2020 avanciert zum Jahr mit den meisten Cyberangriffen. Denn die allgemeine Verunsicherung durch die Corona-Pandemie und die teils „mit der heißen Nadel“ gestrickten Remote-Access Lösungen machen es Cyberkriminellen leichter denn je. Eine mehrstufige Erpressung von Löse- bzw. Schweigegeld ist dabei gang und gäbe: Bezahlt das Opfer nicht für die Entschlüsselung der Daten, wird stattdessen mit der Veröffentlichung gedroht. IT-Dienstleister scheinen hier ein besonders beliebtes Ziel zu sein, da die jeweiligen Kundendaten, mitsamt Passwörter oder anderer vertraulicher Daten, ein immenses Schadenpotenzial für das Opfer und dessen Kunden darstellen und weitere potenzielle Opfer offenbaren. Die initialen Angriffsvektoren sind vielfältig, werden jedoch weiterhin von Phishing dominiert. Der Angriff über Remote Desktop oder VPN-Zugängen, z.B. über erbeutete Zugangsdaten, ist jedoch aktuell auch sehr populär.
Was sich bewährt hat, um solche Angriffe zu verhindern oder möglichst glimpflich zu überstehen, möchte ich in diesem Beitrag vorstellen. Der Schwerpunkt liegt diesmal jedoch nicht auf organisatorischen, sondern auf konkreten technischen Maßnahmen. Vorweg sei gesagt: Es ist ein Irrglaube, allein die Anschaffung einer Security-Lösung sorge bereits für Sicherheit. Falsch eingesetzt erhöhen diese sogar oft das Risiko, anstatt es zu vermindern.
Maßnahmen lassen sich in drei Typen unterteilen: Präventive Maßnahmen verringern die Eintrittswahrscheinlichkeit eines Cyberangriffs, in dem man es den Angreifern so schwer wie möglich macht, in die IT-Systeme und Netzwerk einzubrechen. Diese können jedoch kaum einen 100%igen Schutz bieten. Daher kommt den detektiven und reaktiven Maßnahmen eine immer größer werdende Rolle zu. Die meisten Opfer wissen gar nicht, dass sie angegriffen werden oder sogar bereits erfolgreich kompromittiert wurden. Doch nur, wenn dies gewährleistet ist, kann adäquat reagiert und so der entstandene Schaden minimiert werden.
Prävention
Firewall
Der Klassiker der präventiven Sicherheitsmaßnahmen ist die Firewall. Ein Router mit Paketfilter, wie sie im privaten oder SOHO-Umfeld gerne eingesetzt werden, reicht jedoch nicht aus, um die komplexen Angriffe wirksam zu verhindern. Datenverkehr sollte durch die Erkennung der jeweiligen Applikation und nicht auf Basis des verwendeten Ports gefiltert werden. Bösartige Dateien, Webseiten und IP-Adressen sollten blockiert werden. Verhaltensanalysen (z.B. innerhalb einer Sandbox) ergänzen hier die klassischen Blacklisten. Angriffe müssen zuverlässig erkannt und möglichst automatisiert blockiert werden können. Und all dies natürlich auch in verschlüsselten Verbindungen.
Endgerätesicherheit
Die letzte Hürde für Angreifer stellt oftmals ein wirksamer Schutz der Endgerät dar. Die klassische Mustererkennung von Virenschutzprogrammen wird dabei mehr und mehr von Lösungen ersetzt, die Schadcode auf Basis von selbstlernenden Algorithmen blockieren. Modernste Lösungen erkennen dabei auch auffälliges Verhalten, wie z.B. typische Vorgehensweisen von Angreifern und ermöglichen eine direkte Interaktion mit den betroffenen Systemen, um den Vorfall zu untersuchen und Gegenmaßnahmen einzuleiten. Diese Endpoint Detection & Response (EDR) Lösungen bieten aktuell den besten Schutz vor Angriffen.
Multi-Faktor-Authentifizierung (MFA)
Insbesondere dort, wo es um Fernzugriff über das Internet geht, ist eine Kombination aus Benutzername und Kennwort nicht ausreichend und eine MFA geboten. Kennwörter können leicht erbeutet werden, z.B. im Rahmen einer Phishing-Kampagne, durch Auslesen des Kennwort-Zwischenspeichers auf Windows-Systemen oder einem Einbruch beim IT-Dienstleister. Und auch privilegierte Benutzer, wie Administratoren, können und sollten sich nur noch mittels zusätzlicher Faktoren anmelden können. So wird es den Angreifern wesentlich erschwert, die Berechtigungen zu eskalieren und an vertrauliche Daten zu gelangen. Das Time-based On-time Password Verfahren (TOTP) hat sich dabei als einfach zu implementierendes Verfahren etabliert und benötigt in der Regel lediglich eine kleine App und etwas Konfigurationsaufwand. Dort, wo TOTP nicht praktikabel ist (z.B. auf mobilen Geräten zum Abruf von E-Mail), kann alternativ mit Zertifikaten gearbeitet werden. Das Argument der „Unzumutbarkeit“ kann daher als obsolete betrachtet werden und ist keine Entschuldigung mehr dafür, keine MFA einzusetzen.
(Privileged) Access Rights Management
Zugangs- und Dateiberechtigungen werden in der Regel an Benutzerkonten geknüpft. Umso größer die Datenmengen und die Organisationsstruktur sind, umso komplexer und unübersichtlicher wird die Verwaltung dieser Berechtigungen. Das Resultat ist oft, dass zu weitreichende Berechtigungen existieren, was es Angreifern oder Schadcode erleichtert, Daten auszuspähen oder zu manipulieren (z.B. durch Verschlüsselungstrojaner). Access Rights Management hilft dabei, die Übersicht zu wahren und kritische Berechtigungshäufungen oder privilegierte Berechtigungen zu erkennen. Hinzu kommt, dass entsprechende Lösungen in der Regel auch die Berechtigungen von Benutzerkonten in Echtzeit überwachen können und Änderungen, die auf eine missbräuchliche Nutzung hindeuten, melden. Diese Funktion lässt sich allerdings eher den detektiven Maßnahmen zuordnen.
Administrative Benutzerkonten, wie z.B. Domain- oder Server-Administratoren, kommt hierbei eine besondere Rolle zu. Wurde erst einmal ein System kompromittiert ist es in der Regel ein Einfaches, die Passwörter von angemeldeten Administratoren auszulesen und sich hiermit umfassende Zugriffsberechtigungen im Netzwerk zu verschaffen (Lateral Movement). Daher bedarf es eines sauberen Konzepts, das administrative Konten nach ihren Aufgaben aufteilt und nur notwendige Zugriffe erlaubt (z.B. durch ein Tier-Konzept). Zudem sollten administrative Zugriffe wo immer möglich mittels Multi-Faktor-Authentifizierung (MFA) abgesichert werden.
Detektion
Security Information and Event Management (SIEM)
Ein SIEM-System erkennt Angriffe über die Echtzeitanalyse von Daten, die von eingesetzten Hard- und Softwarekomponenten geliefert werden. Dabei handelt es sich z.B. um Protokolldaten oder Datenverkehrsanalysen, die miteinander korreliert werden. SIEM ist die konsequente Weiterentwicklung des Log-Managements, also dem zentralen Einsammeln und meist manuellen Auswerten von Protokolldaten. Lange als Allheilmittel gegen Cyberangriffe angepriesen, herrscht jedoch inzwischen bei vielen Unternehmen Ernüchterung bezüglich des tatsächlichen Nutzens. Es handelt sich eben nicht um eine Fire-and-forget Lösung, sondern muss in die Strukturen und Abläufe des Unternehmens integriert und ständig den Anforderungen und der Bedrohungslage angepasst werden. Die Kunst ist wie so oft, im Kleinen zu starten und nicht direkt mit Kanonen auf Spatzen zu schließen. So lässt sich bereits mit einem überschaubaren Aufwand und Budget eine einfaches SIEM implementieren, das kritische Ereignisse erkennt und entsprechend alarmiert. Zudem ist ein zentrales Log-Management oder SIEM unerlässlich, wenn es um die Rekonstruktion und damit die möglichst umfassende Bewältigung eines Angriffs geht.
Honeypots
Honeypot sind IT-Systeme, die sich als lohnendes Ziel für einen Angreifer tarnen und jeden Zugriffsversuch darauf melden. So kann sich ein Honeypot z.B. als Backupserver ausgeben und Alarm schlagen, wenn freigegebene Verzeichnis oder Dateien geöffnet werden. Da die Auskundschaftung des internen Netzwerks im Regelfall zu einer frühen Phase eines Angriffs gehört, kann so größerer Schaden verhindert werden.
Reaktion
Datensicherung
Eine Datensicherung ist oftmals die letzte Rettung für die Betroffenen – und die größte Ernüchterung, wenn die Wiederherstellung der Daten nicht funktioniert. Datensicherungen müssen daher regelmäßig auf Erfolg kontrolliert werden, in dem die Datenwiederherstellung getestet wird. Zudem sollten immer mehrere Sicherungsstände verfügbar und auf unterschiedliche Systeme oder Medien ausgelagert sein. Sie befinden sich idealerweise räumlich getrennt voneinander und sind so ausgestaltet, dass sie von Angreifern nicht verändert werden können. Denn längst ist es üblich, dass Datensicherungen noch vor der Verschlüsselung von Daten unbrauchbar gemacht werden. In klassischen Windows-Netzwerken bedeutet dies, dass der Backupserver kein Mitglied der Domäne ist und der Netzwerkzugriff auf diesen stark reglementiert wird.
Resümee
Ein guter Mix aus präventiven, detektiven und reaktiven Maßnahmen bieten den besten Schutz vor Schäden durch Cyberangriffe. Diese Auflistung ist längst nicht vollständig, repräsentiert jedoch die Maßnahmen, die nach meiner persönlichen Erfahrung den Erfolg von Cyberangriffen verhindert haben oder hätten. Die vorgestellten Maßnahmen und Lösungen sind längst auch für kleine und mittlere Unternehmen (KMU) bezahlbar und mit überschaubarem Aufwand zu implementieren und zu betreiben.