zurück zur Übersicht

Schweigen ist Silber, Reden Gold: Security-Incidents melden!

Reden kann Gold sein – Carolin Thal rät: Security-Incidents melden!

Ooooops, your files have been encrypted!

Bei dem Gedanken an diese Nachricht auf dem Bildschirm werden sich bei so manchem User die Nackenhaare aufstellen. Es ist die Schreckensnachricht des Jahres. Ransomware auf dem eigenen Rechner. Oder schlimmer noch: Ransomware auf dem Firmenrechner!

Am liebsten würde man sich bei einer solchen Nachricht direkt in das nächste Mauseloch verkriechen und einfach so tun, als wäre man es nicht gewesen. Warum nur hat man diese Mail geöffnet? Warum diesen Link geklickt? Aber einen alten Speicherstand des eigenen Arbeitstages zu laden geht leider nicht. Der Schaden ist angerichtet und muss angegangen werden.

Erster Schritt: Anpacken!

Klar, dass der erste Gedanke nach einem solchen Vorfall der Eindämmung des Schadens gilt. Die IT-Security-Abteilung muss alarmiert werden, falls sie nicht schon längst auf der Matte steht. Dann müssen Erstmaßnahmen ergriffen, der Vorfall forensisch untersucht und der Schaden abgeschätzt werden. Wie war der Angriffsweg? Gibt es vielleicht schon ähnliche Fälle in der Firma? Welche Gegenmaßnahmen können langfristig getroffen werden, damit so etwas nicht wieder vorkommt? Möglicherweise brauchen Endpoint– oder E-Mail Security ein Upgrade. Wird externe Unterstützung benötigt? Und über allem: Gibt es ein Backup?

Während diese Frage (hoffentlich) mit einem eindeutigen „Natürlich!“ beantwortet ist, wird oft bei all dem ein wichtiger Punkt vernachlässigt: Wie sieht es außerhalb des eigenen Unternehmens aus? Gibt es Vorfälle ähnlich zu dem eigenen?

Zweiter Schritt: Informationen sammeln

In Kampagnen wie der zu WannaCry lässt sich das einfach beantworten. Ein einziger Blick in die Medien reichte aus, um die Reichweite des Angriffs abzuschätzen. Aber wie sieht es bei Spearphishing-Attacken aus? Das müssen nicht immer zielgerichtet auf ein einziges Unternehmen zugeschnittene Angriffe sein. Manchmal richten sie sich auch gegen eine ganze Branche. Außerdem belasse es die Betreiber solcher Angriffe in aller Regel nicht bei einem einzigen Angriff auf ein einziges Ziel. Gewerbsmäßiger Netzwerkeinbruch impliziert die Nutzung eines Angriffsschemas für möglichst viele Angriffe in kurzer Zeit, bis es nicht mehr funktioniert.

Geteilte Informationen sind – selbst wenn sie anonym abgeliefert werden – bei der Eindämmung von Angriffswellen ein notwendiges Hilfsmittel. Dazu muss nicht jedes Unternehmen eine Threat Sharing Plattform betreiben. Man kann auch freiwillig Security-Incidents melden. In vielen Aspekten genügt es, wenn eine übergeordnete Instanz eine breite Informationsbasis über die aktuellen Bedrohungen schafft.

Dritter Schritt: Security-Incidents melden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sammelt diese Informationen über „außergewöhnliche IT-Störungen“, nicht nur von Betreibern kritischer Infrastruktur und damit auch von Unternehmen, die nicht gesetzlich zur zeitnahen Lieferung von Informationen verpflichtet sind.

Aus den gesammelten Daten berechnet das BSI ein Lagebild, extrahiert neue Schwachstellen und leitet diese gegebenenfalls an die betroffenen Hersteller zur Nachbesserung. Auch Unternehmen profitieren von den gelieferten Informationen, indem das BSI potentielle weitere Ziele der aufgespürten Angriffsmuster identifiziert und gezielt vorwarnt. So können letztlich Angriffe besser erkannt und manchmal sogar vorhergesehen werden, was einem einzelnen Teilnehmer allein aufgrund seiner beschränkten Datenbasis nicht möglich wäre. Security-Incidents melden heißt also auch, Verantwortung für die Verbesserung der allgemeinen IT-Sicherheit zu übernehmen. Und es kann die Gewinnabsichten der Cyberkriminellen empfindlich stören, was grundsätzlich immer eine gute Idee ist.

Je frischer und vollständiger, desto besser

Dieses System wird natürlich mächtiger, je mehr Daten zur Analyse und Vorberechnung tatsächlich existieren. Grundsätzlich ist also jedes Unternehmen angehalten, sich an der Sammlung zu beteiligen. Besonders interessant sind dabei:

  • neuartige Angriffsmethoden
  • neuartige Schwachstellen
  • Spionageversuche
  • Angriffe auf Prozesssteuerungssysteme
  • Angriffe auf Sicherheitsinfrastrukturen
  • Diebstahl von Daten, die zur Durchführung weiterer Angriffe verwendet werden könnten (z.B. Code-Signing-Zertifikate, Passwörter für wichtige Systeme etc.)

Aber auch nach dem großen Sturm sind Informationen noch Gold wert. Aktuell sammelt das BSI gerade Informationen über die wirtschaftlichen Folgen, Schäden und Mehraufwendungen durch Angriffe. Darin sind Unternehmen in den Bereichen

  • Energieversorgung
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

angehalten, ihre Informationen zur Verfügung zu stellen, auch wenn sie nicht zu den KRITIS-Anbietern gehören. Selbstverständlich ist die Abgabe der eigenen Informationen auch anonym möglich. Damit ist sowohl das Argument der schlechten Publicity, als auch die mögliche Gefahr, dass öffentlich eingeräumte Schwachstellen sofort gezielt gegen ein Unternehmen ausgenutzt werden könnten, hinfällig. Es gibt also eigentlich keinen Grund mehr zu zögern. Jede Firma sollte umgehend ihre Security-Incidents melden.

Informationen als Impfung

Bisher existiert laut BKA eine hohe Dunkelziffer, was die tatsächlichen Schäden und die Anzahl von Malware- und Hacker-Angriffen angeht. Das wiederum macht eine grundlegende Lageeinschätzung und die Planung von Gegenmaßnahmen schwierig. Das ist auch der Grund, warum im Mai diesen Jahres die Meldepflicht von Cyberangriffen auf mehr Unternehmen ausgeweitet wurde.

Denn mit Malware ist es ein wenig wie mit den Viren für Menschen. Um sie effektiv zu bekämpfen, müssen alle mitziehen. Mit alle sind damit nicht nur die Mitarbeiter des eigenen Unternehmens gemeint, die angehalten sind, nicht jede E-Mail zu öffnen und jeden dubiosen Klick-Mich-Link zu verfolgen. Nicht nur die Admins, die Patches und Backups organisieren und durchführen, oder die Firewaller, die ihre Policies möglichst strikt halten müssen, obwohl sie dafür regelmäßig böse Bemerkungen wegen gedroppten Traffics bekommen. Gegen Malware und für IT-Sicherheit müssen auch die Chefs, die CEOs und Vorstände mit ins Boot steigen, sich informieren und bereit sein, Informationen auch zu teilen.

Im Falle von IT-Sicherheit mag Schweigen zwar immerhin wie Silber erscheinen – schließlich kann es dabei helfen, die eigenen Schwachstellen zu verbergen. Doch die Sicherheit ist trügerisch, denn vorhanden bleiben die Angriffspunkte ja dennoch. Ausgebessert werden können diese auf die Dauer nur, wenn Betroffene das Schweigen brechen.

 


Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar