Aufrufe
vor 1 Jahr

Netzwoche 7/2019

  • Text
  • Apps
  • Schweiz
  • Rubrik
  • Schweizer
  • Digital
  • Urteil
  • Pwas
  • Netzmedien
  • Swiss
  • Unternehmen

18 DOSSIER Cybersecurity

18 DOSSIER Cybersecurity In Kooperation mit Swisscom Denken wie ein Hacker Doch mit rein technischen Massnahmen lassen sich APT nicht abwenden. Der Mensch bleibt ein wichtiger Faktor: Sicherheitsverantwortliche und -spezialisten sollten sich in die Rolle eines Angreifers versetzen, um dessen Denk- und Vorgehensweise zu verstehen. Da APT manuell ausgelöste Attacken darstellen, ist der Verlauf oftmals von Menschenhand gesteuert. Hilfreich sind also Fragen wie «Was macht mich als Unternehmen reizvoll für APT?», «Welche Informationen und Systeme sind interessant für Spionage oder Sabotage?», «Wie könnte eine Phishing-Mail oder eine Social-Engineering-Attacke auf den Finanzchef aussehen?» Für die menschliche Komponente zur Bekämpfung von APT sind Security Operations Centers prädestiniert. Dort sitzen die Spezialisten, die sich auf die aufgezeichneten Muster einen Reim machen und menschliche Angreifer entlarven können. «Wir führen selbst regelmässig gezielte, kontrollierte Angriffe auf unser eigenes Netzwerk durch. Dabei simulieren wir über mehrere Wochen einen realen APT. So unterziehen wir die Mitarbeitenden und IT-Systeme einem realen Stresstest und sehen, wo Sicherheitslücken auftreten», sagt Markus Neis, Threat Intelligence Manager bei Swisscom. Verständlicherweise hat nicht jedes Unternehmen die Ressourcen, ein eigenes Security Operations Center aufzubauen, doch das ist auch nicht notwendig. Schliesslich installieren auch im richtigen Leben die Wenigsten selbst eine Alarmanlage oder machen nächtliche Kontrollgänge auf dem Firmengelände. Diese Aufgaben werden in der Regel an Unternehmen wie Securitas ausgelagert. Genau gleich verhält es sich in der Cyberwelt: Es gibt Spezialisten, welche die Sicherheitsaufgaben übernehmen. Eine gesunde Portion Skepsis Ganz alleine schaffen es die Spezialisten allerdings auch nicht. Da die meisten erfolgreichen Angriffe mit einem unachtsamen Kollegen starten, ist die Sensibilisierung und Schulung der Mitarbeiter besonders wichtig. Sie sollten Social-Engineering-Versuche erkennen und eine gesunde Portion Skepsis entwickeln. Doch auch die Methoden der Kriminellen werden immer ausgeklügelter. Einen hundertprozentigen Schutz vor einem Hackerangriff gibt es leider nicht, aber das sei noch lange keine Entschuldigung, fahrlässig zu handeln, meint Zarkadakis. «Zuhause installiere ich eine Alarmanlage und lege die wertvollen Gegenstände in den Tresor. Wenn ich das Haus verlasse, schliesse ich die Wohnungstür ab. Warum also sollte ich mich im Cyberraum weniger achtsam verhalten?» Sich der Risiken bewusst sein, kritische Informationen und Systeme bestmöglich zu schützen und im Alltag stets aufmerksam zu sein garantiert zwar keinen hundertprozentigen Schutz, ist jedoch die Basis jeder Cybersecurity. Mit rein technischen Massnahmen lassen sich APT nicht abwenden. Der Mensch bleibt ein wichtiger Faktor. Bild: PashaIgnatov / iStock.com 07 / 2019 www.netzwoche.ch © netzmedien ag

In Kooperation mit Swisscom Cybersecurity DOSSIER19 « Am besten geht man davon aus, dass man bereits gehackt wurde » Mit Advanced Persistent Threats haben Cyberkriminelle häufig ein bestimmtes Ziel vor Augen. Manchmal schleichen sich die Angreifer monatelang unentdeckt durch ein Netzwerk. Wie sich ein KMU gegen solche Attacken schützen kann, erklärt Lorenz Inglin, Leiter Cyber Defense, Swisscom. Interview: Joël Orizet Wer sind die häufigsten Opfer von fortgeschrittenen Cyberattacken? Lorenz Inglin: Bei fortgeschrittenen Cyberattacken, vor allem bei Advanced Persistent Threats (APT), geht es häufig um Spionage. Die Angreifer wollen politische, industrielle oder militärische Vorteile aus den entwendeten Informationen ziehen. Aber auch exponierte Organisationen wie etwa das eidgenössische Institut für ABC-Schutz oder Firmen mit wertvollen Daten und Geschäftsgeheimnissen wie zum Beispiel die Ruag können Ziele sein. Selbst Politiker wurden bereits Opfer von APT. Hier geht es unter Umständen auch um Erpressung, um ein grösseres Ziel zu erreichen. Aber Cyberangriffe können ebenfalls finanzielle Hintergründe haben und so sind auch Finanzinstitute manchmal im Visier. Was sind die Anzeichen dafür, dass ein Unternehmen betroffen ist? Bei fortgeschrittenen Angriffen mit Spionagehintergrund finden sich in der Regel wenig Hinweise. Die Täter sind sehr gut ausgebildet und ausgestattet. Sie wollen um keinen Preis auffallen, damit sie ihre Position so lange wie möglich aufrechterhalten und Daten abziehen können. Dennoch bewegen sich die Angreifer natürlich innerhalb des Netzwerks und hinterlassen gewisse Spuren. Mögliche Anzeichen könnten ein verdächtiger Netzwerkverkehr zu identifizierten Command-and-Control-Servern oder ein anomales Benutzerverhalten sein – etwa ein Log-in zu unüblichen Zeiten, von einem unüblichen Ort aus oder unerwartet viele Zugriffe. Auch verdächtige Antiviren-Alerts, die auf Hackertools hinweisen, professionelle, genau auf das Unternehmen abgestimmte Phishing- Mails oder ein seltsames Verhalten von Systemen mit unerklärlichen Abstürzen, einer hohen Last oder einer unerwartet hohen Anzahl von Abfragen sind Indizien für einen Angriff. Wenn bei den Hackern andere Motive wie etwa Geld oder Sabotage im Zentrum stehen, sind die Nebenwirkungen des erfolgreichen Angriffs oftmals sofort erkennbar. Werden beispielsweise Systeme offline genommen, Daten verschlüsselt oder hohe Geldbeträge transferiert, fällt dies in der Regel sehr schnell auf. Mitte 2016 kam heraus, dass Unbekannte einen APT-Angriff auf die Ruag ausgeführt haben. Was kann man aus diesem Fall lernen? Der Angriff auf die Ruag zeigte, dass fortgeschrittene Angreifer kaum am Eindringen in ein Netzwerk gehindert werden können – es ist alles lediglich eine Frage des Aufwands. Deshalb sollten Unternehmen ihren Fokus vielmehr auf Erkennungsmethoden verschieben. Ein Angreifer, der sich im Netzwerk bewegt, muss möglichst rasch erkannt und seine Aktionen mitverfolgt werden. Ausserdem sollte man eine übereilte Reaktion, die den Zugriff des Angreifers sperrt, vermeiden. Zuerst sollte man das gesamte Ausmass des Angriffs verstehen und herausfinden, wo sich der Hacker bereits eingenistet hat. Ausser der Zwei-Faktor-Authentifizierung, Log Collection, Reduktion von lokalen Administratoren-Rechten kann auch ein Security Monitoring helfen, solche Angriffe schnellstmöglich zu entdecken. Zudem sollten Mitarbeiter wissen, wie sie mit Phishing-Mails umgehen müssen. Dazu ist eine Informationskampagne notwendig. Artikel online: www.netzwoche.ch ▸ Webcode DPF8_133376 « Der Angriff auf die Ruag zeigte, dass fortgeschrittene Angreifer kaum am Eindringen in ein Netzwerk gehindert werden können. » Lorenz Inglin, Leiter Cyber Defense, Swisscom www.netzwoche.ch © netzmedien ag 07 / 2019

Archiv