Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
2 l 2020 sicherheit & Datenschutz l Vertrauensaufbau nach Cyberangriff l 37 Gerade die Forderung nach einem Vorfall möglichst früh und genau darüber Auskunft zu geben welche Informationen und welche Prozesse betroffen sind und welche nicht stellt Organisationen mit ausschließlich klassischer und präventiver Sicherheitstechnik häufig vor Probleme Es fehlt an der Sensorik das Vorgehen von Angreifern aufdecken zu können wenn diese es erst einmal hinter den Perimeterschutz geschafft haben Oft genug entgeht den Sicherheitsmechanismen der Fall sogar ganz und das betroffene Unternehmen erfährt von der Kompromittierung beispielsweise erst nach dem Auftauchen gestohlener Informationen in der Öffentlichkeit oder nach konkreten Fällen von Informationsmissbrauch Existiert darüber hinaus kein Log-Management das eine nachträgliche Untersuchung des Angriffs anhand gespeicherter Informationen aus dem internen Netz erlaubt besteht auch keine Möglichkeit zur Eingrenzung des Schadens im Extremfall müsste ein Unternehmen dann alle Daten und Systeme als potenziell unterwandert einschätzen und je nach Branche und Compliance-Zusammenhang auch alle potenziell betroffenen Dritten informieren Damit ein Unternehmen gar nicht erst in diese Situation der Ratlosigkeit und der Unfähigkeit zur schadensmindernden Kommunikation gerät oder damit es nicht Ähnliches nach einem weiteren Vorfall erneut erlebt sollte es vier Vorkehrungen treffen ❶ Ein Risiko-Assessment durchführen das zu allen Datenbeständen und Systemen das Risikopotenzial ermittelt ❷ Eine Asset-Datenbank und eine zentrale Informationsstelle CMDB aufbauen aus der sich ohne langes Suchen entnehmen lässt auf welchen Systemen sich welche Informationen mit welchem Schutzbedarf befinden ❸ Einen Security-Leitstand Security Operations Center SOC mit einem Security-Informationund-Event-Management-System SIEM einrichten dessen Sensorik alle wichtigen Systeme im Netz permanent überwacht und schädliche Verhaltensweisen erkennt ❹ Ein Incident-Management-System einrichten und Emergency-Response-Kapazitäten schaffen SIEM-Systeme gibt es in verschiedenen Leistungsund Ausbaustufen Ihnen gemein ist dass sie permanent sicherheitsrelevante Informationen von Anwendungen Servern Netzwerkgeräten und traditionellen Security-Werkzeugen im Netz sammeln Auffälligkeiten in Echtzeit zueinander in Beziehung setzen und die Daten für forensische Untersuchungen speichern Letzteres ist zunächst einmal eine willkommene Hilfe wenn es gilt einen Vorfall zu untersuchen und dabei festzustellen auf welche Informationen oder Systeme im Rahmen eines Angriffs zugegriffen wurde Diese Funktion verhilft somit zur eingangs geforderten Informationsfähigkeit im Ernstfall Kontextinfos für schnelle Analysen Dies gelingt schneller wenn zusätzlich eine mit Risikound Kontext-Informationen gut ausgestattete Asset-Datenbank und oder eine CMDB zur Verfügung stehen die eventuell sogar direkt mit dem SIEM verbunden sind In diesem Fall erfährt der Sicherheitsspezialist an der Konsole des SIEM-Werkzeugs sofort und ohne langes Suchen ob der Server 117 mit einer ganz bestimmten IP-Adresse der gerade Anzeichen für einen Manipulationsversuch meldet unwichtige oder hoch kritische Daten beherbergt All dies wird zugleich dokumentiert Die beschriebenen SIEM-Fähigkeiten erlauben es dem Team im Sicherheitsleitstand einen Angriff in so frühen Stadien zu entdecken dass der Hacker noch vor Erreichen seines eigentlichen Ziels gestoppt werden kann etwa indem man ihn aussperrt oder kritische Systeme rechtzeitig abschottet Typische Cyberangriffe durchlaufen immer wieder bestimmte Stadien Beispielsweise verschafft sich ein Krimineller einen ersten Zugang durch eine Malware die er über eine Phishing-Attacke eingeschleust hat Dann allerdings muss er sich im Netz orientieren die Malware ferngesteuert weiterverbreiten und versuchen an weitere Anmeldedaten von interessanten Systemen heranzukommen All diese Schritte sind Indikatoren die ein gutes SIEM-System entweder anhand von Angriffsmustern erkennen kann die zuvor eingepflegt wurden oder weil sie als Anomalien auffallen Der Umgang mit Geschäftspartnern sieht im Krisenfall ein wenig anders aus als der mit Konsumenten Aber die grundlegenden Verfahren und Vorkehrungen sind gleich Im Zentrum stehen die Krisenkommunikation und das Security Operations Center SOAR-Systeme Security Orchestration Automation und Response gehen noch einen Schritt weiter indem sie die Gegenwehr so weit wie möglich automatisieren und beispielsweise selbst Abschottungsmaßnahmen einleiten oder zumindest Bereitschaftsteams aktivieren Automatisierung und das Outsourcen des teuren Rundumdie-UhrMonitorings der SOC-Werkzeuge sind dabei gängige Möglichkeiten die Kosten der Angriffserkennung zu senken Die dokumentierte Einrichtung eines SOCs dürfte mit den richtigen Werkzeugen unter Unternehmen also im Businessto-BusinessBereich derzeit die wohl wirksamste vertrauensbildende Maßnahme sein sowohl nach einem Vorfall als auch vorsorglich Ein SOC reduziert die Gefahr dass Angriffe Schaden verursachen und wenn ihnen dies einmal nicht gelingt machen sie den Verlauf und die Auswirkungen transparent Beides hilft im Fall der Fälle sowohl der unmittelbar betroffenen Institution als auch den Partnern Bei Konsumenten wirkt die SOC-Einrichtung mittelbar weil sie betroffenen Unternehmen eine professionelle Kommunikation ermöglicht Der Nutzen eines SOCs lässt sich veranschaulichen als Aufbau eines Alarmsystems mit Polizeipatrouillen und Einsatzkräften das wie in der Realität die Türschlösser Fensterriegel und Schutzwälle ergänzt Rob Pronk Regional Director Central Northern & Eastern Europe bei LogRhythm