Thought Leadership
Weil die Ressourcen in der Regel begrenzt und IT-Fachleute im Tagesgeschäft schlicht überfordert sind, komplexe Angriffe zu erkennen, bietet TÜV Rheinland jetzt aktive Unterstützung in der Organisation in Form von hochqualifizierten schnellen Eingreiftruppen an, die Cyber-Attacken schnell erkennen und wirksam begrenzen: die Security Incident Response Teams (SIRT).
Die Bedrohungslage ist dynamisch wie nie. 2013 hat sich die Zahl der Cyber-Angriffe fast verdoppelt. Rund 95 Prozent aller Unternehmensnetzwerke sind mehr oder weniger hochgradig durch Advanced Malware und gezielte komplexe Angriffe gefährdet. „Viele Unternehmen sind längst Opfer eines Hacker-Angriffs geworden – ohne es zu wissen“, warnt Olaf Siemens, Global Vice President Information Security bei TÜV Rheinland. Denn traditionelle, signaturabhängige Sicherheitslösungen sind machtlos gegen die raffinierten und komplexen Cyber-Attacken. Unternehmen und Behörden, die ihre digitalen Werte vor unbefugtem Zugriff schützen wollen, müssen investieren: in Personal, Prozesse und ständige Weiterbildung. Weil die Ressourcen in der Regel begrenzt und IT-Fachleute im Tagesgeschäft schlicht überfordert sind, komplexe Angriffe zu erkennen, bietet TÜV Rheinland jetzt aktive Unterstützung in der Organisation in Form von hochqualifizierten schnellen Eingreiftruppen an, die Cyber-Attacken schnell erkennen und wirksam begrenzen: die Security Incident Response Teams (SIRT).
„Wie oft der Einsatz der IT-Sicherheitsfeuerwehr gefragt ist, hängt von der Größe des Unternehmens, der Leistungsfähigkeit des IT-Personals wie von der Branche ab“, so Olaf Siemens von TÜV Rheinland. Branchen wie Finanzen, Infrastruktur, Engineering, Verteidigung etc. werden in gewissen Zeiträumen verstärkt angegriffen. Die jeweils aktuelle Bedrohungslage kann sich auch schlagartig verschärfen, wenn etwa ein Unternehmen für Angreifer interessant wird, z.B. aufgrund von Übernahmegerüchten. „Die Dienste des SIRT-Teams von TÜV Rheinland ermöglichen es, blitzschnell auf solche Bedrohungslagen zu antworten bzw. sich rechtzeitig auf eine Abwehr einzustellen“, so Olaf Siemens.
SIRT: In Dax-Unternehmen wie im Mittelstand im Einsatz
Die SIRT-Teams von TÜV Rheinland werden inzwischen von Dax-Unternehmen ebenso in Anspruch genommen wie von Mittelständlern. Denn die Abwehr gezielter Cyber-Attacken ist stets ein Fall für Spezialisten mit Erfahrung in Sicherheitsanalysen und Schwachstellen-Tests. Da die Angreifer erfahrungsgemäß unterhalb „des Radars“ ins Unternehmensnetzwerk eindringen und unbemerkt großen Schaden anrichten können, sollte die Zeitspanne zwischen dem Erkennen eines Angriffs und der Behebung des Problems möglichst kurz sein: Keine Zeit also für Try & Error.
Der Kern eines SIRT von TÜV Rheinland besteht aus fünf permanent verfügbaren IT-Sicherheits-Spezialisten, die darauf trainiert sind, komplexe Vorgänge, die sich aus vielen unterschiedlichen Ereignissen zusammensetzen, in Zusammenhang zu bringen und logische Schlussfolgerungen daraus zu ziehen.
Nach Bedarf greift das Kernteam auf weitere interne Fachleute aus den verschiedenen mit IT-Sicherheit befassten Bereichen zurück. Zusammengenom¬men beläuft sich die Zahl der Einsatzkräfte auf derzeit rund 15 Personen – Tendenz stark steigend. Je nach Art der Herausforderung lassen sich so Teams mit speziellen Kenntnissen etwa in Kryptographie, unterschiedlicher IT-Security-Systeme wie Firewalls, Proxies, SIEM (Security Information & Event Management) sowie IDS / IPS und AntiVirus-Systemen zusammenstellen. Die Fachleute kennen sich mit Sicherheitskonzepten ebenso aus wie mit den Interna der Betriebssysteme, die im Mittelpunkt der Angriffe stehen.
Das Angriffsszenario genau verstehen, um die richtige Strategie zu entwickeln
Grundlage für einen SIRT-Einsatz ist der Abschluss eines „Threat Qualification SLA“ (Service Level Agreement) mit TÜV Rheinland. Nimmt die Organisation Hinweise auf einen sicherheitsrelevanten Vorfall wahr, meldet sie dies dem Support Center von TÜV Rheinland, das den Vorfall qualifiziert und den IT-Fachkräften vor Ort erste An¬weisungen zum weiteren Vorgehen gibt. Oft genügt es, wenn die SIRT-Experten z.B. via Online-Konferenz zusammen mit dem Kunden auf die betroffenen Systeme schauen. Ein Vor-Ort Einsatz ist dann notwendig, wenn noch kein SIRT-Sensorsystem in der Infrastruktur integriert ist oder wenn eine weiterführende Analyse betroffener Systeme gewünscht oder angemessen erscheint.
Stets geht es darum, das Angriffsszenario möglichst genau zu verstehen, um die richtigen Gegenmaßnahmen festzulegen und auch umzusetzen. Das Sensorsystem analysiert den Netzwerkverkehr und bringt, basierend auf einer sogenannten „Multi-flow“-Analysemethode, verdächtige Dokumente und ausführbare Dateien in unterschiedlichen Betriebssystemen bzw. Anwendungen zur Ausführung. Aus deren Verhalten lässt sich ermitteln, welche Systeme im Unternehmensnetzwerk betroffen sind, wie sie attackiert wurden, mit welchen Malware-Servern (Command & Control Servern) sie kommunizieren und welche Daten übermittelt werden.
Auf der Basis dieser Erkenntnisse und unter Einbeziehung weiterer, meist beim Kunden vorhandener Sicherheitskomponenten entwickelt das SIRT-Team dann Strategien und Aktionen, um den Angriff einzudämmen und zu bekämpfen. Es schafft eine isolierte Umgebung, um mit möglichem Schadcode zu arbeiten. Virtuelle Umgebungen sind dafür nicht immer sinnvoll, denn für Malware-Entwickler ist es eine Kleinigkeit, solche Umgebungen oder die Präsenz von Debuggern zu erkennen, um dann dementsprechend „nichts“ zu tun oder den Analysten „zu beschäftigen“. Je nach Tiefe der Analysen bringt das SIRT-Team auch Disassembler und andere Reverse-Engineering Tools zum Einsatz.
Schon kompromittiert? Assessment gibt Aufschluss
Um auf alles vorbereitet zu sein, sollte dem SIRT-Einsatz ein Assessment vorgeschaltet sein. Mittels einer BlackBox von FireEye überwacht TÜV Rheinland vier Wochen lang die ein- und ausgehenden Datenströme des Unternehmens. Anschließend können die Spezialisten genau sagen, ob und wo die Organisation bereits angegriffen wurde und was dagegen zu tun ist.
Umfassende Informationssicherheit für Unternehmen und Institutionen
Als führender unabhängiger Prüfdienstleister für Informationssicherheit in Deutschland bietet TÜV Rheinland Unternehmen und Institutionen ganzheitliche Informationssicherheit von der strategischen Beratung über Konzeption und Prozessoptimierung bis zu Implementierung, Betrieb oder Zertifizierung der Systeme. Exzellente Technologie-Expertise, umfassendes Branchen-Know-how und strategische Partnerschaften mit Marktführen ermöglichen die Entwicklung standardisierter und individueller Sicherheitslösungen. Kerngeschäftsfelder sind die Strategische Informationssicherheit, Qualität und Sicherheit für Applikationen und Portale, Mobile und Network Security sowie die IT-Sicherheit in Industrieanlagen und kritischen Infrastrukturen.
