Cybersecurity ist keine Lösung, sondern ein Prozess

Cybersecurity als Prozess mit vier Schritten: Vorhersage, Prävention, Aufspüren und Reagieren

Verfasser: Eija Paajanen
Datum: 26. Februar 2016
Lesedauer: 9 Minuten

Cybersecurity ist nicht länger in den Randspalten von Zeitungen und Websites vergraben – sie ist Titelstory. Sie ist Thema in den US-Vorwahlen. Sie steht im Zusammenhang mit nationalen Stromausfällen. Cybersecurity betrifft mittlerweile alle großen Industriezweige, Staaten und andere soziale Bereiche.

Dieser umfassende Wirkungsbereich macht Cybersecurity zu einem elementaren Konzept für viele Unternehmen. Sie betrifft sowohl die internen Abläufe von IT-Abteilungen als auch die Kunden eines Betriebs. Wenn Unternehmen, die ihren Kunden Vertraulichkeit und Datenschutz versprechen, gehackt werden, wird schmerzhaft klar, dass es bei Cybersecurity nicht bloß um Computer geht. Ashley Madison und die Kunden mussten das auf die harte Art und Weise lernen.

Und Politiker lernen das auch.

Aufgrund der zunehmenden Zahl von Datenpannen und der zunehmenden Aufmerksamkeit, die diese erfahren, verschärfen Regierungen rund um den Globus die Bedingungen, die eingehalten werden müssen (auch wenn manche ihrer Ideen, zum Beispiel der Ruf nach Hintertüren in der Verschlüsselung nicht komplett durchdacht sind). Unternehmen werden mehr Verantwortung für diese Cybersecurity-Bedenken übernehmen müssen als jemals zuvor. Zudem werden sie verantwortlich gemacht werden, falls sie ihren Verpflichtungen nicht nachkommen sollten.

Wer denkt, dass Cybersecurity ein vorbelasteter Begriff ist, liegt richtig. Und zu fragen, was ihr so ein großes Gewicht verleiht, ist eine gute Frage. Wenn Cybersecurity ein Beschäftigungsfeld für Unternehmen darstellt, wie sollte es dann angegangen werden? Und was unterscheidet Cybersecurity von traditioneller IT-Sicherheit?

Sollte man von ganz vorne anfangen?

Manche sehen Cybersecurity als fundamentalen Wechsel in der Art, wie Unternehmen sich selbst schützen und kommen deshalb zu dem Schluss, dass traditionelle IT-Sicherheit über den Haufen geworfen werden sollte. Erst kürzlich sah sich die Sicherheitsindustrie Schlagzeilen gegenüber, die den Tod von Antivirenprogrammen verkündeten.

Aber das war nicht das erste Mal, dass Antivirenprogramme (AV) frühzeitig totgesagt worden sind. Und ähnlich wie Vinyl ein Medium für großartige Musik bleibt, bleibt Antivirus ein wichtiger Bestandteil einer umfassenden Sicherheitsstrategie.

Sicherheitsmaßnahmen, die vor 20 Jahren entwickelt worden sind, werden angesichts der heutigen Bedrohungslage nicht ausreichen, um Organisationen zu schützen. Aber Gefahren verändern sich nicht über Nacht. Sie entwickeln sich über Jahre hinweg. Und so auch Sicherheitslösungen. Neue Schutzmaßnahmen, zusätzlich zum herkömmlichen signaturbasierten Antivirenscanning, haben integrierte Sicherheitsstacks mit vielen Komponenten hervorgebracht.

Innerhalb dieses Stacks ist Antivirenscanning immer noch effektiv. Und verglichen mit der hochentwickelten heuristischen Analyse ist dies eine ressourcenschonendere Methode, um Malware zu entdecken. Warum CPU-Bandbreite auf Samples verschwenden, die mit einfacheren Methoden entdeckt werden können? Deshalb sehen wahre Sicherheitsexperten den Claim, dass AV tot sei, als unsinnige Übertreibung an.

2008 ergänzte F-Secure erstmalig die traditionelle Antiviren-Technologie mit DeepGuard, einem fortschrittlichen heuristischen Engine, die in der Lage war, Zero-Day-Attacken aufzudecken. F-Secures Object Reputation Service Platform (ORSP) – heute eine wichtiger Bestandteil der F-Secure Security Cloud – war erstmalig 2009 in F-Secure-Produkte eingefügt und reduzierte die Zeit zum Schutz vor neu entdeckten Gefahren von Stunden auf Minuten. Währenddessen erlaubt uns herkömmliche signaturbasierte AV den CPU-Verbrauch zu optimieren. Ein Sample durch seine Signatur zu klassifizieren kostet circa 10 Millisekunden CPU-Zeit. Eine umfangreiche Analyse durchzuführen, kann bis zu fünf Minuten dauern.

Jarno Niemelä – Senior Researcher – F-Secure Labs

Aber es findet ein Paradigmenwechsel statt

Obwohl die Technik sich weiterentwickelt hat, unterscheidet sich die Art, wie Unternehmen Sicherheit heutzutage behandeln sollten, fundamental von der Herangehensweise von vor fünf Jahren. Und dafür gibt es viele Gründe. Aber speziell zwei Trends steuern die Pläne von Cybersecurity der Unternehmen.

Erstens schreitet die zunehmende Digitalisierung von Abläufen und Unternehmen mit beispielloser Geschwindigkeit voran. Ein Cybersecurity-Vorfall ist also nicht einfach nur etwas, das Überstunden in der IT-Abteilung eines Unternehmens auslöst. Heutzutage treibt die IT oftmals den Geschäftsmotor eines Unternehmens auf der ganzen Wertschöpfungskette an und ein einziger Zwischenfall kann Tätigkeiten zu einem abrupten Ende bringen und sogar die Existenz eines ganzen Unternehmens gefährden.

Zweitens nehmen die Bedrohungen sowohl in Anzahl als auch in Ausgefeiltheit zu. 2014 war das achte Jahr in Folge, dass sich die Menge entdeckter Malware verdoppelte, resultierend in einem Durchschnitt von 81 Attacken pro Minute. Es wird erwartet, dass sich Anzahl an Malware 2015 erneut verdoppelt hat. Zur gleichen Zeit hat Malware in den letzten Jahren ein neues Niveau von Raffinesse erreicht. Einer der Gründe dafür ist das Auftauchen von Nationalstaaten als Cyberangreifer. Diese stecken gewaltige Ressourcen in das Finden und Ausnutzen von Schwachstellen in der Internetabwehr sowohl von Individuen als auch von Unternehmen. Die Entwicklung der Duqu 2.0 Malware, welche genutzt wurde, um einen Sicherheitsanbieter (zusätzlich zu anderen Zielen) zu gefährden, wird auf Kosten von bis zu zehn Millionen Dollar geschätzt. Und weil Kriminelle oftmals Kapital aus Attacken von Nationalstaaten schlagen, müssen Unternehmer bedenken, wie dieser Trend die Ausgereiftheit von Onlinebedrohungen insgesamt vergrößert. (In diesem Zusammenhang verschlimmern die Bestrebungen von Regierungen, Sicherheitsmechanismen wie Verschlüsselung für deren Überwachungsbemühungen zu schwächen, die Lage noch).

In Anbetracht dessen, dass Internetvorfälle teuer sind und die Bedrohungen zahlreicher und intelligenter sind als jemals zuvor, ist es klar, dass Internetsicherheit mehr Aufmerksamkeit benötigt als jährlich Endpunkte von Sicherheitslösungen zu erneuern. Cybersecurity muss auf die Agenda des Vorstandes.

Cybersecurity als Vier-Stufen-Prozess

Wir bei F-Secure haben eine Sichtweise auf Cybersecurity eingenommen, die auf Konzepten basiert, die in Gartner’s Adaptive Security Architecture genutzt wird. Kurz gesagt: unsere Konzeption richtet sich auf den Gedanken aus, dass Sie, wenn Ihr Unternehmen abhängig von Informationstechnologie ist und von Sicherheitsvorfällen beeinträchtigt werden könnte, Cybersecurity als eine Frage des Risikomanagements betrachten sollten, das die Aufmerksamkeit Ihrer Geschäftsführung verdient. Dies macht Internetsicherheit genauso zu einem Prozess wie zu einem technischen Problem. Angelehnt an Gartners Framework sehen wir diesen Prozess als vierstufig an, von denen jeder technologisch unterstütz werden kann und sollte.

F-Secure-predict-prevent-detect-respond_DE

1. Vorhersagen: Kennen Sie Ihre Risiken, verstehen Sie Ihre Angriffsfläche, decken Sie Schwachstellen auf

Um die richtigen Sicherheitsmaßnahmen zu treffen, müssen Sie verstehen, wohin Sie Ihre Aufmerksamkeit richten sollten. Ein guter Start ist zu beurteilen, wer die potenziellen Gegner sind (Cyber-Kriminelle, Wettbewerber, Hacktivists, Terroristen, etc.) und welchen Schaden eine Sicherheitsgefährdung anrichten könnte – eine Risikoanalyse, wenn Sie so wollen.

Einen Überblick über die Angriffsflächen zu bekommen, ist ein wesentlicher Teil dessen, aber nicht einfach. Viele Unternehmen kennen nicht einmal ihren digitalen Fußabdruck, was sie nichtsahnend über potenzielle Zugangspunkte für Angreifer und Bedrohungen zurücklässt. Zusätzlich sind die IT-Systeme vieler Firmen wild gewachsen, dies führt zu ineinander verschlungenen Systemen, ausgelagerter Infrastruktur und Drittparteien, die digital verbunden und in die Unternehmensprozesse eingebunden sind.

All das unter strenger Kontrolle zu halten, ist nahezu unmöglich. Und während es technische Lösungen gibt, die die Übersichtlichkeit bieten, die Sie brauchen, ist es nicht damit getan, Ihren digitalen Fußabdruck zu vermessen. Sie müssen diesen nach Schwachstellen scannen, um seine Schwachstellen zu finden. Dies wird umsetzbare Einsichten hervorbringen, die den nächsten Schritt in Ihrem Internetsicherheitsprozess antreiben.

2. Verhindern: Minimieren der Angriffsfläche, verhindern von Vorfällen

Die Risiken und Schwachstellen zu kennen, wird Ihnen helfen, alle verfügbaren Möglichkeiten zu ergreifen, um die Angriffsfläche zu reduzieren. Es gibt viele Dinge, die Sie tun können, aber Sie müssen trotzdem die Beschränkungen beachten, mit denen Sie arbeiten – Budget und Ressourcen sind die üblichsten dabei. Aufbau von Schutzlösungen für die Systeme, Konfigurationen der Firewall und gezieltes Eliminieren von Verwundbarkeiten (sowohl in der Software von Drittparteien als auch in Ihrer eigenen) sind die geläufigsten Dinge, um Ihre Schwachstellen zu reduzieren. Diese Lösungen verhindern, dass mögliche Opfer überhaupt jemals in Kontakt mit Malware kommen. Selbst im Falle, dass ein Exploit die Umgebung des Ziels erreicht, filtern diese einen Großteil der Millionen von bösartigen Software-Bits aus. Diese Schutzschichten werden durch moderne Ansätze wie Reputationsanalyse und Kontrollmechanismen wie Anwendungss- oder Web-Access-Protokolle unterstützt, aber auch durch herkömmliche AV-Scannings.

Automatisches Patch-Management reduziert nochmals Ihre Gefährdung und stellt sicher, dass neuentdeckte Schwachstellen regelmäßig gepatched werden, wodurch das Zeitfenster für erfolgreiche Angriffe erheblich schneller geschlossen wird. Eine andere, oft vernachlässigte Präventivmaßnahme ist die Verbesserung der Sicherheitskultur in Ihrem Unternehmen. Insgesamt ist der Mensch üblicherweise das schwächste Bindeglied in einer Sicherheitsstrategie und aktuelle Studien bestätigen, dass dieses schwache Bindeglied der meist genannte Beschuldigte von Cyberattacken ist.

3. Aufspüren: Erkennen von Vorfällen und Gefahren, isolieren und eindämmen derselben

Die bereits erwähnte Doqu 2.0 Malware nutzte drei bisher unbekannte Schwachstellen: so genannte Zero-Day Vulnerabilities. Es wies außerdem hochentwickelte Ausweichtechniken auf, welche es für etablierte Sicherheitsmaßnahmen quasi unmöglich zu fangen machte. Bei einer solchen Super-Malware im Umlauf und tausenden neuen Angriffsmethoden, die täglich neu auftauchen, müssen Sie davon ausgehen, dass früher oder später etwas oder jemand Ihre Verteidigung durchbrechen wird. Das Worst-Case-Szenario ist, dass Sie attackiert werden und es gar nicht wissen. Je länger Sie gefährdet sind, desto größer ist der Schaden, den der Vorfall anrichten kann, da Angreifer mehr Zeit haben, Querbewegungen in Ihrer Umgebung zu machen und Daten zu stehlen. Heutzutage ist es Realität, dass Unternehmen Monate (nicht Tage) benötigen, um eine Lücke aufzuspüren, nachdem sie aufgetreten ist.

Um diese freie Zeit, die ein Angriff bis zur Wirksamkeit benötigt, (Dwell-Time) zu reduzieren, müssen Sie Lösungen und Prozesse platzieren, die es Ihnen erlauben, neue Bedrohungen zu entdecken, während sie entstehen. Dafür bedarf es einer Vielzahl von Dingen, einschließlich nachzuprüfen, dass Ihre Endpunkt-Sicherheit nicht nur in einer herkömmlichen „Gegengift“-Weise (passend gegen Signaturen) wirkt, sondern auch heuristische Detektion beinhaltet, welche verdächtiges Verhalten in ihren Knotenpunkten blockiert und isoliert.

Sie werden außerdem eine Lösung wollen, die Sie alarmiert, wenn etwas potenziell Schädliches in Ihrer Umgebung geschieht. Und zusätzlich zur Einführung solcher technologischer Komponenten sollten sie eine Routine kontinuierlicher Beobachung und Einschätzung des Sicherheitsstandes entwickeln. Nur dann haben Sie die beste Chance, schnell auf Vorkommnisse zu reagieren, was uns zum letzten Punkt in diesem Prozess führt.

4. Antwort: Reaktion auf Lücken, mildern des Schadens, analysieren und lernen

Wie bekannte Fälle wie der Sony-Hack zeigten, sind Unternehmen oft unvorbereitet darauf, mit Cybersecurity-Vorfällen umzugehen. Wenn Sie Internetsicherheit als Teil einer Risikoanalyse betrachten, sollten Sie sichergehen, dass es einen Unternehmensfahrplan für solche Vorfälle gibt. Stellen Sie also sicher, dass Sie Experten zur Verfügung haben, welche Ihnen helfen können, wenn das Unglück geschieht. Zeit ist von äußerster Wichtigkeit und nach der Entdeckung einer Lücke bleibt oft nur bitterer Zweifel darüber, wie tief der Eingriff reichte und ob alle Spuren der Sicherheitslücke beseitigt worden sind. Sie werden forensisches IT-Expertenwissen genauso benötigen wie Tools, um wieder die Oberhand zu gewinnen und Vertrauen in Ihr System wiederherzustellen. Und auch nach einer vollständigen Erholung wird es wichtig für Sie sein, jedes Detail dessen zu verstehen, was passiert ist. Dies schließt den Kreis, weil es Ihnen hilft, neue Schwachstellen aufzudecken, was Ihnen wiederum hilft, ihre Verteidigung zu stärken und Ihre Sicherheitslage zu verbessern.

Fazit

Es gibt keinen hundertprozentigen Schutz. Aber es gibt für alles eine Vorbereitung. Steigern Sie also Ihre Sicherheit, um Ihr Risiko zu mindern und arbeiten Sie immer unter der Prämisse, dass Sie am Ende besiegt werden. Das Halten an dieser Vorgehensweise wird Ihnen helfen sicherzustellen, dass sie das Desaster professionell managen können, wenn es zuschlägt.

Es gibt zwei Arten von Unternehmen: die, die verletzt worden sind und die, die es noch nicht wissen.

Jens Tonke, Executive VP Cyber Security Services, F-Secure


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s