Der Vierklang: Vorhersagen, verhindern, erkennen, reagieren

Schwachstellen in der eigenen Netzwerkinfrastruktur sind unvermeidbar – kein Unternehmen hat ein absolut dichtes Netz. Manche Unternehmen haben aber ein dichteres als andere: Sie wissen, was sie eigentlich betreiben, welche Prozesse geschäftskritisch – und damit schützenswert – sind, wo welche Daten liegen und vor allem, welche Angriffe ihnen wirklich weh tun können. Das Gute daran ist, dass quasi jedes Unternehmen diese Stufe erreichen kann.

Vorhersagen, verhindern, erkennen, reagieren: Dieser typische Vierklang ist es, den IT-Sicherheitsverantwortliche Tag für Tag anstimmen sollten. Denn nur wenn diese vier Aktionen ineinandergreifen, besteht Rundumschutz. Wie aber soll man vorhersagen, welche Bedrohungen künftig aufs eigene Netzwerk einprasseln? Und selbst wenn man diese vermeintlich aus der Glaskugel stammende Information hat, was macht man dann damit?

Die erste Frage ist nicht schwer zu beantworten. Und die Antwort hat auch nichts mit der Glaskugel zu tun. Das lässt sich leicht mittels zweier prominenter Beispiele erläutern. Zum einen wäre da die SSL Schwachstelle Heartbleed, zum anderen das Mirai-Botnet. In Fall von Heartbleed war klar, dass ab dem Bekanntwerden der Schwachstelle Online-Kriminelle sofort das Internet nach verwundbaren Servern absuchen werden. Im Fall von Mirai war es die Veröffentlichung des Quellcodes im Herbst 2016, die das Gefahrenpotential des Internet-of-Things-Schädlings massiv anwachsen lässt.

Und dennoch wurden reichlich Unternehmen Opfer dieser beiden Bedrohungen. Heartbleed führte auch noch Wochen nach dem Veröffentlichen der entsprechenden Updates noch zu erfolgreichen Attacken – und in der Folge Datenlecks – bei diversen Organisationen auf der ganzen Welt. Mirai hingegen brachte neben der Deutschen Telekom noch andere Provider aus dem Tritt, weil die von den Anbietern an Kunden herausgegebene Router (also IoT-Geräte) von Mirai aufs Korn genommen wurden.

Glaskugel kann im Schrank bleiben

Man musste also kein Hellseher sein, um als IT-Sicherheitsverantwortlicher die drohende Gefahr auf seine Infrastruktur zurollen zu sehen. Das gilt auch für Uralt-Angriffsmethoden wie SQL Injection, die es seit mehr als 20 Jahren gibt – dennoch aber immer wieder erfolgreich von Angreifern verwendet wird. Es ist ohnehin leichter gesagt, als getan, sich ständig zu informieren: Die beiden genannten Beispiele wurden weltweit in den einschlägigen Fachmedien diskutiert. Tausende andere Bedrohungen werden dies jedoch nicht. Und selbst wenn: Wer hat schon die Zeit, diese Veröffentlichungen zu flöhen? Es muss also eine andere Lösung her für dieses Problem. Doch dazu später mehr.

Bevor ein IT-Sicherheitsteam massenhaft Daten über Angriffe ins Haus holt, muss zuerst einmal die wichtigste Hausaufgabe erledigt sein. Die Rede ist vom Erfassen der eigenen Infrastruktur. Dazu gehören nicht nur die Server- und Desktopbetriebssysteme. Sondern alle Server- und Clientanwendungen. Webanwendungen. Switche beziehungsweise deren Firmware. Drucker und deren Software. IP-Telefonanlagen und so weiter und so weiter. Denn nur wer weiß, auf welchen Maschinen überhaupt die durch Heartbleed verwundbare Version der SSL-Binärdateien läuft, kann auch zeitnah Updates aufspielen. Im Fall einer Schulbehörde in den USA kam es zu einer teuren Ransomware-Attacke, weil die IT-Verantwortlichen den infizierten Server eigentlich offline wähnten. Und was nicht angeschaltet ist, kann auch nicht infiziert werden. Zumindest in der Theorie. Warum der Server letztendlich wider Erwarten doch lief, spielt keine Rolle. Wichtig ist, dass er lief – und dann infiziert wurde.

Kollege Roboter muss helfen

Die Inventaranalyse muss automatisch und fortlaufend passieren. Andernfalls hinkt man immer hinterher und gefährdet die Sicherheit, da selbst in mittelgroßen Netzwerken der Aufwand explodiert. Zum Erfassen der Bestände gibt es kostenfreie Lösungen wie riddler.io von F-Secure, aber auch reichlich kommerzielle Produkte. Letztendlich muss jedes Unternehmen selbst entscheiden, welcher Funktionsumfang der richtige ist. Genau wie jedes Unternehmen anhand der Ergebnisse des Scans entscheiden muss, ob das gerade veröffentlichte Update für Oracle-Datenbanken überhaupt relevant ist fürs eigene Netzwerk.

Diese Frage lässt sich erst beantworten, wenn man weiß, ob und in welcher Version die Software im eigenen Netz läuft, welche aktuellen Angriffe es auf solche Systeme abgesehen haben und welche Konsequenzen ein erfolgreicher Angriff auf dieses System haben würde. Letzteres stellt heutzutage leider so gut wie jede IT-Abteilung vor große Rätsel: Die IT-Fachleute wissen gar nicht, welche Geschäftsprozesse kritisch sind und welche weniger wichtig. Davon hängt aber ab, mit welcher Dringlichkeit das Update zu installieren ist.

An dieser Stelle sei ein kurzer Exkurs erlaubt, um wichtige Tipps rund um Updateprozesse unterzubringen. Die meisten großen IT-Organisationen sind immer noch der Ansicht, dass Updates vor der Installation erst einmal gründlich in einer Testumgebung Probegefahren werden müssen. Um eventuelle Kompatibilitätsprobleme in der wirklichen Welt zu verhindern. Praktiker haben jedoch ermittelt, dass das Risiko eines erfolgreichen Angriffs durch dieses langwierige Testen erheblich größer ist als die Gefahr von Abstürzen durch die Updates. Wochenlanges Testen führt also in erster Linie zu weniger Sicherheit, da die Angreifer ihre Waffen ja bereits in Stellung gebracht haben.

Lösen lässt sich das Problem, in dem Updates sofort verteilt werden – aber nur an ausgewählte Nutzer. Beispielsweise einen Anwender pro Abteilung. Gibt es binnen weniger Stunden keine Klagen, empfangen am nächsten Tag die Rechner eines Drittels der Belegschaft das Update. Bleibt wieder alles ruhig, werden an Tag 3 alle übrigen Maschinen betankt. Die Qualität der Updates ist in den letzten Jahren so massiv gestiegen, dass das Risiko von Kompatibilitätsproblemen im Schnitt gegen Null geht.

Wo regnet es eigentlich gerade rein?

Einfluss auf das Verteilen der Updates sollte zudem die Information haben, welche Schwachstellen auf welchen Maschinen zum jeweiligen Zeitpunkt offen sind. Diese Angaben trägt ein Tool zum Schwachstellen-Management bei. Lösungen wie Radar von F-Secure halten nicht nur das Hard- und Software-Inventar aktuell. Sie bringen auch eine Liste bekannter Sicherheitslücken mit und spüren diese im eigenen Netzwerk – zu dem natürlich auch die besonders exponierten Webserver gehören – verlässlich auf. Korreliert man diese Angaben mit den Auskünften der Fachabteilungen zur Relevanz einzelner Geschäftsprozesse, formuliert sich die Prioritätenliste quasi von selbst.

Die F-Secure Suite bietet eine 360 Grad Sicht auf den Stand der IT-Sicherheit. (Bild: F-Secure)

Grundlage der Schwachstelleninformation sind sogenannte Threat Intelligence-Dienste. Also kostenpflichtige oder kostenfreie Datenströme, die Angaben wie Quell-IPAdressen von Angriffen, Hashwerte von bekannter Malware oder zum Herausschleusen von geklauten Daten verwendete Ports und Protokolle. Diese Rohdaten sind nur zur maschinellen Verarbeitung da. IPS/IDS-Systeme oder Firewalls können mit Hilfe dieser Daten ihre Regelsätze automatisch anpassen. Oftmals stehen diese MRTI (Machine Readable Threat Intelligence)-Angaben stellvertretend für Threat Intelligence. Dem ist aber nicht so. Denn aufbauend auf diesen Angaben finden sich die taktischen beziehungsweise betriebsnotwendigen Informationen des Threat-Intelligence-Angebots. Diese Infos sind für Menschen gemacht und bringen Erkenntnisse wie die oben erwähnte Veröffentlichung des Mirai-Quellcodes oder der Heartbleed-Schwachstelle. Und natürlich liefern die Dienste auch Tipps zu Gegenmaßnahmen.

Die Spitze der Threat-Intelligence-Pyramide ist für die Entscheiderebene im Unternehmen gedacht: Das Management muss ja schließlich darüber befinden, ob eine neue Firewall angeschafft wird oder doch eine Threat-Intelligence-Lösung. Auf dieser Ebene ist es auch wichtig zu verdeutlichen, wie man den Erfolg einer solchen Lösung messen will. Und welche (positiven) Auswirkungen der Dienst beim Einhalten von rechtlichen Vorgaben wie der EUDatenschutzgrundverordnung haben kann. Um gezielt zu investieren, muss die Unternehmensführung auch wissen, ob Geld in die Breite fließt – also alle Schutzkomponenten wie Firewall, Antivirenlösung, IPS/IDS, Threat Intelligence gleichmäßig bedacht werden –, oder man nur wenige Systeme geschützt werden sollen. Das dann aber mit maximalem Aufwand.

Ergänzung

Die ideale Ergänzung zu Threat-Intelligence-Lösungen sind Angebote von Managed-Service- Anbietern. Denn viele Unternehmen haben die Mitarbeiter, die zum Auswerten der Informationen nötig sind, gar nicht im eigenen Stall. Beziehungsweise haben die vorhandenen Mitarbeiter soviel zu tun, dass vorausschauende Abwehr erschwert wird. Von daher empfehlen sich Managed Services, bei denen der Anbieter die Gewichtung neuer Angriffe vornimmt und dann entweder im Gespann mit internen Fachleuten des Kunden die Relevanz fürs jeweilige Unternehmen festlegt. Oder das auch gleich ganz selbst erledigt. Und zwar rund um die Uhr, was mit festangestellten Mitarbeitern insbesondere im Mittelstand schwer werden dürfte.

Die beste Threat Intelligence nutzt jedoch nichts, wenn die ermittelten Daten nicht in Aktionen münden – womit wir wieder beim eingangs genannten Vierklang wären. Aus der Vorhersage per Threat Intelligence muss eine Abwehraktion entstehen. Durch Firewallregeln, Installation von Updates – oder Awarenesstrainings für die Anwender. Denn alle Schutztechnik ist nutzlos, wenn die Nutzer nicht Bescheid wissen, welcher Social-Engineering-Tricks sich Kriminelle derzeit bedienen. Nur wer Bescheid weiß, spart sich den Klick auf den vergifteten E-Mail-Anhang.

Autor: Berk Kutsal, Manager SoMe & PR F-Secure