IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

AwarenessAlle Mitarbeiter, egal ob z.B. in Assistenz oder Vertrieb, in der IT oder der Geschäftsführung, müssen um die Bedeutung der IT-Sicherheit wissen und in ihrem Arbeitsalltag danach handeln, auch wenn dies weniger Komfort bedeutet. 

Um nicht Angriffen wie z.B. einem Verschlüsselungstrojaner oder Angriffen auf die Schwachstelle Mensch ausgesetzt zu sein, braucht es sattelfeste Grundkenntnisse. Murphys Gesetz führt uns ausgehend von einem IT-Sicherheitsvorfall und Fehlern anderer Unternehmen zu Tipps für wirksame Schutzmaßnahmen im Prozess der IT-Sicherheit und dem richtigen Handeln im Ernstfall.

Murphys Gesetz in der IT-Sicherheit am Beispiel Verschlüsselungstrojaner

Sie kennen Murphys Gesetz zu Fehlerquellen in komplexen Systemen und der Rolle von menschlichem Versagen? Danach wird z.B., wenn es eine Möglichkeit gibt, dass Dinge schiefgehen, dasjenige schiefgehen, das den größten Schaden anrichtet. In ausgeweiteter Form: Wenn eine Kette von Ereignissen schiefgehen kann, wird das auch in der schlimmst möglichen Reihenfolge geschehen.

Wie wirkt sich Muryphs Gesetz in der IT-Sicherheit praktisch aus? Der IT-Forensiker und IT-Sicherheitsberater Alexander Sigel von DigiTrace aus Köln hat in seiner Beratungspraxis mehrfach erlebt, welche gravierenden Fehler Unternehmen (darunter eine Rechtsanwaltskanzlei, eine Hochschule, eine Gemeinschaftspraxis, ein Krankenhaus, eine Kommune und ein produzierendes Unternehmen) jeweils gemacht haben, die einem Verschlüsselungstrojaner erst Tür und Tor öffneten. Scherzhaft lassen sich daraus folgende lehrreichen „Gesetzmäßigkeiten“ ableiten:

  • Hat eine E-Mail einen Begleittext, der ein halbwegs seriöses, legitimes geschäftliches Anliegen suggeriert, z.B. eine Bewerbung oder eine Rechnung, wird ein Mitarbeiter den Anhang anklicken.
  • Selbst wenn ein Anwender auf einer angesehenen Webseite unterwegs ist, wird er früher oder später auf eine Webseite umgeleitet werden, die Malware enthält, z.B. durch Schadsoftware aus Werbenetzwerken (drive-by, malvertising).
  • Wenn sich ein Verschlüsselungstrojaner als Word-Makro im Mail-Anhang verbreitet, werden Anwender die zweifache Makrowarnung aus Neugier auch dann bestätigen, nachdem bereits eine Warnmail der IT-Abteilung versendet worden ist.
  • Wenn der Trojaner zuschlägt, wird er sicher nicht nur das lokale Laufwerk auf einem einzigen Client verschlüsseln, sondern auch alle im Netzwerk eingebundenen, auf die vom Client aus Schreibrechte bestehen.
  • Sobald Ihre IT die Backups einspielen möchte, wird sie bemerken, dass diese fehlen oder nicht funktioniert haben.
  • Der Datenverlust wird sicher die Anwendung betreffen, welche die wichtigsten Daten für den Fortbestand des Unternehmens enthält, die größtmögliche Zahl von Anwendern wird nicht arbeiten können und der Ausfall wird zeitlich notwendig genau dann zuschlagen, wenn Sie es am wenigsten gebrauchen können.

Ihre Vorsorge: Wirksame Schutzmaßnahmen

Dank Sodd's zweitem Gesetz können Sie unerwünschte Folgen glücklicherweise abwehren: „Früher oder später wird sich das Schlimmste ereignen. Folgerung: Jedes System muss so geplant werden, dass es der schlimmsten Form der Umstände widerstehen kann.“

Was können Sie hier also aus den Fehlern anderer Unternehmen lernen? Sichern Sie regelmäßig Ihre Daten. Prüfen Sie regelmäßig, ob Backups wirklich zurückgespielt werden können. Schränken Sie Berechtigungen auf das nur unbedingt benötigte Maß ein. Geben Sie Zugriffe nur temporär frei solange benötigt. Arbeiten Sie im Alltagsbetrieb nicht mit einer Administratorkennung. Trennen Sie Netze und Standorte wirksam durch Firewalls so, dass diese sich nicht mehr unbeschränkt untereinander erreichen können. Installieren Sie als Basismaßnahme aktiven Virenschutz und halten Sie diesen aktuell. Filtern Sie E-Mails mit bestimmten Anhängen schon auf dem Mailserver. Verbieten Sie den Anschluss externer Datenträger wie z.B. USB-Sticks an gewöhnliche Arbeitsstationen und gewährleisten Sie dies technisch. Prüfen Sie regelmäßig die Effektivität Ihrer Schutzlösungen, z.B. durch Penetrationstests, also simulierte Angriffsversuche durch beauftragte IT-Experten. Trennen Sie funktional zwischen Zugriff auf nicht vertrauenswürdige Bereiche (Browsen im Internet, E-Mail-Anhänge) und der Bearbeitung vertraulicher Daten (Beachten Sie bitte den Veranstaltungshinweis am Ende dieses Artikels auf den Workshops des Autors auf der ISD 2016).

Stellen Sie Ihren Web-Browser auf die höchst mögliche Sicherheitsstufe, installieren Sie Sicherheits-Plugins wie z.B. Pop-up- oder Skript-Blocker und deinstallieren Sie typische unsichere Plugins wie z.B. Flash, Java oder Active X. Halten Sie benötigte Plugins aktuell.

Allem voran aber: Schulen Sie alle Anwender darin, wie die Verbreitung und Infektion mit Malware abläuft und wie sich diese im Zweifel verhalten sollen. Das kann z.B. eine Live-Vorführung einer Infektion auf einem Testsystem sein oder das Versenden einer Mail mit erkennbar etwas dubiosen Inhalten, bei der ein Link, sollte ein Anwender diesen ausführen, auf eine Webseite des Unternehmens führt, auf der die Geschäftsführung in einem kurzen Schulungsvideo erläutert, was dieser Anwender besser getan hätte.

Was Sie definitiv nicht tun sollten

Vermeiden Sie „offene Scheunentore“ (wiederum aus der täglichen Beratungspraxis von DigiTrace):

  • Ein VPN-Zugangsserver mit dem Betriebssystem Windows Server 2003 (entspricht XP, d.h. schon länger nicht mehr vom Hersteller unterstützt) hängt direkt im Internet und wird täglich automatisiert aus verschiedenen Ländern angegriffen. Ein solches System ist binnen Sekunden kompromittierbar!
  • Zentrale Netzwerk- und Speicherkomponenten sind seit Jahren mit dem Standard-Passwort des Auslieferungszustandes konfiguriert und können von Jedermann sabotiert werden.
  • Sämtliche wichtigen Administrations-Passwörter eines Unternehmens liegen in einer unverschlüsselten Excel-Datei auf dem unverschlüsselten Windows-Laptop eines IT-Mitarbeiters.
  • Ein unverschlüsseltes Unternehmens-WLAN (kein Gäste-WLAN) ist auch auf der anderen Straßenseite zu empfangen.
  • Für alle beschreibbare NFS-Shares erlauben einem Angreifer den Abgriff und die Zerstörung vertraulicher unternehmenskritischer Daten.
  • Ein Kopierer erlaubt über Netzwerk ohne Kennwort das Auslesen der zuletzt gedruckten Dokumente, darunter auch Passwortdateien der IT-Abteilung und die Kundendaten.
  • Im Unternehmensnetz hängt „graue IT“ mit uralten Patchständen, d.h. IT-Systeme, die niemand kennt und für die offenbar keiner zuständig ist und die z.B. seit über 10 Jahren ohne Updates laufen. Z.B. Haustechnik, etwa die digitale Türschließanlage mit Kartenleser.
  • Social Engineering: Ein Unternehmensfremder ruft an oder mailt und erhält ohne Identitätsprüfung Zugangsdaten oder vertrauliche Informationen. Oder diesem gelingt es im Rahmen des sogenannten Vorstands-Angriffs Mitarbeiter zu Millionenzahlungen auf Konten im Ausland zu bewegen.

Checklisten und Sicherheitsprozess

Bei der heutigen digitalen Bedrohungslage ist systematische Prävention erforderlich und auf Dauer vermutlich günstiger als ein einziger, gewichtiger IT-Sicherheitsvorfall. Schauen Sie sich IT-Sicherheitstipps und Checklisten von verschiedenen Organisationen an und adaptieren Sie diese für Ihr Unternehmen. So gibt beispielweise DigiTrace auf Merkblättern getrennt für Anwender und Entscheider je 10 Sicherheitstipps. Diese sind offensichtlich, werden aber dennoch häufig in der Praxis ignoriert. Z.B. Nutzen Sie persönliche und separate Zugangskennungen mit minimalen Rechten, verschlüsseln Sie Ihre Daten oder halten Sie Ihre Software aktuell.

Wichtiger als isolierte Schutzmaßnahmen ist jedoch folgende Erkenntnis: Die Kette ist nur so stark wie das schwächste Glied. Nach Murphy wird sie an der schwächsten Stelle reißen. Daher ist es erforderlich, Informations- und IT-Sicherheit als ganzheitlichen Prozess zu betrachten. Sicherheit ist nie „fertig“, sie kann nur mit entsprechendem Sicherheitsbewusstsein in tägliche Abläufe eingebettet werden. Dabei ist es Ziel, ein für den jeweiligen Schutzbedarf angemessenes Sicherheitsniveau zu erreichen und zu halten.

Was aber tun, wenn es schon passiert ist? (Incident Response)

Es wird sich vielleicht nicht vermeiden lassen, dass auch Sie in Zukunft von einem IT-Sicherheitsvorfall betroffen sein werden. Dabei wird die Vertraulichkeit, Verfügbarkeit oder Integrität Ihrer IT-Systeme oder Daten nicht mehr gewährleistet sein. Daher sollten Sie auch darauf gut vorbereitet sein, um im Ernstfall zügig, aber überlegt reagieren zu können.

Eine hilfreiche kleine Handreichung ist der IHK-Leitfaden „Richtig reagieren bei einem IT-Sicherheitsvorfall: Incident Reponse“, den DigiTrace mit den IHKs erarbeitet hat. Stufen Sie fragliche Vorkommnisse zunächst als IT-Sicherheitsvorfall ein. Denn im Zweifel ist ein Fehlalarm besser als ein übersehender IT-Sicherheitsvorfall. Das Dokument geht kurz auf typische Fehler bei der Vorfallbehandlung ein und gibt wertvolle Tipps, etwa nur einen kleinen Kreis vertrauenswürdiger Personen einzubeziehen, Prioritäten zu setzen, betroffene IT-Systeme und Daten sicherzustellen, Daten nicht zu verändern oder den Vorfall geeignet zu dokumentieren.

Die Handlungsbereitschaft kann auch überprüft und gesteigert werden durch jährliche Notfallübungen zur Informations- und IT-Sicherheit, in der verschiedene Szenarien gedanklich durchgespielt werden. Dazu zählt auch die Erhöhung der IT-forensischen Handlungsbereitschaft (IT Forensic Readiness), um im Ernstfall auswertbare Datenspuren zur Aufklärung zu haben.

Fazit

Wenn Sie Informations- und IT-Sicherheit als bewussten Prozess in die Arbeitsabläufe aller Mitarbeiter integrieren, durch Aufklärung ein Bewusstsein für die Angreifbarkeit und den Ablauf von Angriffen schaffen und offensichtliche „offene Scheunentore“ schließen, haben Sie eine gute Chance, den nächsten IT-Sicherheitsvorfall erst später zu erleben. Sie müssen dennoch darauf vorbereitet sein. Resignieren Sie nicht angesichts von Murphys Gesetz: „Immer, wenn man etwas ernsthaft machen möchte, kommt etwas anderes dazwischen“. Fangen Sie noch heute an und bleiben Sie jeden Tag dran.

Alexander SigelAlexander Sigel, M.A., Partner und Geschäftsführer der DigiTrace GmbH, Köln. (Freier) Sachverständiger für IT-Forensik
Martin Wundram

Dipl.-Wirt.-Inf. Martin Wundram, Partner und Geschäftsführer der DigiTrace GmbH, Köln. Von der IHK zu Köln öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, insbesondere IT-Sicherheit und IT-Forensik

Mehr zum Thema IT-Sicherheit in Veranstaltungen mit DigiTrace-Beteiligung:

Martin Wundram von DigiTrace können Sie am Donnerstag 22. September 2016 im Phantasialand Brühl bei den Internet Security Days 2016 (ISD 2016) im Workshop „Sichere Arbeitsumgebung durch Virtualisierung und Sandboxing“ erleben. Dabei geht es um die funktionale Trennung von Arbeitsumgebungen mittels Virtualisierung zum Schutz vor IT-Sicherheitsvorfällen.

Am 27. September 2016 wird er in Köln für die IHK Köln bei dem Digital Workshop Sicherheit einen Vortrag zu IT-Angriffen und Gegenmaßnahmen halten sowie am 2. und 3. November 2016 in Wolfsburg auf der Konferenz „Leetcon“ über Incident Response und Qubes OS berichten.

 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet