Die Sicherheitslücken in der IT aufdecken

Um Ransomware-Attacken und andere digitale Bedrohungen abzuwehren, brauchen Unternehmen eine exzellente IT-Security. Wie es um ihre Verteidigung steht, lässt sich am besten durch Angriffssimulationen ermitteln. Dabei sucht ein sogenanntes Red Team seinen Weg exakt so ins IT-Herz, wie es auch Cyber-Kriminelle tun würden. Mit seinem Report liefert es eine detaillierte Checkliste zum Ausmerzen technischer, organisatorischer sowie physischer Schwachstellen.

Ein beliebtes Kinderspiel heißt „Ich sehe was, was du nicht siehst“. So könnte auch das Motto jener IT-Security-Manager lauten, die ihre Firmennetzwerke erfolgreicher als andere Unternehmen gegen Cyber-Attacken schützen. Sie nutzen ausgefeilte Methoden oder Technologien, um schnellstmöglich neue Tricks der Hacker zu erkennen und Gegenmaßnahmen einzuleiten. Fehlt dieser Röntgenblick, werden die dramatischen Konsequenzen erfolgreicher Sabotage- oder Erpressungsversuche durch Computerviren rasch einer breiten Öffentlichkeit sichtbar. Unlängst ging tausenden US-Tankstellen das Benzin aus. Die Ölleitung zwischen Houston und New York war vorübergehend außer Betrieb, weil Kriminelle die IT des Pipeline-Betreibers mit einer Verschlüsselungssoftware infiziert hatten.

 Cyber-Angriffe auf Betriebe, Behörden und Institutionen machen verstärkt Schlagzeilen. Immer öfter geht es um Erpressung, wie jetzt in den USA. Hierbei geht es zunehmend um Erpressung, wie 2021 in den USA. Für die Freigabe der Firmen-IT sollen fünf Millionen US-Dollar in einer Kryptowährung geflossen sein. Der Digitalverband Bitkom schätzt den Schaden durch Datenverluste, Umsatzausfälle sowie organisatorische Aufräumarbeiten nach Angriffen in Deutschland für 2020/2021 auf 220 Milliarden Euro, doppelt soviel wie im Zwei-Jahres-Zeitraum davor. Und er dürfte weiter steigen. Ferner wurde Lösegeld von einem der weltweit größten Hersteller gefordert - 1.200 Server verschlüsselt, 100 GB Daten gestohlen, 20 bis 30 TB an Backups gelöscht. Die Accenture-Studie „The Cost of Cybercrime“ beziffert den global drohenden Schaden für den Fünf-Jahres-Zeitraum 2019/2023 auf 5,2 Billionen US-Dollar. Dagegen können sich Unternehmen bald vielleicht nicht einmal mehr versichern lassen. Wegen der großen Bedrohung und der hohen Schäden verschwinden bereits erste Policen gegen Ransomware-Attacken vom Markt.

Regelmäßige Firewall-Updates und sporadische Penetrationstests reichen nicht für IT-Sicherheit

 „Ich sehe was, was du nicht siehst“ ist bei der IT-Sicherheit also eine entscheidende Fähigkeit. Wer Cyber-Attacken rasch erkennt und gut abwehrt, sichert das Funktionieren seiner Organisation und empfiehlt sich so als verlässlicher Geschäftspartner. Aber es geht um mehr: Betriebe, die zur kritischen Infrastruktur (KRITIS) gehören, haben eine besondere Verantwortung im Gemeinwesen. Legen Cyber-Kriminelle etwa Wasserversorger, Energieverteiler, Polizei oder Kliniken lahm, gäbe es massive Engpässe und Störungen der öffentlichen Sicherheit. Viele KRITIS-Kandidaten haben ihre Verteidigungsbereitschaft darum schon erhöht, um sich ihrer Verantwortung zu stellen.

 Obwohl das generelle Bewusstsein für die Bedeutung der IT-Sicherheit gestiegen ist, bleibt noch viel zu tun. Mit der klassischen IT-Firewall als Schutz gegen Datendiebe und Saboteure ist es längst nicht mehr getan. Selbst für kleinere Betriebe sollten neben stets aktueller Sicherheitssoftware zumindest Penetrationstests fester Bestandteil der Abwehrstrategie sein. Dabei attackieren Experten nach einer festgelegten Methodik automatisiert die Hauptanwendungen sowie Systeme und decken so technische Schwachstellen auf. Warum der zeitliche Abstand zwischen diesen Tests nicht zu groß sein sollte, zeigen Zahlen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Es registrierte 2021 täglich bis zu 553.000 neue Schadprogramm-Varianten und tausende Bot-Infektionen deutscher Systeme. Zusammengefasst wurden innerhalb des Berichtszeitraumes 144 Millionen neue Schadprogramm-Varianten identifiziert. Dies entspricht einem Plus von 22 Prozent gegenüber dem Vorjahreszeitraum.

Für Betriebe der kritischen Infrastruktur ist Red Teaming der neue Goldstandard der IT-Sicherheit

 Gerade Versorger als Teil der kritischen Infrastruktur sollten aber über Penetrationstests hinaus die IT-Sicherheit durch Angriffsimulationen überprüfen. So lassen sich Schwachpunkte erkennen, die beim bisherigen Hinsehen unentdeckt, versierten Cyber-Kriminellen aber kaum dauerhaft verborgen bleiben. Damit hat man im „Ich-sehe-was-was-du-nicht-siehst“-Spiel gegen Erpresser, Datendiebe oder Saboteure den Durchblick und kann mögliche Sicherheitslücken sofort schließen. Neuer Goldstandard sind für die Unternehmen umfassende Angriffsimulationen in Form des sogenannten Red Teaming. Ein Red Team imitiert exakt die Vorgehensweise potenzieller Angreifer. Dies gilt für den Einsatz spezieller Software-Tools – dafür haben Experten der Accenture-Tochter Context genau nachvollzogen, wie etwa Erpressungstrojaner aufgebaut sind. Auch der organisatorische Ablauf der Attacken wird detailliert eingehalten, inklusive dynamischer Reaktionen der Angreifer auf einzelne Abwehrmaßnahmen. Das ermöglicht eine holistische Sicht auf die Verteidigungsfähigkeit der Organisation sowie eventuelle Schwachstellen statt einer Beschränkung auf technische Aspekte.

 Angriffssimulationen unterziehen die IT einem umfassenden digitalen Stresstest

Beim Red Teaming gibt es eine konkrete Aufgabe, etwa den Server X verschlüsseln. Das Team geht sie an, wie es Erpresser mit ihrer Ransomware versuchen würden. Dazu kann gehören, Mitarbeiter via Social Engineering zum Klick auf den Anhang einer E-Mail zu verleiten. Sich dem Server auf Umwegen über Nebensysteme zu nähern, die firmenintern bisher als wenig sicherheitsrelevant galten. Und natürlich im Fall der Entdeckung durch unerwartete Aktionen die ergriffenen Gegenmaßnahmen auszuhebeln. Dies unterzieht die digitale Verteidigungsfähigkeit des Unternehmens in einem einige Tage bis mehrere Wochen dauernden Katz-und-Maus-Spiel auf allen Ebenen einem massiven Stresstest. So lassen sich wertvolle Erkenntnisse über technische und organisatorische Fähigkeiten – oder Anfälligkeit – der Organisation gewinnen sowie Ansätze für Verbesserungen identifizieren. Neben Red Teaming gibt es weitere Varianten der umfassenden Angriffssimulation, die ebenfalls viele Einsichten liefern.

Eine detailliertes Angriffsprotokoll dient nach dem Red Teaming als Checkliste für Verbesserungen

 Red Teaming ermöglicht es, die IT-Sicherheit des Unternehmens über einen allgemeinen Check der Verteidigungsmaßnahmen hinaus auch industriespezifisch zu prüfen. Die Simulation basiert auf entsprechenden Bedrohungsdaten von iDefense, dem Accenture Threat Intelligence Anbieter, wie Angriffe in bestimmten Branchen meistens ablaufen. Nach dem Test erhält das Unternehmen eine Zusammenfassung für das Management sowie eine detaillierte Timeline als genaues Protokoll des Angriffs mit exakter Beschreibung der Schwachstellen. Dazu gehört auch eine Bewertung der Schwachstellen entsprechend ihres Risikos inklusive einer Empfehlung, wie sie beseitigt werden könnten. So lässt sich exakt nachvollziehen, was die Verteidiger gesehen haben und was nicht – und auf dieser Basis ein Verbesserungsprogramm starten.

 Das Red Teaming eignet sich nicht nur als Angriffssimulation für die mit dem Internet verbundene IT des Unternehmens. Es hilft auch, die Cyber-Resilienz der Operational Technology – also der von der übrigen IT weitgehend abgekoppelten OT-Systeme in Produktionsanlagen – zu stärken. Zwar schreitet die Umsetzung fortschrittlicher IT hier langsamer voran, aber die internen Betriebssysteme der Industrie könnten ebenfalls zum Ziel von Cyber-Attacken werden. Deshalb sollten auch hier moderne Abwehrmaßnahmen zum Einsatz kommen. Bereits vor einigen Jahren wäre die Anlagensteuerung eines Chemieunternehmens fast von einem Verschlüsselungstrojaner lahmgelegt worden. Ein Ingenieur hatte versehentlich eine smarte Kaffeemaschine per WiFi sowohl mit dem Internet wie auch dem OT-System verbunden. Dadurch entstand eine Brücke zwischen zwei eigentlich getrennten IT-Welten. Auf dem Umweg über die Kaffeemaschine war die Schadsoftware in die Anlagensteuerung eingedrungen. Ein Red Team mit dem Auftrag für eine Test-Attacke auf die OT hätte dieses Einfallstor für Hacker vielleicht entdeckt und schließen lassen können.

Geballtes Verteidigungs-Know-how: Context, iDefense und Accenture Security Cyber Defense

Context ist einer der weltweit bekanntesten und angesehensten Anbieter von Informationssicherheitsdiensten. Zu den Kunden zählen neben Regierungen insbesondere die Finanzbranche und Unternehmen der kritischen Infrastruktur sowie aus der Luft- und Raumfahrt oder dem Verteidigungsbereich. Der Spezialist für High-End-Cyber-Defense, nachrichtendienstliche Red-Teams, Schwachstellenforschung und Incident-Response-Services war an der Bearbeitung einiger der wichtigsten Incident-Response-Fälle der letzten Jahre beteiligt. Context unterstützt die Kunde dabei, mit einem umfassenden Maßnahmenpaket auch fortschrittlichste Cyber-Angriffe zurückzuschlagen.

iDefense ist ein Spezialist für das Zerlegen und Analysieren von Schadsoftware sowie das Erkennen von globalen Bedrohungen für Unternehmen und Schwachstellen in deren IT-Sicherheit. Die Intelligence-Plattform von iDefense stellt Kunden riesige Mengen an Daten sowie detaillierte Informationen über den Verlauf von Cyber-Attacken der vergangenen 20 Jahre bereit. Mithilfe dieser umfassenden Bedrohungsinformationen können sie bei Angriffen auf ihr IT-System schneller intelligentere Sicherheitsentscheidungen für eine wirkungsvolle Verteidigung treffen.

Accenture Security Cyber Defense bündelt in Cyber-Verteidigungs- und Fusionszentren das Know-how und die Dienstleistungen von Context, iDefense sowie weiteren Spezialisten für Cyber-Sicherheit. Ihr Wissen über den technischen Aufbau von Schadsoftware sowie die Methoden beim Social Engineering und diversen Vorgehensweisen bei Cyber-Angriffen ist die Basis zur Entwicklung stringenter Verteidigungsmaßnahmen und ihrer Überprüfung etwa durch Angriffssimulationen in Form von Red Teaming.