Sicherheit im Verbund

IT-Sicherheit ist nicht eine singuläre Instanz oder Eigenschaft einer IT-Infrastruktur, sondern ein multidimensionales Geflecht von verschiedenen Ansätzen und Mechanismen, die zusammenarbeiten müssen, um ausreichenden Schutz vor Cyberangriffen zu bieten.

Moderne Cyberangriffe unterscheiden sich zunehmend von denen der vergangenen Jahre. Nach wie vor ist zwar E-Mail ein sehr oft genutztes Einfallstor für die Angriffe, jedoch dienen diese ersten Attacken immer mehr nur der Vorbereitung des eigentlichen Angriffs. In nicht wenigen Fällen versuchen die Angreifer Zugangsdaten zu erbeuten, die dann für ihre nächsten Schritte zu nutzen. Noch vor ein paar Jahren war der Anteil von Schadcode in Form von Office Dokumenten oder PDF’s bei den Emails höher. Jedoch ist hier ein leichtes Nachlassen zu verzeichnen, da immer mehr Sandboxen in Kombination mit Email-Security Gateways zum Einsatz kommen. Diese prüfen die Anhänge nicht nur mit den klassischen Antivirus Scans, sondern bewerten die Anhänge anhand ihres Verhaltens, wenn diese auf einem Client ausgeführt werden. Diese Verhaltensanalyse sorgt dafür, dass auch noch unbekannter Schadcode entdeckt werden kann, was nicht zuletzt auch die Angreifer zu einem Strategiewechsel zwingt. Immer mehr Angriffe sind so genannte dateilose Angriffe, die alle klassischen Schutzmethoden auf Basis von Dateianalyse und Mustererkennung ins Leere laufen lassen. Aber unabhängig welche Angriffsmethode schlussendlich zum Einsatz kommt, alle haben eines gemeinsam, es werden Schwachstellen in den Systemen und Applikationen genutzt und, was sehr wichtig ist, Cyberangriffe haben Verhaltensmuster.

Auf Basis dieser Erkenntnisse ergeben sich als Betreiber von IT-Infrastruktur entsprechende Ansätze, wie man seine Systeme vor Angriffen besser schützen kann. Einer der ersten Schritte ist der Einsatz einer Multifaktorauthentifizierung. Damit wird eine Sicherheitsebene eingezogen, die ein sehr hohes Potential hat, einen Angreifer mit erbeuteten Zugangsdaten weiterhin aussperren zu können. Ein weiteres Ziel muss sein, einem potenziellen Angreifer so wenig Angriffsfläche wie nur eben möglich zu bieten. Dazu gehört ebenso eine passende Segmentierung von Netzwerkbereichen mit dazu passenden Firewall-Regeln, die diese schützen, wie auch ein entsprechendes Patchmanagement für Betriebssysteme und Applikationen. Um dieses aber durchführen zu können, muss man die installierte Software zum einen kennen und zugleich auch wissen, welche Schwachstellen diese aufweist. Damit ist man direkt im Thema der Vulnerability Analyse.

Ein weiterer Eckpfeiler im Verbund der Cybersicherheit ist die End Point Security. Wer jetzt an die klassische Antivirus Software denkt, liegt falsch. Diese hat den modernen Angriffen in den aller meisten Fällen nicht mehr entgegenzusetzen. Auch hier ist es die Verhaltensanalyse das Mittel mit dem größte Potential einen Angriff zeitnah zu erkennen und zu unterbinden. Analog zur Sandbox für E-Mail-Anhänge, deren Erfolg auch auf der Verhaltensanalyse beruht, ist der Einsatz der Verhaltensanalyse auf dem End Point nur die logische Konsequenz und die Adaption des erfolgreichen Ansatzes der Sandbox. Angreifer verfolgen ein Ziel und wie bestimmte Muster von Angriffen Rückschlüsse auf entsprechende Gruppierungen erlauben, können auch diese Verhaltensmuster genutzt werden, um Angriffe zu erkennen. Genau hier setzt moderne End Point Security an. Bei all den neuen und wichtigen Ansätzen darf man trotzdem die immer noch wichtigen und schon etablierten Schutzsysteme nicht vernachlässigen, die nach wie vor die Rechenzentren und auch die lokalen Arbeitsplätze schützen. Dazu gehören IPS, DNS- und URL-Filter und das Protokollieren und Analysieren von Verkehrsdaten der Kommunikation. Die neue Sicherheit des Endpoints muss aber in der Lage sein, dass sich ein Client selbst schützen kann. Vor allem auf dem Hintergrund, dass Clients nicht erst seit heute mobile Geräte sind, die im Homeoffice oder auf Dienstreise genutzt werden, um auf die Ressourcen des Unternehmens zuzugreifen. Angesichts durch den Krieg in der Ukraine und die in dessen Folgen verhängten Sanktionen, ist es nicht unwahrscheinlich, dass sich Cyber Angriffe auch gegen deutsche Unternehmen richten können. Ein anderes Szenario sind Kollateralschäden durch die in der Ukraine durchgeführte Cyber Angriffe, mit dem Ziel die Systeme unbrauchbar zu machen. Aus diesen Gründen ist es sehr wichtig die IT-Sicherheit massiv zu stärken, vor allem für die Unternehmen, die direkt oder indirekt im Fokus stehen können. Im Besonderen gilt dies für alle öffentlichen oder dem Allgemeinwohl dienenden Einrichtungen. Hier sind Betreiber von KRITIS oder auch regionale Versorger, wie auch das Gesundheitswesen zu nennen.

Bei Fragen zu diesem oder anderen Themen der IT stehen wir wie gewohnt zur Verfügung. Wir möchten auch an dieser Stelle noch mal ausdrücklich auf die Publikationen des BSI hinweisen und hier im Besonderen auf die mit Bezug zum Krieg in der Ukraine.