Cyber-Angriffe auf deutsche Medienunternehmen
13. Juli 2018Tatsächlich haben mehr als 60 Länder Cyber-Waffen für Computerspionage und Angriffe entwickelt oder entwickeln sie gerade. Es handelt sich damit um eine Art "Kaltem Cyber-Krieg", in dem Regierungen versuchen, sich gegenseitig mit einem wachsenden Arsenal an Cyber-Waffen und Cyber-Abwehrstrategien zu überholen. Der „normale“ Cyber-Kriminelle lernt schnell von diesen militärischen Cyber-Waffen, wodurch sich die Kluft zwischen nationalstaatlichen Angriffen und anderen Formen der Cyber-Kriminalität schnell schließt.
Über die potenziell lähmenden Auswirkungen eines nationalstaatlichen Angriffs hinaus können die Kosten hoch sein. Vor kurzem wurde ein US-Energieunternehmen mit einer Geldstrafe von 2,7 Millionen Dollar belegt, weil es kritische Daten mehr als 70 Tage lang ungeschützt ließ und damit gegen die Cyber-Sicherheitsvorschriften des Energiesektors verstieß. Unternehmen sollten folgende Tipps beachten, um den Status ihrer Cyber-Abwehr zu bewerten:
1) Erkennen Sie, welche Informationen auf Ihren Systemen gespeichert sind und über Ihr Netzwerk laufen. Je sensibler die Informationen, desto gefährdeter sind sie für eine nationalstaatliche Bedrohung. Dies ist nicht nur für staatliche Stellen wichtig, sondern auch für jedes Unternehmen, das sensible Daten oder Geschäftsgeheimnisse aufbewahrt. Dies können Anwaltskanzleien, Hersteller, Finanzdienstleister, Versorgungsunternehmen, Einzelhandels- und Medienunternehmen sein. Darüber hinaus ist es wichtig, einen tiefen Einblick in die Datenverkehrsmuster in Ihrem Netzwerk zu gewinnen, damit Sie sowohl hochvolumige DDoS-Angriffe als auch kurzzeitige, niedrigvolumige Angriffe wie z.B. Stresstests erkennen können.
2) Betrachten Sie die Herkunft Ihrer IT-Lieferanten. Überprüfen Sie sorgfältig alle neuen Technologien, die Sie von Unternehmen mit Sitz in Ländern erwerben, die die größten Bedrohungen für Ihr Netzwerk darstellen. Das National Institute of Standards and Technology (NIST) ist eine nützliche Ressource, um die empfohlenen Einkaufsbeschränkungen für bestimmte Lieferanten oder Länder zu überprüfen.
3) Isolieren Sie Ihre internen Netzwerke vom Internet. Wenn der Zugriff auf das Internet für bestimmte Anwendungen oder interne Datensätze nicht erforderlich ist, isolieren Sie diese vom Internet. Eine korrekte Netzwerksegmentierung und -isolierung kann dazu beitragen, einen externen, nicht autorisierten Zugriff auf kritische Daten zu verhindern und eine Abwehr gegen IP-Spoofing und "Man in the Middle"-Angriffe aufzubauen. Bei diesen täuscht ein Angreifer eine andere Herkunft von IP-Paketen vor bzw. fängt die Kommunikation zwischen zwei befreundeten Parteien meist unbemerkt ab.
4) Setzen Sie Best Practices zur Verteidigung ein. Stellen Sie sicher, dass Sie ein vollständiges Bild davon gewinnen, was in Ihrer IT-Umgebung vor sich geht. Dies betrifft sowohl autorisierte als auch nicht autorisierte Aktivitäten – denn Sie können sich gegen nichts schützen oder verteidigen, wovon Sie nichts wissen. Discovery oder Asset Management Tools bilden hier die beste Grundlage. Verwenden Sie außerdem Technologien und Prozesse, um Ihre Angriffsfläche zu reduzieren, Angriffe zu erkennen und schnelle Maßnahmen zu ergreifen. Technologien wie Patch- und Schwachstellen-Management, Application Whitelisting, Privilegien-Management, Identitätsmanagement, Datei- und Medienschutz und Ransomware-Schutz helfen, sich gegen das Potenzial von nationalstaatlichen Angriffen zu schützen. Verlassen Sie sich auf Lösungen, die umfangreiche Daten und Erkenntnisse liefern, um Ihre Sicherheitslage konsistent zu analysieren und die Einhaltung von Vorschriften nachzuweisen.
5) Trainieren, trainieren, trainieren. Ihre Mitarbeiter können Ihre größte Schwäche oder auch Ihre wertvollste Verteidigungslinie darstellen. Stellen Sie sicher, dass Sie sie immer wiederkehrend darin schulen, bösartige Aktivitäten zu erkennen und zu melden. Und testen Sie dann ihr Wissen. Gut ausgebildete Mitarbeiter geben Ihrer Organisation eine zusätzliche Verteidigungsebene, die Sie benötigen, um böswillige nationalstaatliche Akteure am Durchbruch zu hindern.
6) Teilen Sie Ihr Wissen. Wenn Sie Einblick in eine Cyber-Bedrohung haben, teilen Sie Ihre Erkenntnisse mit anderen. Je mehr Personen Einsicht in neue Bedrohungen und Schwachstellen haben, desto besser können sich alle Unternehmen gegen das Potenzial eines nationalstaatlichen Angriffs wehren.
7) Patch-Management – Bewerten und aktualisieren Sie die Schwachstellen von Betriebssystemen und Anwendungen kontinuierlich. Keine Cybersecurity-Strategie ist ohne ein umfassendes Patch-Management vollständig. Der heutige Angriff ist ein Paradebeispiel für die Notwendigkeit, mit Software-Updates Schritt zu halten. Die doc- und pdf-Exploit-Methode ist aus zwei Gründen wirksam. 1) Die Kompromittierung eines Benutzers ist ein statistisches Spiel und 2) es wird immer eine neue Software-Schwachstelle geben, wenn Office, Acrobat, etc. ausgenutzt werden sollen.
8) Privilege Management – Admin-Rechte zurückfordern, wo immer es möglich ist. Für einen Angriff kann ein Krimineller eine Vielzahl von Tools wie Mimikatz verwenden, um die Anmeldeinformationen für ein System zu kompromittieren. Tools wie DoublePulsar kommen zum Einsatz, um eine Hintertür in eine Umgebung zu öffnen. Diese erlaubt ihm, sich quasi seitlich durch die Umgebung zu bewegen. Durch die Einschränkung der administrativen Rechte können Sie einen Angreifer verlangsamen und es ihm schwerer machen, sich in der Umgebung zu bewegen. Das trägt massiv zur Verkleinerung der Angriffsfläche der gesamten Infrastruktur bei.
9) Application Control – blockiert die Ausführung nicht vertrauenswürdiger Anwendungen. Das Dokument oder PDF, das ein Benutzer öffnet, ist in den meisten Fällen nicht die eigentliche Bedrohung, sondern der böswillige Payload, den die Datei in der Folge versucht nachzuladen und zu starten. Die Möglichkeit, nicht vertrauenswürdige Anwendungen zu blockieren, wirkt gegen viele Angriffstools. Ein solches Vorgehen bildet auch eine Zero-Day-Verteidigung, sollte ein Update noch nicht verfügbar sein, um die Schwachstelle auf Patch-Ebene zu blockieren. Traditionelles Whitelisting kann manchmal schwierig sein, daher sind dynamische Vertrauensmodelle und kontextuelle Regeln unerlässlich, um die traditionellen Schwierigkeiten bei der Einrichtung und Pflege einer Applikationskontrolle zu reduzieren.
Es gibt durchaus Möglichkeiten, aktuelle Angriffsmethoden zu erkennen und zu verhindern. Der Aufbau eines effektiven Sicherheitsprogramms auf Grundlage einer guten Cyber-Hygiene und die Erweiterung um zusätzliche Funktionen, die speziell auf Bedrohungen mit hohem Risiko für Ihr Unternehmen zugeschnitten sind, ist der Schlüssel dazu. Das Center for Internet Security priorisiert Sicherheitskontrollen auf Basis ihrer Effektivität. Die BSI-Standards zur Internet-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI), die Cyber Essentials, die Essential 8 des Australian Signals Directorate und andere etablierte Frameworks definieren ähnliche Ansätze. (rhh)
Hier geht es zu Ivanti