Anzeige

Warnleuchte

Auf IT-Sicherheitsvorfälle zu reagieren, fällt vielen Teams schwer, da komplexe Systemlandschaften und Firmenstrukturen zu unklaren Verantwortlichkeiten führen. Um diesem Risiko zu begegnen, bietet es sich an, Cyberangriffe zu simulieren und so zu üben.

Die beste Planung, die durchdachtesten Prozesse und die optimal aufgestellte Organisation helfen nicht, wenn sie nicht einmal ordentlich erprobt wurden. Eine Erfahrung, die schon viele mit Backup-Systemen machen mussten, die zwar „eigentlich“ immer laufen, im Ernstfall aber versagen, weil eben genau dieser Ernstfall nie getestet wurde. Nicht nur Backups, auch IT-Security und Bereitschaft, auf Angriffe zu reagieren sind wichtige Teile von Business-Continuity Planungen. Um im Ernstfall also nicht kopflos und ungeplant zu reagieren, lohnt es sich regelmäßig, die eigene Bereitschaft zu testen indem reale Angriffsszenarien simuliert werden. Dabei wird nicht nur die Angst der Beteiligten reduziert, im Ernstfall notwendige Entscheidungen zu treffen, es wird auch sichergestellt, dass Meldeketten eingehalten werden und die zu benachrichtigenden Personen auch wirklich benachrichtigt werden.

In der Umsetzung stellt sich als erstes die Frage, ob ein solcher Angriff auf einem Test- oder einem Produktionssystem simuliert werden sollte. Für das Produktionssystem spricht, dass ein echter Angriff in der Regel auch auf diesem System passieren würde. Aber es birgt natürlich ein gewisses Risiko, ein Produktivsystem zu manipulieren und mögliche Ausfälle zu riskieren. Die Nutzung des Testsystems lässt allerdings den Beteiligten schnell klar werden, dass es sich um ein simuliertes Szenario handelt. Es ist daher klar zu kommunizieren, dass die Simulation trotzdem mit entsprechender Priorität und Professionalität durchzuführen ist.
 

Fire, Blue Light, Fire Fighting, Car Fire, Fire Fighter

Brände löschen will gelernt sein. Das gilt nicht nur für die Feuerwehr, sondern auch in der IT.

 

Einen Angriff zu simulieren, der einem realistischen Szenario möglichst nahekommt, ist nicht einfach und braucht Eingeweihte und Freigaben zur Durchführung. Im besten Fall wird die Runde so klein wie möglich gehalten, um den Ablauf nicht zu stören und dem Realitätsanspruch Genüge zu tun.

Ein Angriff fängt immer irgendwo mit einer kompromittierten Komponente an. Dies kann eine Backdoor im Produktivsystem sein oder ein kompromittierter Mitarbeitercomputer. Ausgehend davon wird ein Worst-Case-Szenario skizziert und bis zu einem gewissen Maße auf dem Zielsystem angewendet. 

Gehen wir beispielsweise von einem kompromittierten Mitarbeitercomputer aus: Der Computer des Mitarbeiters, in diesem Fall ein Laptop, der auch im Homeoffice oder bei der Bereitschaft genutzt wird, wird dabei mit einer Remote-Control-Software ausgestattet und eingeschaltet im Büro „vergessen“. Es ist dabei unerheblich, wie dieser initiale Angriff stattgefunden hat, solange das Szenario halbwegs realistisch ist. Und ein gehackter Laptop ist definitiv denkbar, schließlich bieten auch die besten Antiviren-Programme nur begrenzte Sicherheit.

Somit ergibt sich eine Hintertür, durch die der (simulierte) Angreifer seine Rechte ausweiten und Zugriff auf Unternehmensdaten bekommen kann. Der Mitarbeiter ist an dem Tag offiziell im Urlaub, kann aber (z. B. von Zuhause oder von einem getrennten Büro aus) als Angreifer fungieren und den simulierten Angriff durchführen.
 

Programming, Developing, Startup, Start-Up, Notebooks

Ein Angreifer braucht oft nicht mehr als ein kompromittiertes Endgerät, um schweren Schaden anzurichten.

 

Danach wird der fingierte Angriff gestartet, beispielsweise können weitere Hintertüren installiert werden (entsprechend den Berechtigungen des vermeintlich kompromittierten Mitarbeiters). Es können zum Beispiel Daten heruntergeladen werden oder Konfigurationen und Dienste manipuliert werden. Wie immer gilt: Bei Daten in Produktivsystemen muss natürlich trotzdem auf ausreichenden Datenschutz geachtet werden, es sollen ja am Ende keine Kundendaten versehentlich abhandenkommen.

Auch Commits in interne Sourcecode-Repositories, Downloads von Daten, o. ä. sind Aktivitäten, die Spuren hinterlassen und bei einem realistischen Angriff stattfinden können. Durch den Informationssicherheitsbeauftragten wird dann die Bereitschaft oder das Operations-Team informiert, dass es „verdächtige Aktivitäten“ gibt, sofern diese nicht bereits selbst aktiv geworden sind. Ab jetzt ist es dem Team überlassen, das Szenario „zu Ende zu führen“ und zu signalisieren, sobald der Angriff blockiert und die Systeme wieder hergestellt werden konnten. 

Wichtig ist es danach, mit allen Beteiligten eine gemeinsame Post-Mortem-Analyse durchzuführen, den Angriff detailliert zu beschreiben und getroffene Maßnahmen zu besprechen. Wie bei jedem Post-Mortem gilt es, hier nicht nach Fehlern zu suchen, sondern sowohl den Post-Mortem-Prozess proaktiv zu verbessern als auch gemeinsam die Übung zu reflektieren und an den daraus gewonnenen Erfahrungen als Team zu wachsen. Die getroffenen Maßnahmen werden abgeglichen mit der Liste der Angriffe und es wird gemeinsam besprochen, ob und wie diese Maßnahmen die Bedrohungssituation entschärft haben.

Es kann durchaus erwartet werden, dass im Zuge der Simulation der Account des Mitarbeiters temporär durch HR oder IT deaktiviert wird, bis geklärt ist, wie die Situation ist. Der Rechner des Mitarbeiters sollte, um zu prüfen, ob und wie dieser als Einfallstor genutzt wurde, als Beweis gesichert werden. Auf den angegriffenen Zielsystemen müssen alle Hintertüren und Modifikationen gefunden werden.

Ergebnis einer solchen Simulation ist in der Regel ein Maßnahmenkatalog zur Verbesserung der Kommunikation, Herangehensweise und gegebenenfalls auch die Aufdeckung möglicher Sicherheitslücken oder Schwachstellen, die im Rahmen der Simulation aufgetreten sind. Auch führt diese praktische Erfahrung dazu, dass Mitarbeiter nun genau wissen, wie im Ernstfall reagiert werden muss.

Kommunikation und Verantwortlichkeiten werden geklärt und die Hemmschwelle, eine kritische Entscheidung zu treffen, wird gesenkt. Das Ergebnis ist ein weitaus professioneller auftretendes Team, welches gestärkt aus der Übung herausgehen sollte und künftig im Notfall weiß, welche konkreten Maßnahmen zu ergreifen sind.

 

Bastian Ike, Technical Director of Cyber Security
Bastian Ike
Technical Director of Cyber Security, AOE
Er ist federführend beteiligt an der Konzeption, Entwicklung und Sicherheitsarchitektur von Enterprise-Projekten wie z. B. für den London Heathrow Airport, die Deutsche Telekom sowie der AOE Marktplatzlösung Omnevo.

Artikel zu diesem Thema

Hackerangriff
Mär 10, 2021

Sicherheitslücken in IoT-Geräten: Gefährlicher Vollzugriff für Hacker

Ob Überwachungskameras für Häuser und Firmen, Babycams, der Saugroboter oder die smarte…
DSGVO
Mär 09, 2021

DSGVO-konforme Mitarbeiterschulungen nach Schrems-II

Letzten Sommer wurde das Privacy-Shield-Abkommen vom EuGH für ungültig erklärt. Einige…
Schutzschild
Feb 28, 2021

Recoverware - Lebensversicherung für die Unternehmens-IT

2020 hat uns mit Blick auf die Cyber- und Datensicherheit einige wichtige Lektionen…

Weitere Artikel

Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.
Cybersecurity

So gestaltet sich mehrstufiger IT-Schutz

Arbeitet man in einem kleinen Unternehmen wird eine wichtige Sache oft vergessen: Computersicherheit. Da der Fokus mehr darauf liegt, Aufträge zu bekommen und zu erfüllen, rückt das Thema IT-Schutz eher in den Hintergrund.
Insider-Threats

Insider-Threats durch übermäßige Berechtigungen

Das Knacken des Codes, das Besiegen eines Endgegners oder das Entdecken eines verlorenen Schlüssels – all das sind Möglichkeiten, in Videospielen aufzusteigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.