Advanced Persistent Threat: Ein Leitfaden für Cyber-Security

41
Cyber-Security: Wie du DDoS-Attacken abwehren kannst
© sarayut_sy - stock.adobe.com

Unternehmen und Organisationen auf der ganzen Welt sind ins Fadenkreuz von Advanced Persistent Threat (APT)-Angriffen geraten, also von Cyberangriffen, die über längere Zeiträume in Netzwerken schlummern und dabei so viele Daten und Informationen wie möglich abgreifen, bevor sie entdeckt werden. In den allermeisten Fällen können Unternehmen sich mit vergleichsweise wenig Ressourcen gegen solche Angriffe wappnen. Ein Leitfaden.

Viele der öffentlichkeitswirksamen Angriffe zielen auf große Konzerne oder Regierungen ab. Ganz grundsätzlich ist aber jedes Unternehmen, gleich welcher Größe gefährdet, gerade kleinere Unternehmen sind immer öfter von APTs betroffen. Ein Grund mehr dafür, dass Datenschutz für Unternehmen oberste Priorität haben sollte. Durch folgende Maßnahmen schützen sich Unternehmen proaktiv gegen Angriffe.

APT-Angriffen richten großen Schaden an

APT-Angriffe haben im Normalfall zwei Gemeinsamkeiten. Sie sind erstens technisch elegant und zweitens bemerkenswert einfach. Dafür verschaffen sich die Angreifenden durch neue Techniken oder noch bis dato noch nicht entdeckte Schwachstellen Zugang zu einem System oder einer Reihe von Systemen. Sie installieren sich selbst anschließend oft raffiniert genau dort, wo man sie am wenigsten vermutet.

Um das Ganze etwas bildhaft anhand einer Maus im Haus zu schildern. Wer eine gefangen hat, hat die Dimension des Problems noch längst nicht verstanden. Oft hat sich ein ganzes Mäusedorf in den eigenen vier Wänden eingenistet. Ganz ähnlich verhält es sich mit APT.

EXTRA: Cyber-Security & Datenschutz: Jeder 5. Arbeitnehmer hat Angst vor Fehlern

Wer, sofern er betroffen ist, die APT ein für alle Mal von den eigenen Systemen entfernen will, muss seine Systeme unglaublich gründlich und an allen Orten checken – selbst dort, wo er es vermuten würde. APTs verstecken sich in Druckern, Tastaturen und IoT-Geräten in den Netzwerken. Dinge, von denen man vergisst, dass sie überhaupt mit dem Netzwerk verbunden sind.

In einer Welt, in der ein WiFi-fähiger 32-Bit-Prozessor für weniger als zwei US-Dollar erhältlich ist, kann man bösartigen Code überall verstecken. Einige vertreten die Ansicht, dass die wirksamste Maßnahme ist, um eine APT zu entfernen, die gesamte Computerausrüstung und alles Elektronische zu zerstören und von null wieder alles aufzubauen. Das ist dann kaum praktikabel, verdeutlicht aber, wie tiefgehend man sich mit den eigenen Systemen auseinandersetzen muss, tritt der Schaden erst einmal ein.

Prävention ist die beste Verteidigung für ein Unternehmen

Daher ist die beste Strategie, es erst gar nicht zum Schaden kommen zu lassen. Der Maus sozusagen erst gar keinen Zugang zum Haus zu gewähren. Zugegen präferiert die Security-Branche die „bessere Mausefalle“, davon sollten sich Unternehmen aber nicht beirren lassen.

Das Ziel sollte es nicht sein, das Problem zu beheben, sondern vielmehr, das Problem gar nicht erst entstehen zu lassen.

Dadurch sparen Unternehmen viel Geld für Dinge, die sich auf dem Papier gut anhören, und lösen zugleich ihre grundlegenden Probleme – einfach dadurch, dass der Fokus auf guten operativen Prozessen und einer grundlegenden Hygiene liegt.

EXTRA: Cybersicherheit nach Corona: So reagierst du auf Veränderungen

Denn: Sicherheit ist nichts Besonderes, sondern bedeutet vor allem gründliche operative Abläufe. Gut investiert, fließt das Geld in qualifizierte MitarbeiterInnen, die wiederum nicht versuchen, an der falschen Stelle zu sparen oder die Kosten zu drücken. Schließlich sind Informationen der Mitarbeitenden das größte Kapital des Unternehmens, ohne sie wäre die Existenz eines Unternehmens nicht zu rechtfertigen.

In anderen Fällen ist dies nicht anders: Unternehmen, die eine große Anlage betreiben, etwa eine Fabrik oder einen Fuhrpark, können diese auch nicht vernachlässigen. Sparmaßnahmen in der Instandhaltung entpuppen sich nur allzu schnell als ein Bumerang. Nicht anders sieht es mit Kostenreduzierungen bei IT-Fachkräften aus. Unternehmen müssen sich um ihre IT-Systeme und insbesondere auch um die dafür zuständigen Menschen gut kümmern.

So gelingt die Abwehr von APTs

Mitte der 2000er Jahre etablierte sich in der Welt für Cybersicherheit ein Begriff  für kritische Infrastrukturen: The Cyber Black Start. Analog zum Stromnetz bedeutet dies ein kompletter Neustart, um Systeme wieder zu stabilisieren – so geschehen beispielsweise nach einem Blackout 2003 im Nordosten der USA und Kanada.

In der Tat verhält es sich bei IT-Systemen nicht groß anders als beim Stromnetz. Wer einem APT-Angriff zum Opfer gefallen ist, sollte umgehend alles abschalten – und dann peu á peu die Systeme wieder in Betrieb nehmen. Und sich jedes Mal zu vergewissern, dass ein System „sauber“ ist, bevor es wieder ans Netz geht. Ohne diesen zweifelsfrei aufwendigen Prozess wird das Unternehmen den APT-Angriff nicht los. Alles andere als dieser radikale Schritt würde ein endloses Katz-und-Maus-Spiel zur Folge haben.

EXTRA: Cyber-Security: Wie du DDoS-Attacken abwehren kannst

Unternehmen werden bei diesem Vorgang einige Dinge entdecken, die für die Kernorganisation nicht unbedingt erforderlich sind – und die sie auch gar nicht mehr starten werden. Weniger ist mehr! Auch wenn es um APT-Angriffe geht. Denn weniger komplexe Systeme bieten auch weniger Verstecke für böswillige Attacken. Zugegeben, ohne externe ExpertInnen werden die meisten Unternehmen solche Verstecke kaum identifizieren können.

Andere Dinge lassen sich dafür präventiv viel einfacher in die Tat umsetzen: MitarbeiterInnen sollten nicht auf Links klicken, Endpunkte sollten durch aktuelle Verschlüsselung geschützt sein. Ein weiterer Tipp, damit sich APTs nicht ohne weiteres ausbreiten können: getrennte Netzwerke. Außerdem sollten Unternehmen ihre Netzwerke permanent überwachen: Verhält sich irgendwo etwas merkwürdig? Gibt es Auffälligkeiten? Das gilt insbesondere auch, wenn MitarbeiterInnen etwas berichten. Denn der beste Schutz gegen Mäuse im eigenen Haus ist, diese erst gar nicht rein zu lassen.

James Arlen
James Arlen ist Chief Information Security Officer bei Aiven , einem Managed-Cloud-Service-Unternehmen, das Open-Source-Datentechnologien anbietet, um Unternehmen auf der ganzen Welt zu unterstützen und die Arbeit der Entwickler zu verbessern. Arlen verfügt über mehr als zwei Jahrzehnte Erfahrung in der Bereitstellung von Informationssicherheitslösungen für Fortune-500-, TSE-100- und große öffentliche Unternehmen und war in Schlüsselpositionen bei börsennotierten Finanzunternehmen, großen Energieversorgern und international anerkannten Produktions- und Finanzorganisationen tätig. Bevor er zu Aiven kam, war er zuletzt als Director of Production Engineering bei Salesforce Heroku tätig. Aufgrund seiner Fachkenntnisse, zu denen auch die Sicherheitszertifizierungen CISSP, CISA und CRISC gehören, ist Arlen in der Branche als Blogger, Podcaster und Redner bekannt und leistet einen produktiven Beitrag zu Medien und Standards, unter anderem als Hauptautor der Cloud Security Alliance Security Guidance for Critical Areas of Cloud Computing V4.

1 Kommentar

  1. Einer klickt immer! Alle Systeme müssen deshalb von den Systemverantwortlichen schon so konfiguriert werden, dass Lieschen Müller und Otto Normalverbraucher erst gar keinen Schaden im Unternehmen anrichten können, wenn sie einen Link etwa in einer E-Mail anklicken. Das sollte doch selbstverständlich sein. Leider sieht die Realität heute immer noch anders aus. Das Resultat können wir mittlerweile schon fast täglich in den Medien lesen.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!