Menu

Die 10 Gebote der Angriffserkennung

© Christian Arlt, net-select GmbH

Nicht alle empfohlenen Security-Investitionen schließen die wichtigsten Lücken, um Unternehmen ausreichend abzusichern. (Bildquelle: Christian Arlt, net-select GmbH)

Im Dschungel der Normen und Gesetzgebung findet sich oft die Bezeichnung „Systeme zur Angriffserkennung“. Es wird auf den „Stand der Technik“ referenziert, auf das Grundschutz-Kompendium des BSI oder auf vage formulierte Maßnahmenziele. Infolgedessen begegne ich vielen Unternehmen, die verwirrt vor einem Berg an undurchsichtigen Aufgaben stehen. Um dem sinnvoll, strukturiert und ohne umfangreiche Investitionen zu begegnen, möchte ich im Folgenden zehn „Gebote“ beschreiben, die etwas Klarheit und Struktur bringen können. Dabei gebe ich zu bedenken: Wie die biblischen Gebote decken sie nicht alle denkbaren Szenarien ab. Aber sie helfen, um den berühmten roten Faden zu finden.

1. Gebot: Fokus auf das eigentliche Ziel

Im ersten Schritt sollte zunächst eine etwas gröbere Perspektive eingenommen werden. Wird das Sicherheits-Team damit beschäftigt, die ISO 27001 Punkt für Punkt durchzuarbeiten, entstehen sehr viel Detailarbeit, viele Dokumente und mit der Zeit auch widersprüchliche Überschneidungen. Doch je weiter man sich im Paragraphenwald verirrt, desto mehr verliert man den Fokus auf das eigentliche Ziel: Den Schutz vor einem Cyberangriff! Denn wovor soll der Schutz sein? Vor strengen Auditorinnen und Auditoren? Oder vor Stilllegung der Tätigkeiten?

Es ist wichtig, dauerhaft im Kopf zu behalten, warum eine Maßnahme umgesetzt werden soll. Ein Fokus auf realistische Angriffsszenarien und pragmatische Herangehensweisen ist deutlich mehr wert als viel Papier im Aktenschrank. Und selbst wenn eine Auditierung wegen fehlenden Unterlagen nur den Reifegrad 2 bescheinigt, ist der wirtschaftliche Schaden, der daraus resultieren kann, niedriger als eine Betriebsstilllegung wegen Ransomware oder die Beeinträchtigung von kritischer Dienstleistung zur Versorgung der Bevölkerung mit Wasser oder Energie.

2. Gebot: Die Sichtbarkeit

Wesentlich technischer ist das 2. Gebot, denn hier geht es um die Sichtbarkeit. Cyberangriffe laufen in mehreren Schritten ab und jeder dieser Schritte hat seine eigene Art von Spuren. Doch um diese zu erkennen, ist es wichtig, eine Struktur zu schaffen, in der sie überhaupt auftauchen können. Ein flaches Netzwerk macht es schwer, Spuren im Netzwerk zu finden. Viele verteilte Logs erfordern viel Transferarbeit, um Zusammenhänge zu sehen. Wenn normale User gleichzeitig Administratoren sind, sind bösartige Administrationsvorgänge schwer zu differenzieren. Deshalb bringt es einen hohen Mehrwert, wenn Informationen und Verwaltung zentralisiert und IT-Bereiche und User/Usergruppen fein differenziert werden.

3. Gebot: Der Blick auf die existierenden Tools

Dies wiederum stellt gleich schon wieder einen Berg an Aufgaben dar! Wahrscheinlich ist das auch schon mit größeren Investitionen verknüpft und ganz und gar nicht „mal eben“ umzusetzen. Daher lohnt auch ein Blick auf die existierenden Werkzeuge. Mit Sicherheit gibt es Infrastruktur-Geräte die Logs erzeugen, eben nur lokal. Antivirenlösungen und Mobile Device Management zentralisiert bereits Teilaspekte. Für bestimmte Meldungen gibt es vielleicht auch schon eine Leitwarte, die bisher nur noch nicht die IT/OT im Detail betrachtet. Es lohnt sich also, die implementierten Technologien genauer anzuschauen, zu verstehen und dann auch intensiver zu nutzen. Um ein Audit zu bestehen, ist es eine gültige Argumentation, dass im Betrieb (noch) niemand einen ganzheitlichen Überblick haben kann. Anstatt also ein teures zentralisiertes SIEM zu beschaffen, ist es – Gebot Nummer 3 – deutlich effizienter, die Werkzeuge von den individuellen Fachleuten nutzen zu lassen: Der Server-Administrator überwacht die Server, die Netzwerkspezialistin prüft Firewalls, etc. Natürlich sollte man die Zentralisierung langfristig nicht aus den Augen verlieren. Zunächst genügt aber die E-Mail-Benachrichtigung in einem zentralen Postfach, die bei den meisten Werkzeugen einfach umsetzbar ist.

4. Gebot: Meldungen müssen gelesen werden!

Diese E-Mail-Benachrichtigung führt unmittelbar zum 4. Gebot: Diese Meldungen müssen gelesen werden! Das ist bei vielen der kritische Punkt, den es zu überschreiten gilt. Denn bisher hat niemand Zeit (oder Lust), sich die Meldungen anzuschauen. Doch in den Meldungen, die ohnehin schon generiert werden, sind viele der Angriffe versteckt. Wenn die Expertise fehlt, so sollte zumindest eine veränderte Menge der Meldungen – sowohl deutlich mehr, als auch deutlich weniger als sonst – ein Indikator dafür sein, sich mit erhaltenen Warnungen auseinanderzusetzen.

5. Gebot: Das gesamte Personal im Blick haben

Dies eröffnet oft den Diskussionsraum „Mensch oder Maschine?“ Ob eine Künstliche Intelligenz den Meldungen Herr wird und auf dessen Urteil vertraut werden darf, ist eine komplexe Risikoabschätzung. In besseren Security Operation Centern wird daher auch ein Maschinenurteil immer menschlich hinterfragt. Doch egal wie hier gewichtet wird, der Mensch ist noch an anderer Stelle involviert, nämlich als Einstiegspunkt für den Angreifer.

Die Verteidigung gegen Phishing, Business-E-Mail-Compromise, schlechte Passwörter und ähnliche Themen lassen sich nur teilweise mit technischen Maßnahmen angehen. Sie hängen auch nicht mit hochbezahlten Analystinnen und Analysten zusammen, sondern auch mit einem Peter Mayer vom Gebäudemanagement. Und Herr Mayer meldet Auffälligkeiten auch nur, wenn er die Meldeprozesse kennt, sie funktionieren und er sich nicht vor einer unfreundlichen Antwort fürchten muss. Im Kern bedeutet das 5. Gebot, dass eine Security-Strategie für das gesamte Personal gleichwertig verfolgt und auf Augenhöhe darüber gesprochen werden muss. Zusammenarbeit und Verständnis bewirkt deutlich mehr als Videoschulungen und Verbot von privaten Smartphones im Firmen-WLAN.
© Christian Arlt, net-select GmbH

Mit dem Fokus auf die richtigen Security-Lücken können Unternehmen Cyber-Angriffe auch mit überschaubaren Aufwand gezielt abwehren. (Bildquelle: Christian Arlt, net-select GmbH)

6. Gebot: Security ist echte, wirkliche Arbeit

Damit gibt es nun neben den technischen E-Mail-Alarmen auch die persönlichen Nutzermeldungen. In Security-Kreisen fällt in einem solchen Umfeld oft der Begriff „Alert Fatigue“: Zu viele Meldungen, die dann nicht mehr genau untersucht werden. Im Kleinen ist das häufig ein Problem der Zuständigkeit: Wird Security den Mitarbeitenden zugewiesen, die schon mit dem IT/ OT-Betrieb an der Belastungsgrenze sind, fallen einige Monate später die ersten Meldungen durch das Raster. Eine Zuweisung muss daher ernst gemeint sein und nicht nur ein formeller Punkt einer Liste. Das bedeutet, dass Ressourcen in Form von Zeit und eventuell auch Werkzeugen geschaffen werden müssen. In der sechsten Empfehlung steckt im Kern, dass es bei Security um eine echte und individuelle Tätigkeit geht!

7. Gebot: Fehlende Orientierung

Trotzdem kann die Menge an Informationen zu groß sein. Auch wenn es in diesem Artikel erst an siebter Stelle kommt, so hängt die fehlende Orientierung in der Informationsflut mit einem der ersten Schritte in einer Cybersicherheitsstrategie zusammen: der Risikobewertung. Wer in der Security nicht gänzlich von vorne anfängt, hat sie für die eigenen Assets schon geschaffen oder hat zumindest eine Vorstellung im Kopf, welche Komponenten lieber nicht ausfallen sollten. Diese hoffentlich ohnehin schon dokumentierte Liste gehört in die Hände oder wenigstens ebenfalls in den Kopf der Profis für die Bearbeitung der Meldungen. Das hilft bei der „Triage“ der Ereignisse, im Zweifel also dem gezielten Ignorieren von Meldungen, die weniger kritische Assets betreffen. Ohne eine solche Festlegung wäre es selbst mit geeigneten Tools wie einem SIEM aussichtslos, langfristig die Lage zu überblicken.

8. Gebot: Patch-Management

Ein davon etwas losgelöster Aspekt, dem ich in realen Kundenumgebungen leider immer wieder begegne, ist das Patch- Management. Updates haben immer Risiken und in Ermangelung von Testprozessen – letztendlich also Zeit – existiert oft eine Grundangst vor Update-Problemen. Die kleinen Updates 

werden verschoben und nach einem Jahr ist ein Update auch wirklich eine riskante Angelegenheit, weil sich dann bei vielen Einzelschritten auf einmal auch viel ändert. Ist die Ausarbeitung einer umfangreichen Patch-Strategie noch in weiter Ferne, so sei zumindest als 8. Gebot mitgegeben, dass regelmäßige Patch-Zeitfenster deutlich überschaubarer sind als das große unbekannte „Irgendwann“. Denn in der vernetzten Welt ist tatsächlich jeder Patch sicherheitsrelevant, auch ohne eigene CVE.

9. Gebot: Existierende Werkzeuge gezielt einsetzen

So wie das Patch-Management ist auch eine zeitnahe Reaktion Bestandteil einer umfassenden Sicherheitsstrategie. Die „Orientierungshilfe zur Angriffserkennung“ des BSI verordnet dabei sehr schnelle Reaktionszeiten und erwähnt Automatisierungen. Auch wenn die Versuchung groß scheint, hier Automatisierungen bis hin zu KI zu verwenden – vielleicht auch gleich die teure Network Detection and Response (NDR), die Hersteller X anpreist – ist es hier auch sinnvoll, noch einen Blick auf die existierenden Werkzeuge zu werfen. Denn schon die ganz normale Antivieren-Software erledigt genau diese Aufgabe: Eine sofortige Reaktion auf einen erkannten Angriff! Auch ein Werbeblocker im Webbrowser kann Phishing-Seiten unmittelbar blockieren und auf vielen Firewalls ist ein ungenutztes Intrusion Prevention System (IPS) an Bord, das umfassende Fähigkeiten auf Netzwerkbasis mit sich bringt. Ähnlich zum Detektionsbereich ist das 9. Gebot also, existierende Werkzeuge zu verstehen und sie gezielt einzusetzen.

10. Gebot: Den Ernstfall proben

Womit nur noch ein letztes Gebot übrig ist, was in einer Backup- Strategie in ähnlicher Form vertraut sein sollte: Nur ein getestetes Backup ist ein echtes Backup. Genauso verhält es sich in der Reaktion: Die perfekte Reaktion auf einen Cybersicherheitsvorfall ergibt sich erst aus den Erfahrungen nach einem Vorfall. Da es nicht zielführend ist, die Katastrophe abzuwarten, um sich die Erfahrungen anzueignen, ist eine essenzielle Vorbereitung, einen Ernstfall zu proben. Ähnlich einer Brandschutzübung fühlt sich dies meist etwas unwirklich und überflüssig an, aber bei einem ernst genommenen Planspiel ergeben sich viele Fragen, die man in theoretischen Betrachtungen nicht im Blick hatte. Und natürlich deren Antworten.

Wenn Sie bis zu diesem Punkt gefolgt sind und das Planspiel mit auf sich zugeschnittenen Angriffsszenarien durchspielen, entdecken Sie die Lücken, die über die zehn Gebote hinausgehen. Hier lohnt es sich dann wirklich, zu investieren – und eben nicht unbedingt immer an den von den Papiertigern der Normen und Gesetze empfohlenen Stellen.

Beitrag von Christian Arlt (net-select GmbH)