Thought Leadership
Malware, Ransomware oder Phishing: Unternehmen sind zunehmend von Angriffen bedroht, die Schadsoftware einschleusen, um Informationen und Intellectual Property abzugreifen. Vulnerability Management oder Penetrations-Test reichen als traditionelle Sicherheitsmaßnahmen nicht mehr aus, da sie nur bekannte Bedrohungen aufdecken, aber keine Angriffe erkennen können.
Hier kann Compromise Assessment ein wertvolle Technik sein, um das Maturity Level der IT-Security zu erhöhen.
Die Angriffsversuche auf Unternehmen werden immer ausgeklügelter: Advanced Persistant Threats (APT) setzen keine Standardtools ein, die ein IPS (Intrusion Prevention System) oder IDS (Intrusion Detection System) erkennt, sondern eigene Tools mit unbekannten Signaturen. Ziel dabei: sich in die Infrastruktur des Opfers einzunisten und sich Hintertüren offen zu halten. Dafür werden Konfigurationen in der Registry hinterlegt oder ein Service installiert, der regelmäßig ausgeführt wird.
Traditionelle Schutzmaßnahmen wie das teilautomatisierte Vulnerability Management oder Penetrations-Tests sind in Unternehmen häufig genutzte IT-Sicherheits-Features gegen Cyberangriffe. Sie decken mögliche Angriffsvektoren auf, zeigen, ob diese in der Infrastruktur ausgenutzt werden können und welche Folgen sie haben: Welche Rechte kann ein Eindringling erlangen und wie schwer wiegen die Sicherheitslücken?
Die Ergebnisse basieren beim Vulnerability Management überwiegend auf den Datenbeständen und beim Penetrations-Test auf dem Fachwissen der Tester. Mangelt es in beiden Fällen an der Qualität, können die Ursachen von Angriffen nicht ermittelt werden. Darin liegt die größte Schwäche beider Maßnahmen. Bei Penetrations-Tests liegen weitere Herausforderungen in der festgelegten Scope von Systemen und in den Berechtigungen: Diese bestimmen, wie weit ein Tester gehen darf, ohne zusätzlich Schäden an Systemen zu hinterlassen. Denn Penetrations-Tests sind invasiv und greifen in die Systeme ein – da es zu Ausfällen und Mehrkosten kommen kann, sind sie mit hohen Risiken verbunden. Dennoch stellen sie nur Momentaufnahmen von der Sicherheit des Systems und der Konfiguration zum Testzeitpunkt dar.
Im Vulnerability Management zeigen hochgeladene CVE-Daten auf Basis der Softwarepakete, die im Unternehmen zum Einsatz kommen, ob Schwachstellen vorhanden sind. Oft ist hier auch das Patch-Management aufgehängt: Sicherheitslücken werden mit neuen Software-Versionen geschlossen.
Schwachstellen traditioneller Security-Maßnahmen
Beide Methoden zeigen nicht auf, ob vorhandene Schwachstellen bereits ausgenutzt wurden. Angriffe werden oft nur erkannt, wenn sich die Systeme anders als gewohnt verhalten. Eine Schwachstelle, die von diesen traditionellen Schutzmaßnahmen ebenfalls oft übersehen wird, sind Zero-Day-Lücken: unbekannte Sicherheitslücken, die neu entdeckt wurden und deswegen von einem Angreifer ausgenutzt werden können, um erheblichen Schaden anzurichten. Herkömmliche Maßnahmen erkennen diese Lücken nicht, da sie nur auf bekannte abzielen. Auch einfache Konfigurationsfehler können von den traditionellen Maßnahmen übersehen werden – für einen Angreifer sind sie dagegen offensichtlich. Dabei handelt es sich oft um zu großzügige Berechtigungsvergaben: Im Active Directory von Windows finden sich häufig Accounts und sogar Gruppen mit diversen Berechtigungen und schlechten Passwörtern. Im Ernstfall können diese leicht ausgenutzt und die komplette Infrastruktur kompromittiert werden. Best Practice ist, Usern so wenig Rechte wie möglich einzuräumen, doch gerade in kleineren Unternehmen mit wenig Manpower in der IT ist das nicht immer der Fall. Mitarbeiter ersetzen sich gegenseitig und benötigen dafür umfangreiche Rechte. Die Konfigurationen sind per se so ausgerichtet, dass die Systeme laufen und die tägliche Arbeit verrichtet werden kann. Der Fokus auf die Sicherheit fehlt.
Kommen nur traditionelle oder präventive Maßnahmen zum Einsatz, ist das Maturity-Level der IT-Security-Infrastruktur meist nicht ausreichend, um Angriffe und akute Bedrohungen zu erkennen, zu reagieren und damit fortlaufende Schädigungen jeglicher Art zu vermeiden: Systemausfälle kosten in der Regel viel Geld und müssen auf ein Minimum reduziert werden.
