungen können nun durch Big-Data-Techniken unterstützt werden, um mit statistischen Modellen und Methoden der Künstlichen Intelligenz in der Ereignisflut Muster von Angriffen herauszulösen. Inzwischen spricht man sogar von einer 2. Generation von SIEMs, die mit Big-Data-Techniken arbeiten. Ein Beispiel ist IBM InfoSphere BigInsights, eine Big-Data-Plattform, welche die traditionelle Sicherheitsplattform QRadar von IBM zur Erkennung von APTs um die Analysemöglichkeiten mit Big Data ergänzt. (siehe Bild 7)

4.3 Beitrag eines Information Security Management System

Ohne ein stabil laufendes und nachhaltiges ISMS ist keine erfolgreiche Abwehr zielgerichteter Angriffe möglich. Warum ist das so?

Zunächst bildet ein ISMS die Grundlagen für die Informationssicherheit, indem Organisation, Rollen und Verantwortlichkeiten sowie ein Richtlinienapparat für die Informationssicherheit festgelegt werden. Grundlegende Prozesse der Informationssicherheit müssen erstellt und umgesetzt werden. Hierzu gehören das Risikomanagement, die Behandlung von Sicherheitsvorfällen sowie das Schwachstellenmanagement. Diese stellen die Festlegung und nachhaltige Umsetzung von Sicherheitsmaßnahmen sicher. Außerdem wird die Informationssicherheit durch Schnittstellen zu IT-Prozessen zum integralen Bestandteil der Prozesslandschaft.

Kernprozesse in der Informationssicherheit
Im Rahmen eines ISMS werden die in Bild 8 dargestellten Kernprozesse der Informationssicherheit erstellt und umgesetzt, die alle einen wesentlichen Beitrag für den Umgang mit zielgerichteten Angriffen und deren Abwehr liefern.

Der Prozess „Erstellung und Aktualisierung Sicherheitskonzepte“ stellt einen effektiven, effizienten und nachhaltigen Maßnahmenkatalog sicher.

Im Prozess „Schwachstellenmanagement“ erfolgt ein systematisches Management von Schwachstellen bestehend aus systematischer Informationsbeschaffung, Bewertung gefundener Schwachstellen, Maßnahmen zur Behebung der Schwachstellen und einem Risikomanagement bei nicht schnell genug beseitigten Schwachstellen. Dies ist wesentlich für die Abwehr zielgerichteter Angriffe, weil diese vorgefundene Schwachstellen systematisch ausnutzen. Wer also die eigenen Schwachstellen nicht kennt, ist hier schnell verloren. Daher ist es auch wichtig, dass sich an der systematischen Informationsbeschaffung über Schwachstellen alle System- und Anwendungsverantwortlichen beteiligen und diese durch (automatisiertes) Scanning und Penetration Testing ergänzt wird.

Der Prozess „Behandlung von Sicherheitsvorfällen“ sorgt dafür, dass im Fall eines zielgerichteten Angriffs eine schnelle Reaktion durch ein Computer Emergency Response Team (CERT) erfolgen kann. Hierzu gehören die Identifikation und Isolation betroffener Systeme, eine Analyse des Schadens, Maßnahmen zur Schadensbegrenzung, Spurensicherung, Risikomanagement, Nachbearbeitung bzw. forensische Analyse sowie die Verhinderung erneuter Angriffe unter dem Motto „nach dem Angriff ist vor dem Angriff“. Wenn der Angreifer anwendungs- und systemübergreifend denkt, muss die Abwehr mindestens genauso gut sein! Hier zahlt sich eine gute Protokollierung besonders aus. Und umgekehrt gilt auch: Unzureichende Protokollierung und Mängel im Monitoring können Angreifer unsichtbar machen.

Der Prozess „Sensibilisierung und Schulung“ regelt die Sensibilisierung und Schulung der Mitarbeiter. Leider wird dies oft unterschätzt. Gerade gegen Social Engineering in den ersten beiden Phasen eines APT ist ein sensibilisierter IT-Nutzer die stärkste Waffe. Auch in den späteren Phasen ist es immer wieder ein Mensch, der eine Anomalie in der IT entdeckt, und keine Maschine. Außerdem sind bei einem Sicherheitsvorfall und insbesondere bei einem APT Nutzer und Administratoren gefragt, die nicht in Panik verfallen, sondern kühl und sachlich bleiben und wissen, was zu tun ist.

Eine Abwehrschlacht gegen einen Angriff wird vielleicht zunächst zu hemdsärmeligen Maßnahmen zur ersten Schadensbegrenzung führen und es sind noch nicht alle Systeme von Schädlingen bereinigt. Ggf. wird man feststellen, dass auch nach der Abwehr des Angriffs Systeme übrig bleiben, die nicht angemessen abgesichert werden konnten, weil z.B. Schwachstellen sich nicht durch einen Patch beseitigen ließen oder ganz einfach gewisse Sicherheitsmaßnahmen noch nicht umgesetzt werden konnten. Von entscheidender Bedeutung ist hier eine systematische Bewertung des dadurch entstehenden Risikos und wenn am Ende der Betrachtung eine bewusste Risikoübernahme durch die Chefetage erfolgt, so geschieht dies wenigstens sehenden Auges. Das Risikomanagement ist daher in der Informationssicherheit ein entscheidender Kernprozess.

Erst durch eine systematische Überwachung der Informationssicherheit und der zugehörigen Prozesse durch die Messung von Kennzahlen und durch eine regelmäßige Prüfung (Auditierung) kann eine kontinuierliche Verbesserung der Informationssicherheit geschaffen werden. Dies erfolgt durch Anwendung eines PDCA-Zyklus [8], wie in Abbildung 9 dargestellt und in diesem kontinuierlichen Verbesserungsprozess muss sich auch die Abwehr von zielgerichteten Angriffen wiederfinden.

5. Fazit

In diesem Artikel wurden die typischen Phasen eines zielgerichteten Angriffs beschrieben und es wurde aufgezeigt, welche Merkmale auf einen solchen Angriff hinweisen können. Für die technischen Maßnahmen zur Abwehr von zielgerichteten Angriffen wurde der wesentliche Maßnahmenkatalog vorgestellt aber auch dessen Grenzen aufgezeigt. Von entscheidender Bedeutung war dabei, dass die Maßnahmen, wie der Angreifer selbst, system- und anwendungsübergreifend vorgehen. Da ein zielgerichteter Angriff vielschichtiger ist als herkömmliche Angriffe, müssen die traditionellen technischen Maßnahmen durch weitere Maßnahmen ergänzt werden, die Hand in Hand mit den traditionellen Maßnahmen arbeiten. Von besonderer Bedeutung haben sich dabei SIEM-Systeme einer neuen Generation herauskristallisiert. Außerdem wurde die Wichtigkeit eines ISMS für die Abwehr von gezielten Angriffen herausgestellt. Durch die nachhaltige Umsetzung der Kernprozesse eines ISMS wird die Basis für die Abwehr von zielgerichteten Angriffen geliefert und eine schnelle sinnvolle Reaktion auf diese Angriffe ermöglicht.

Alle diese Maßnahmen können zielgerichtete Angriffe zwar nicht grundsätzlich verhindern, aber sie können einen zielgerichteten Angriff erschweren bzw. erkennen und seine Auswirkungen durch eine schnelle sinnvolle Reaktion verhindern oder zumindest abschwächen.

6. Abkürzungen

APT Advanced Persistent Threat
BSI Bundesamt für Sicherheit in der Informationstechnik
C&C Command and Control Server
CERT Computer Emergency Response Team
DLP Data Loss Prevention
DMZ Demilitarized Zone
EVAS Endpoint Visibility, Access, and Security
IDPS Intrusion Detection and Prevention System
IPS Intrusion Prevention System
ISMS Information Security Management System
IS Informationssicherheit
IT Informationstechnologie
KRITIS Kritische Infrastrukturen
LAN Local Area Network
NAC Network Access Control
NGFW Next Generation Firewall
PDCA Plan, Do, Check, Act
RAT Remote Administration Tool
SEG Secure E-Mail Gateway
SIEM Security Information and Event Management
SWG Secure Web Gateway
URL Uniform Resource Locator
UTM Unified Threat Management
VPN Virtual Private Network
WAF Web Application Firewall
WAN Wide Area Network

7. Verweise

[1] Siehe http://www.spiegel.de/netzwelt/web/cyberattacke-auf-bundestag-es-droht-ein-millionenschaden-a-1038178.html
[2] Siehe http://www.spiegel.de/politik/ausland/usa-russland-soll-computersystem-des-weissen-hauses-gehackt-haben-a-1027422.html
[3] Siehe https://www.bsi.bund.de/DE/Publikationen/Lageberichte/bsi-lageberichte.html
[4] Siehe http://blog.gentilkiwi.com/mimikatz
[5] Siehe https://netzpolitik.org/2016/wir-veroeffentlichen-dokumente-zum-bundestagshack-wie-man-die-abgeordneten-im-unklaren-liess/
[6] FBI, „GRIZZLY STEPPE – Russian Malicious Cyber Activity”, Reference Number JAR-16-20296A, 29. Dezember 2016, verfügbar unter https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity
[7] Quelle: Gartner, „Market Guide for Network Sandboxing“
[8] PDCA: Plan, Do, Check, Act

zugeordnete Kategorien: Archiv, Klassiker
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.