IT-Security: Die Kraft der Community
Die Redaktion von Trend Report hat mit Prof. Dr. Andreas Blum über das neue Security Operations Center (SOCaaS) und die Kraft der Community gesprochen.
Herr Prof. Blum, welche Herausforderungen kommen heute auf mittelständische Unternehmen zu, wenn es um ihre IT-Sicherheit und Sicherheitsstrategie geht?
Eine durchschnittliche Netzwerkstruktur eines mittelständischen Unternehmens hat pro Tag 1.500 Sicherheitshinweise, von einfachen Regelverstößen bis hin zu echten Verdachtsfällen eines Angriffs, zu verarbeiten. In der Vergangenheit ließ sich vieles über Firewall und Virenscanner abfangen, denn der Arbeitsplatz befand sich meist im Büro. Heute arbeiten Menschen im Homeoffice, im öffentlichen WLAN am Flughafen, vielleicht mal im Café. Die IT-Systeme sind umfassender und die Angriffsszenarien komplexer geworden. Somit kommen die traditionellen Sicherheitssysteme an ihre Grenzen.
Welche Aufgaben hat in diesem Kontext Ihr Security Operations Center?
Das Security Operations Center kann man sich wie einen Wachdienst vorstellen, der ständig über das Gelände geht und seine Augen offenhält. Neben der Firewall, die Angreifer im besten Fall am Werkstor erkennt, löst das SOCaaS den Alarm genau dann aus, wenn ein ungebetener Gast die traditionellen Schutzmechanismen bereits überwunden hat. Somit stellt das SOCaaS eine wichtige Ergänzung dar, denn Eindringlinge schaffen es regelmäßig ins System. Viele Unternehmen wissen nicht einmal, dass gerade ein Schadprogramm sein Unwesen treibt.
Welche physische Ausstattung steckt dahinter und wieviel/welche Spezialisten sind an Bord?
Im Netzwerk des Unternehmens werden zur gesamtheitlichen Beobachtung der Zugänge Sensoren eingebaut, die sich einfach in jede Netzwerkstruktur einbinden lassen. Das gilt auch für die Webserver und Clients, die mit Anti-Viren-Tools ausgestattet werden. Über eine sichere Internetverbindung gelangen die Informationen in Echtzeit auf die Dashboards der IT-Security-Analysten. Das sind geprüfte Informationssicherheits-Auditoren, -tester, Datenschutz- oder Netzwerkexperten. Sie beurteilen die Aktivitäten, nehmen Kontakt zum Unternehmen auf und unterstützen darin, den Angreifer zu isolieren und mögliche Folgen zu minimieren.
Welche Vorgehensweisen schlagen Sie vor, um heute Cyber-Kriminellen abwehrtechnisch zu begegnen?
Das sind drei Dinge.
1. Nicht zu glauben, dass man für einen Angriff uninteressant sei: Somit die IT-Sicherheit als festen Punkt ins Risikomanagement eines jeden mittelständischen Unternehmens aufnehmen.
2. Die meisten Angriffe haben immer noch einen internen Auslöser: Es gilt also, die Mitarbeiter kontinuierlich für die IT-Sicherheit zu sensibilisieren.
3. Die IT-Sicherheit an Experten übergeben: Das entlastet das eigene Team und gibt Sicherheit, da man nicht auf allen Gebieten sein Wissen topaktuell halten kann.
Welche Vorteile hat Ihre Community durch die geteilten Services?
Neben dem raschen Erkennen von Vorfällen und der Unterstützung des Unternehmens bei der Bekämpfung haben wir unser SOCaaS als Community konzipiert. Sobald ein Schadcode bei einem Mitglied erkannt wird, erhält die Community die relevanten Parameter dazu. Ziel ist eine agile und lernende Organisation mithilfe kurzer Reaktionszeiten. Dazu gehört auch, dass wir gemeinsam mit der Community das System weiterentwickeln und verfeinern sowie den angeschlossenen Unternehmen ein umfassendes Weiterbildungsangebot bieten.
Von welchen Monitor-Services profitiert z.B. Ihre Community?
Ein Unternehmen, das sich dem Security Operations Center anschließt, profitiert in mehrfacher Hinsicht: Das beginnt beim frühzeitigen Erkennen von Cyberangriffen in Echtzeit. Und zwar genau von den Angriffen, die eine Firewall nicht erkannt hat und die so bereits in die Unternehmenssysteme eingedrungen sind. Erkennen die Sensoren beim Unternehmen einen solchen Angriff, so wird er von den Experten – also echten Menschen, die nichts anderes tun als sich jeden Tag mit Viren und Schadcodes zu beschäftigen – analysiert. So kann zeitnah auf einen Angriff reagiert, mögliche Schäden begrenzt und die Systeme vor einem Ausfall der Verfügbarkeit geschützt werden. Oder es kann im positiven Sinne Entwarnung gegeben werden, wenn es sich um gar keinen Angriff handelt. Hinter dem von uns betriebenen Security Operations Center steht der Gemeinschaftsgedanke. Je mehr Unternehmen sich anschließen, desto mehr Vorfälle können von den Experten ausgewertet und verbreitet werden. Das heißt, die gesamte Community profitiert davon.
Auf welche Hilfe können Ihre Mitglieder zurückgreifen, wenn es passiert ist?
Unsere Analysten unterstützen die Verantwortlichen auf Unternehmensseite nicht nur darin, einen Cyberangriff festzustellen, sondern den Schadcode zu isolieren und damit einen möglichen Schaden zu begrenzen. Wir sind immer persönlich für das betroffene Unternehmen da. Das heißt, wir lassen die Verantwortlichen nicht allein, sondern unterstützen sie, die Folgen eines Angriffs zu ermitteln und geeignete Maßnahmen einzuleiten, z.B. entsprechende Log-Dateien auszuwerten und die betroffenen Systeme zu identifizieren. Dabei stehen die Verfügbarkeit und das Wiederherstellen der Informationssicherheit an erster Stelle. Zum letztgenannten Punkt gehört auch, den Verlust von Daten möglichst zu vermeiden. Denn dies ist für die meisten Unternehmen das absolut schlimmste Szenario. Laut Bundesdatenschutzgesetz und der Europäischen Datenschutzgrundverordnung gibt es übrigens für diese Fälle eine Informationspflicht. Denn letztlich handelt es sich bei einem Cyberangriff um eine kriminelle Handlung. Unsere Experten helfen in diesen Fällen auch beim Umgang mit den Behörden.
Inwieweit kann die Community durch Ihre Services und Ihr Know-how sicher sein, dass sich keine Hacker im firmeneigenen Netz befinden?
So sehr wir es uns auch wünschen, einen 100prozentigen Schutz vor Cyberangriffen gibt es nicht. In unseren Gesprächen mit IT-Verantwortlichen ist die größte Befürchtung, dass Hacker die Firewall überwinden und in das Firmennetz eindringen. Denn der schnellste Weg für Hacker ist, selbst Teil des internen Systems zu werden, um den Zugriff auf interne Daten zu erhalten. Dazu setzen Angreifer u.a. auf die sogenannten Social-Engineering-Methoden. Oder es wird ein Link angeklickt, den man nicht nutzen sollte. Der Faktor Mensch spielt eine große Rolle. Man sollte deshalb nicht müde werden, die Mitarbeiter zu informieren. Und dann kommt es für die Unternehmen auf gut funktionierende Überwachungsmechanismen an. Mechanismen, die darin unterstützen, Veränderungen innerhalb des Netzwerktraffics oder Auffälligkeiten in den Client- und Serversystemen rasch zu erkennen. An dieser Stelle setzt ein Security Operations Centers an.
Welche Möglichkeiten gibt es heute, um Angreifer sowie Schwachstellen im eigenen Netz frühzeitig zu erkennen?
Bevor wir ein Unternehmen aufschalten, durchläuft es intensive Sicherheitstests. Das heißt, unsere Sicherheitsexperten wechseln die Rolle. Sie werden selbst zum Hacker. Mit dem Unterschied, dass sie sich ganz bewusst und gezielt auf die Suche nach Sicherheitslücken in der Infrastruktur des Unternehmens begeben. Dazu setzen wir speziell konzipierte Schwachstellen- und Penetrationstests ein. Sie untersuchen Server, Clients, Netzwerkkomponenten, Drucker, Firewall und Router, aber auch Webapplikationen im Internet oder Intranet, Portale und Shops ebenso wie die W-Lan-Umgebung selbst. Damit weiß das Unternehmen relativ rasch, woran es gegebenenfalls arbeiten und Schutzmaßnahmen ergreifen muss. In vielen Fällen kann die IT-Sicherheit allein mit diesen Maßnahmen schon auf ein ganz anderes Niveau gebracht werden. Notfallpläne für den Fall des Cyberangriffs gehören natürlich auch mit dazu. Damit kann das Unternehmen gegenüber der Datenbehörde jederzeit eine optimale Vorbereitung dokumentieren.
Welche IT-Infrastruktur bzw. Soft- und Hardware müssen Ihre Mitglieder implementieren, um Ihre Community-IT-Services in Anspruch zu nehmen?
Das SOCaaS konzentriert sich auf die Angriffsflächen, die von Firewall und Virenscanner in den meisten Fällen unerkannt bleiben: Werden die Cyberangriffe über geschickt verschleierten Datenverkehr oder einen unbekannten Schadcode verübt, so kann das Schadprogramm die Firewall passieren und bleibt auch vom Virenschutz unentdeckt. Dieser ist auf die Aktualisierung des Herstellers angewiesen, der das Schadprogramm erst einmal als solches hinterlegen muss. Im Gegensatz dazu überwachen im Rahmen des SOC as a Service Sensoren, die in die IT-Infrastruktur des Unternehmens eingebunden werden, die Datenströme. Die technische Anbindung des Security Operations Centers an die jeweilige IT-Infrastruktur dauert weniger als eine Stunde. Es gibt keinerlei Systemvoraussetzungen. Neben den Analysten des SOCaaS erhält auch die hauseigene IT-Abteilung Zugang zum Dashboard und kann Ereignisse nachverfolgen bzw. begleiten.
Welchen Stellenwert nimmt heute die regelbasierte Automatisierung im Kontext aktueller Bedrohungsszenarien ein?
Da wir das SOC as a Service für den Mittelstand konzipiert haben, legen wir sehr großen Wert auf eine Ausgewogenheit zwischen Automatisierung und der persönlichen Kommunikation der Analysten und Techniker mit den Verantwortlichen im Unternehmen. Der Grund liegt vor allem darin, dass mittelständische Unternehmen immer noch glauben, für einen Cyberangriff nicht attraktiv genug zu sein und Nachholbedarf in der IT-Sicherheit haben. Hier haben wir das ein oder andere Mal persönliche Überzeugungsarbeit zu leisten. Sicher gehen stetig wachsende Datenmengen mit einer weiteren Automatisierung einher, mit dem Ziel, die Analysten von Routineauswertungen zu entlasten. Dies macht insbesondere bei Schadprogrammen gleichen Musters Sinn. Unsere Erfahrung zeigt aber auch, dass nicht alle Angriffe automatisiert erfasst werden können. So bleibt, unseren Auswertungen nach, ein einmal in die Infrastruktur eingeschleuster Schadcode oft ca. 200 bis 300 Tage unbemerkt im Netzwerk. Ein konsequentes Datenstrom-Monitoring kann hier ansetzen und anhand von Auffälligkeiten, den Angreifer identifizieren und damit im weiteren Prozess Gegenmaßnahmen einleiten.
Welches Wissen kann sich aus dem konsequenten Monitoring von Datenströmen im Netzwerk für Netzwerk-Betreiber generieren lassen?
Anhand des Monitorings der Datenströme – also der herein- und herausgehenden Daten eines Unternehmens – können die Analysten beim Modell des SOC as a Service Datenangriffe identifizieren. Dies können unübliche Transportprotokolle, zweifelhafte Counterparts sowie eine Erhöhung des Datenvolumens, insbesondere des Abzugs von Daten aus dem Unternehmen sein. Dabei sollte sich die Beobachtung nicht nur auf die gängigen Wege zwischen Rechenzentrum und Clients beschränken, sondern auch auf mobile Geräte erweitern. Bis dato ist eine Automatisierung durch Algorithmen zwar unterstützend möglich, allerdings sollte man sich nicht komplett darauf verlassen werden. Ein Bewusstsein bei Management und Mitarbeitern für die Cybergefahren zu schaffen sowie die Unterstützung der betroffenen Unternehmen im Fall der Fälle ist ebenso notwendig wie wichtig.
Was muss getan werden, um unverzüglich Cyber-Angriffe zu erkennen und entsprechend reagieren zu können?
Von Seiten eines Security Operations Center-Anbieters mag das vermessen klingen, aber es macht Sinn, die eigene IT in Fragen der Cybersicherheit mithilfe eines externen Supports zu unterstützen. Nicht jeder kann in allen Fachgebieten Experte sein. Neben regelmäßigen Updates der gängigen Sicherheitstools ist eine Echtzeiterfassung von Datenströmen über Sensoren wichtig, um Clients und Server zu schützen. Auch wenn die Firewall einen großen Teil von Schäden abwendet, Eindringlinge kommen immer ins Netzwerk und richten einen Schaden an. Manchmal, ohne dass ein Unternehmen dies rechtzeitig bemerkt. Neben Sensoren hilft ein Blocking-System dem zur Seite stehenden Anbieter ins System einzugreifen, sobald ein Angriff festgestellt wurde.