Die Absicherung von Diensten und Systemen ist essentiell, wie auch eine ausreichende Segmentierung des Netzwerks im Datacenter und auf dem Campus, um sich gehen immer massivere Cyber Angriffe zu wehren.
Die Ende Februar bzw. Anfang März bekannt gewordene Sicherheitslücke des Microsoft Exchange Servers in seiner OWA-Komponente hat nur zu deutlich gezeigt, wie anfällig öffentlich erreichbare Service und Systeme sind und dass diese einen ergänzenden Schutz benötigen. Dabei steht dieser Vorfall nur stellvertretend als Beispiel für alle öffentlichen Dienste und den damit verbunden Risiken. Jetzt mag die Sicherheitslücke für all diejenigen, die Exchange Online nutzen keine Rolle gespielt haben, aber wer eigene Dienste entsprechend anbietet, befindet sich mitten im Thema und das unabhängig, wie oder durch wen der eigene Dienst bereitgestellt wird. Nur weil ein Dienst in einer der Clouds oder im eigenen Rechenzentrum läuft, ist dieser ja nicht einfach so sicher. Um die Sicherheit muss man sich kümmern und diese immer wieder an die neuen Angriffsvektoren anpassen.
Um aber beim Beispiel des Exchange zu bleiben, hat es sich gezeigt, dass alle Exchange Server nicht erfolgreich angegriffen werden konnten, die entweder mit den aktuellen Patches versorgt waren und das Glück hatten erst danach ins Visier der Angreifer geraten zu sein oder der Service mit einem entsprechenden IPS-Profil einer Fortigate und/oder einer FortiWeb (WAF) geschützt war. Die Fortiguard Services haben gewohnt schnell reagiert und Updates mit passenden IPS/WAF-Pattern bereitgestellt, um den Angriff zu erkennen und zu unterbinden. Der Vollständigkeit halber haben selbstverständlich auch andere Hersteller entsprechend auf den Vorfall reagiert und ihrerseits entsprechende Erkennungsmuster bereitgestellt. Fortinet war erwiesenen Maßen sehr schnell und nach unseren Erkenntnissen war kein Exchange betroffen, der zum Beispiel mit einer FortiWeb abgesichert war. Der Einsatz eines IPS oder einer WAF inkl. des IPS ist bei der schon länger vorherrschenden Bedrohungslage ein zwingend notwendiges Mittel die eigenen Webapplikationen und WebService zu schützen. Grundsätzlich ist es eine gute Idee eingehende Services in einer DMZ auf entsprechenden Systemen terminieren zu lassen, bevor es weiter in dahinterliegende Netzwerksegmente geht, in dem sich der eigentliche Dienst befindet. So oder so ähnlich sollte eine Struktur aufgebaut sein, um Dienste öffentlich bereitzustellen und diese den Gefahren des Internets auszusetzen. Aber sich hier nur auf den Perimeter und die aus dem Internet erreichbaren Dienste zu konzentrieren ist zu kurz gedacht. Bei der Bedrohungslage und den immer perfideren Angriffsszenarien gilt es alle Dienste und Systeme zu schützen und das schließt die Clients der VPN Verbindungen aus dem Homeoffice oder anderen Remote-Standorten und auch der Clients aus den internen Netzen mit ein. Dies gilt insbesondere für mobile Geräte, denn die Gefahr, dass Schadcode im wahrsten Sinne des Wortes hineingetragen wird, ist real. Demzufolge sind alle Clients im Grunde genommen als “unstrusted” zu betrachten, was zur Konsequenz hat, dass auch die internen Services ebenso wie die Services, die aus dem Internet zu erreichen sind, geschützt werden müssen. Der BSI Grundschutz fordert ja schon länger einen statusbehafteten Paketfilter zwischen Servernetz und den den Client-Segmenten in der Basisanforderung. Das Beispiel des Exchange zeigt aber, dass das nicht in allen Fällen ausreichend ist und es mehr Kontrolle bei den Verbindungen von den Clients zu den Services geben muss, um die eigenen Dienste zu schützen. Führt man diesen Gedanken weiter, so braucht es nicht nur eine Stateful Firewall, sondern auch weitergehende Analysen des Datenverkehrs, um die eigenen Dienste vor den externen und internen Clients zu schützen. Aber ein solches IT-Sicherheitskonzept macht man nicht mal ebenso nebenbei. Es erfordert eine entsprechende Planung und zuvor vor allem eine Schutzbedarfsanalyse, denn man muss ja wissen, welche Services wie geschützt werden sollen und vor allem müssen. Auch spielt selbstverständlich das Thema Kosten und Budgets eine Rolle, bei den Kosten gilt es aber auch die Schäden zu berücksichtigen, die eine Cyber Attacke verursacht. Dass die Einschläge näherkommen und es jeden treffen kann, ist ja schon seit langer Zeit keine neue Erkenntnis. Dazu reicht ein Blick in die jüngere Vergangenheit und in normale Presse oder Nachrichten, die sehr häufig von Cyber Attacken berichten. Da nützen auch die ganzen Diskussionen nichts, wer die Drahtzieher sind und ob man eine aktive Rolle beim Cyber War einnehmen soll. Ist der Schaden einmal angerichtet, ist das Problem nun mal da, unabhängig davon, ob man zu wissen glaubt, wer dahintersteckt. Das ist eine Information, die einem im nur sehr begrenzt und wenn überhaupt weiterhilft. Alle aktuellen Fälle haben eines gezeigt, dass man die eigene Verteidigung auf mehreren Ebenen stärken muss. Dazu gehören technische Dinge, wie IPS, Segmentierung und Abschottung, natürlich ein entsprechenden (externes) Backup, zentrales Logging/Monitoring und am besten ein SOC-Team, welches auch zeitnah auf Anomalien in der Infrastruktur reagieren kann. Auf der organisatorischen Seite ist die Sensibilisierung der Mitarbeiter, wie auch regelmäßige Schulungen eine wichtige Säule der IT-Sicherheit. Geschulte Mitarbeiter sowie eine stetige Überwachung des Datenverkehrs und der Infrastruktur mit einer zeitnahen Reaktion auf Vorfälle, wird immer wichtiger in der Abwehr von Cyber Angriffen. Es besteht Handlungsbedarf auf mehreren Ebenen.