Im vergangenen Jahr wurde Erpressersoftware (Ransomware) zur Landplage, DDoS-Angriffe (Distributed Denial of Service) erreichten dank dem „Internet der schlecht geschützten Dinge“ neue Dimensionen. Zugleich müssen Unternehmen jederzeit mit Industriespionage oder gar vom Ausland initiierter Kompromittierung rechnen. Dieses Jahr sollten IT-Leiter deshalb laut Fachleuten überdenken, ob ihre Organisation in Sachen Security-Strategie und Abwehrfähigkeit noch auf dem Stand der Technik ist.

„Hacken ist heute vor allem ein Business Case. Für die Angreifer, weil es ihnen vor allem ums Geld geht, und für die Unternehmen, weil sie Risiken abschätzen und ihre IT durch Investitionen in On-Site- oder Cloud-basierte Schutzsysteme adäquat gegen Ransomware-Angriffe schützen oder im Extremfall Lösegelder zahlen müssen“, warnt Radware, Sicherheitsanbieter und Herausgeber des „Application and Network Security Reports 2016–2017“. Der Hersteller hebt Ransomware hervor, da über 40 Prozent der 534 für den Bericht befragten Unternehmen Lösegelderpressung durch Kryptotrojaner als häufigsten Grund für Angriffe auf ihr Netzwerk im Jahr 2016 angegeben hatten (Bild 1). Für Europa liegt dieser Wert sogar bei 49 Prozent. An zweiter Stelle der Angriffsarten folgen laut Radwares Report Angriffe mittels Social Engineering (also etwa Phishing, Spear-Phishing und CEO Fraud, das Vorspiegeln falscher Anweisungen des Chefs), an dritter Stelle findet man DDoS-Angriffe.

Bild 1. Laut einer Radware-Umfrage war das Erpressen von Lösegeld mittels Ransomware 2016 das häufigste Motiv für Angriffe auf Unternehmensnetze. Bild: Radware/LANline

Bekanntes und Neues

Über die Hälfte aller Angriffe wurde 2016 laut Radware mittels Malware und Botnets durchgeführt, in Europa und Asien spielten zudem Angriffe auf Web-Applikationen mit 55 Prozent eine wesentliche Rolle. Botnet-Betreiber machen sich zunutze, dass mit dem „Internet of Things“ (IoT) heute Millionen mangelhaft geschützter Geräte und Gerätchen vernetzt sind, häufig mit leicht zu ermittelnden Default-Passwörtern, die mitunter sogar hartcodiert hinterlegt sind – ein derart eklatanter Anfängerfehler, dass solcher Code eigentlich selbst schon der Malware zuzurechnen ist. Mit solcher Hilfe hat es das IoT-Botnet Mirai geschafft, eine DDoS-Kapazität von über 1 TBit/s zu erzielen – ein noch vor Jahresfrist ungekanntes Kaliber. „Hier sind die Hersteller aufgerufen, durch geeignete Maßnahmen die Sicherheit ihrer IoT-Systeme zu gewährleisten“, so Georgeta Toth, Regional Director DACH bei Radware. Das Problem dabei ist, wie einst von Bruce Schneier in seinem Buch „Beyond Fear“ beschrieben, die Externalisierung des Risikos: Weder der IoT-Gerätehersteller noch dessen Kunde trägt einen Schaden davon, wenn ein Gerät als Teil eines Botnets Websites lahmlegt – zumindest nicht, solange Gesetzgeber und Justiz keinen Schadenersatz erzwingen.

„Remote-Zugriffe und Web-Anwendungen sind nicht nur diejenigen Angriffsvektoren, die am häufigsten übersehen werden“, warnt Wieland Alge, Vice President und General Manager EMEA bei Barracuda Networks. „Sie gehören auch – neben E-Mail-Konten, Netzwerkperimeter und Endgeräten – zu den fünf am häufigsten genutzten.“ Liviu Arsene, Senior E-Threat Analyst bei Bitdefender, ergänzt: „Egal, ob Angreifer einen Mitarbeiter dazu bringen, ein infiziertes Dokument zu öffnen oder eine schädliche URL zu klicken – sie sind meistens auf eine Form von Social Engineering (Ausnutzen menschlicher Schwächen, d.Red.) angewiesen, um zu erreichen, dass ein Mitarbeiter eine schädliche Aktion unternimmt.“

Bild 2. Deutsche Unternehmen berichteten bei einer Ponemon-Institute-Umfrage von steigender Resilienz gegenüber Angriffen auf ihre IT-Infrastrukturen. Bild: Ponemon Institute/LANline

Als Gegenmaßnahme setzen viele Unternehmen längst auf Security-Awareness-Schulungen. Doch die Social-Engineering-Taktiken wie etwa Spear-Phishing werden immer ausgefeilter und damit für die Zielperson immer schwerer zu erkennen. „Gänzlich verhindern lassen sich Angriffe mittels Security Awareness nicht. Denn ein einzelner falscher Klick reicht aus, um Schaden zu verursachen“, so Grady Summers, CTO von Fireeye, im Gespräch mit LANline. „Wichtig ist es deshalb, die Anwender gut genug zu schulen, dass sie seltsame Vorkommnisse sofort dem Security-Team berichten. Denn Endanwender können Angriffe zwar nicht dauerhaft abwehren, aber sozusagen zum Intrusion-Detection-System beitragen.“

Bei der Telekom geht man davon aus, dass sich die Lage weiter verschärfen wird: „Was wir im laufenden Jahr an Angriffen mit Kryptotrojanern und DDoS-Attacken gesehen haben, ist noch nicht einmal die Spitze des Eisbergs“, so Thomas Tschersich, Leiter Group Security Services bei der Telekom. „Was noch kommen wird, wird gewaltig sein.“ Georgeta Toth nennt ein Beispiel: „Schon morgen könnten Defibrillatoren oder Herzschrittmacher zum Ziel von Ransomware werden.“

Bild 3. Auf HPEs SOMM-Skala (Security Operations Maturity Model; von 0 bis 5 als Bestnote) schneiden die SOCs weltweit im Durchschnitt viel zu schlecht ab. Bild: Hewlett Packard Enterprise

Bei Radware sieht man drei weitere Angriffsvarianten im Aufwind: erstens Permanent Denial of Service (PDoS, auch „Phlashing“ genannt), also die Schädigung eines Zielsystems in einem Maße, dass man es neu installieren oder gar ersetzen muss; zweitens Telephony DoS (TDoS), also DDoS-Angriffe auf TK-Einrichtungen, was zum Beispiel Einsatzkräfte im Krisenfall massiv beeinträchtigen und somit sogar Leben bedrohen kann. Drittens mahnt der israelische Security-Anbieter, dass Flugzeug, Bus und Bahn sowie Pkw zunehmend automatisiert werden, bis hin zu autonomen Fahrzeugen. Das macht sie zu attraktiven Zielen für Angreifer wie zum Beispiel Erpresser.

„Unternehmen in Deutschland sind in den letzten Jahren verstärkt im Fokus, wenn es um Industriespionage geht“, warnt Claudio Wolff, Leiter des Cyber-Abwehrzentrums von Hewlett Packard Enterprise (HPE) in Böblingen. „Gerade für deutsche Mittelständler wächst das Risiko: Sie produzieren häufig weltmarktführende Produkte und sind daher ein interessantes Spionageziel, verfügen aber intern oft nicht über genügend IT-Sicherheitsexperten, um ihr Unternehmen zu schützen.“ Ein großes Problem ist dabei laut Wolff, dass Eindringlinge, die gezielt und behutsam vorgehen, sehr lange unentdeckt bleiben können: „Ein Angreifer verbringt im Durchschnitt zirka 146 Tage im Unternehmensnetz, bevor der Angriff erkannt wird – genügend Zeit, um wichtige Informationen abzugreifen und ein Unternehmen nachhaltig zu schädigen“, so Wolff.

Widerstandsfähigkeit wächst

Die gute Nachricht: Nicht nur beschäftigt man sich auf Bundesebene im Rahmen des Kritis-Plans intensiv mit der Steigerung der Resilienz der landesweiten kritischen Infrastruktur (also mit deren Fähigkeit, einen Angriff ohne nennenswerte Betriebseinschränkung zu überstehen); auch deutsche Unternehmen berichten von zunehmender Resilienz ihrer IT-Umgebungen. So haben in der Ponemon-Institute-Studie „The 2016 Cyber Resilient Organization“ zwar 40 Prozent der deutschen Organisationen angegeben, dass sie ihre Resilienz gegenüber IT-Angriffen im Vergleich zum Vorjahr nicht steigern konnten. 48 Prozent erklärten aber, ihre Widerstandsfähigkeit habe sich „verbessert” oder zumindest „etwas verbessert“, zwölf Prozent meldeten sogar eine „deutliche“ Verbesserung. Der Gesamtwert in puncto Cyberresilienz stieg damit gegenüber 2015 von 54 auf 60 Prozent (Bild 2).

Dass der IT-Sicherheit in deutschen Unternehmen längst große Bedeutung zukommt, bestätigt auch Ravin Mehta, Geschäftsführer des Berliner Cloud-Service-Providers The Unbelievable Machine Company: „Bei Projekten der digitalen Transformation nehmen unsere Kunden – das sind in aller Regel Großunternehmen – die Sicherheitsfrage sehr ernst“, so Mehta. „IT-Grundschutz-, ISO-27001- und gegebenenfalls PCI-DSS-Zertifikate sind Grundvoraussetzung, um überhaupt in Ausschreibungen berücksichtigt zu werden. Den Zuschlag für Projekte erhält man zudem nur, wenn man ein glaubhaftes Security-Konzept darstellen kann. Ab einer bestimmten Kritikalität der Applikationen oder Daten geben die Unternehmen zudem oft vor, dass vor der Inbetriebnahme einer Cloud- oder Big-Data-Umgebung eine Prüfung durch unabhängige Auditoren erfolgen muss.“

Herausforderung Digitalisierung

Das Thema IT-Sicherheit liegt dabei längst nicht mehr nur in den Händen der IT-Organisation eines Unternehmens: „Im Rahmen der digitalen Transformation erfolgen viele Entscheidungen für neue Technologien nicht mehr nur in der IT-Abteilung, sondern auch in Fachbereichen“, so Claudio Wolff von HPE. „IT-Sicherheitsverantwortliche sollten daher von vornherein in die Geschäftsprozesse des Unternehmens eingebunden werden und direkt mit der Geschäftsleitung zusammenarbeiten.“ Wie aber lässt sich verhindern, dass kompromittierte IT-Systeme die allseits beschworene digitale Transformation ausbremsen? „Die Unternehmen müssen erst einmal ermitteln, welche Systeme sie tatsächlich im Einsatz haben. Der Ponemon-Report ‚The 2016 Cyber Resilient Organization‘ etwa zeigt, dass deutsche Security-Spezialisten die Komplexität der Geschäftsabläufe und der IT als das größte Hindernis verstehen, wenn sie die Widerstandsfähigkeit eines Unternehmens gegen Cyberangriffe stärken wollen“, so Paul Ayers, General Manager EMEA von IBM Resilient, einem Spezialisten für Incident Response (Reaktion auf Sicherheitsvorfälle).

„Bei Projekten der digitalen Transformation nehmen unsere Kunden die Sicherheitsfrage sehr ernst“, so Ravin Mehta, Chef von The Unbelievable Machine Company. Bild: The Unbelievable Machine Company

„Konkrete technische oder organisatorische Sicherheitsmaßnahmen ergeben sich aus einer individuellen Risikoanalyse je Geschäftsprozess“, betont Stefan Strobel, Geschäftsführer des Heilbronner Security-Beratungshauses Cirosec. „Entscheidend ist, dass Informationssicherheit in einer möglichst frühen Phase solcher Projekte berücksichtigt wird und die tatsächlichen Risiken und Sicherheitsanforderungen ermittelt werden, bevor der Projektfortschritt einer Umsetzung der Sicherheitsaspekte im Weg steht.“

„Als größte einzelne Bedrohung nennt der Ponemon-Report ‚menschlichen Irrtum‘ – also kämpfen die Security-Teams immer noch mit der ‚Bedrohung von innen‘, auch wenn diese nicht immer auf bösem Willen beruht“, so IBM-Fachmann Paul Ayers. „Als fast genauso große Gefahr folgen dann die ‚Advanced Persistent Threats‘ – eine Kategorie, die viele Spielarten von Zero-Day-Exploits erfasst. Dies unterstreicht, wie wichtig es im Fall der Fälle ist, alle relevanten Informationen schnell beisammen zu haben, um die Reichweite und Schwere eines Incidents schnell einschätzen und dann richtig reagieren zu können.“ Die zügige und zielgerichtete Bündelung von Sicherheitsinformationen – „Security Intelligence“ genannt – haben sich zahlreiche Anbieter auf die Fahnen geschrieben, darunter neben IBM auch Check Point, Fireeye, HPE, Kaspersky Labs, RSA und Trend Micro, zudem Spezialanbieter wie Fidelis Cybersecurity.

„Wenn jemand durch das Fenster oder die Hintertür in Ihr Haus einbricht, erkennen Sie das sofort. Cybereinbrüche fallen jedoch oft erst nach Monaten oder teilweise Jahren auf. Deshalb erhält in der digitalen Geschäftswelt die Erkennung von Einbrüchen eine neue Bedeutung“, so Oliver Keizers, Regional Director DACH bei Fidelis Cybersecurity. „Unternehmen müssen hierzu Netzwerk- und Endpunktsicherheit ganzheitlich aufeinander abstimmen und Erkennungs- und Response-Zeiten massiv verkürzen.“

Als kritische Faktoren auf Produktebene erachtet Wieland Alge von Barracuda „erstens Sicherheit auf den Systemen und Applikationen selbst – also Security by Design – und zweitens zwischengeschaltete Sicherheitsmechanismen: Security by Architecture.“ Bei großen Anbietern wird „Security by Design“ schon seit geraumer Zeit groß geschrieben, zum Beispiel bei Microsoft oder Hewlett Packard Enterprise: „HPE verfolgt den ,Built-in‘-Ansatz, das heißt, Sicherheit wird bereits in der Entwicklung von Produkten oder Prozessen berücksichtigt“, so HPE-Mann Wolff. „Von der Sicherheitsstrategie über die Produktentwicklung bis zur Implementierung und dem Betrieb ist Sicherheits- und Risiko-Management ein fortlaufender Prozess, der regelmäßig geprüft und qualitativ weiterentwickelt wird.“

Ganz ähnlich sieht man das bei Rohde & Schwarz Cybersecurity, positioniert sich der deutsche Anbieter doch als Lieferant von Security-Lösungen „Made in Germany“: „Unternehmen sollten IT-Sicherheit als Business-Enabler betrachten. Denn die digitale Transformation kann allein dann gelingen, wenn sie über jederzeit verfügbare und integre digitale Geschäftsprozesse verfügen“, so Peter Rost, Director Business Development und Strategie, Rohde & Schwarz Cybersecurity. „Um deren Funktionsfähigkeit zu gewährleisten, sollten sie nachhaltig wirksame Lösungen mit einbauen, die nach dem Ansatz ‚Security by Design‘ entwickelt sind. Sie reduzieren die Angriffsflächen massiv, indem sie selbst komplexe und noch unbekannte Angriffe proaktiv verhindern, statt ihnen reaktiv hinterherzulaufen.“

Sieht Endanwender als hilfreich für Intrusion Detection: Fireeye-CTO Grady Summers. Bild: Fireeye

Als Beispiel für diesen Ansatz nennt Rost den hauseigenen gehärteten Web-Browser: „Heutzutage laufen über 90 Prozent aller Cyberangriffe über einen Web-Browser. Der größte Nutzen kann ein virtualisierter Browser bringen.“ Denn dieser sei von allen anderen Anwendungen auf dem Computer wie auch von den Unternehmensdaten hermetisch getrennt. Security by Design hat laut Wieland Alge aber seine Grenzen, „da viele dieser Maßnahmen ein restriktives Change-Management beinhalten, die oft dem agilen und flexiblen Paradigma der IT für digitale Geschäftsmodelle widersprechen.“ Deshalb seien sichere und agile Architekturen unerlässlich.

Security by Architecture

In puncto Sicherheitsarchitektur propagieren namhafte Player – darunter Cisco, Fireeye, HPE und IBM – einen ganzheitlichen Ansatz. Ziel ist es hier, möglichst die gesamte Kette von der Erkennung einer Bedrohung über deren Analyse und Gewichtung bis hin zur Abwehr und künftigen Vermeidung von zentraler Stelle aus überwachen und managen zu können – ein hehres Ziel. Laut Fireeye-CTO Grady Summers haben die IT-Sicherheitsorganisationen der Unternehmen in aller Regel zahlreiche – oft Dutzende – Security-Tools im Einsatz, doch arbeiten diese häufig nicht optimal zusammen. Deshalb habe Fireeye nun seine eigenen und akquirierten Security-Lösungen in der Plattform Helix zusammengeführt. Diese vereint laut Summers die Fireeye-Tools für Netzwerk- und Endpunktsicherheit, die Threat Analytics Platform, Advanced Threat Intelligence und Security Orchestrator mit Playbooks auf der Basis der Best Practices der hauseigenen Security-Consulting-Truppe Mandiant. So erhalte ein Unternehmen das Rüstzeug und die Workflows eines professionellen SOCs (Security Operations Center) nebst Schnittstellen zur Integration von Drittlösungen.

„Eine ganzheitliche und integrierte Security-Architektur kann Unternehmen am besten vor Bedrohungen schützen“, stimmt Torsten Harengel, Leiter Security bei Cisco Deutschland, zu. Doch bei Cisco sieht man diese direkt im Netzwerk verankert: „Sämtlicher Datenverkehr läuft über das Netzwerk, sodass es als Security Sensor und Enforcer eingesetzt werden kann, um Angriffe effektiv zu bekämpfen. Innovative Advanced Malware Protection, also AMP-Lösungen, bieten hohen Schutz und können Angriffe wie bei einem Flugschreiber zurückverfolgen und somit das Einfallstor erkennen und schließen.“

Paul Ayers von IBM Resilient rät zum Einsatz kognitiver Security-Werkzeuge. Bild: IBM

Auch Lee Fisher, Security Specialist EMEA bei Juniper Networks, betont die Rolle des Netzwerks für die Integrationsaufgabe: „Software-Defined Secure Networks (SDSN) von Juniper adressieren die Notwendigkeit einer Threat Detection in Echtzeit, automatisiertes Durchsetzen und adaptive Richtlinien – und zwar über das gesamte Netzwerk eines Unternehmens hinweg.“ Dabei, so Fisher, sollte das gesamte Netzwerk eine einzige holistische Domain sein, in der man Richtlinien einheitlich umsetzen kann.

Innovationen für mehr Sicherheit

Jenseits architektureller Ansätze gibt es auch eine Reihe von Verbesserungen auf Tool-Ebene, die laut den Security-Experten künftig für mehr Sicherheit sorgen werden. „Grundsätzlich hilft die Weiterentwicklung im Bereich Big Data Analysis natürlich auch den Methoden der Korrelation und Frühentdeckung im Bereich der IT-Sicherheit“, erläutert SOC-Leiter Wolff von HPE. IBM-Fachmann Ayers unterstreicht die zentrale Rolle „kognitiver“ Security-Werkzeuge: „Sie filtern potenzielle Bedrohungen mithilfe maschinellen Lernens zielsicherer heraus als frühere Tools und setzen sie zu Business-Risiken in Beziehung“, so Ayers. „IBMs Watson for Cybersecurity etwa fungiert als Rechercheassistent im Security Operations Center, reduziert damit die Arbeitslast der Security-Analysten und hilft ihnen, schneller und smarter über die bestmögliche Abwehr laufender Angriffe zu entscheiden.“

Einen großen Fortschritt sieht Barracuda-Manager Alge im „Sprung der Firewall aus dem Datacenter-Perimeter an alle Stellen, wo Kontrolle sinnvoll und notwendig ist. Speziell die Absicherung von IoT-Geräten und von Cloud-basierten Infrastrukturen ist nun eleganter möglich als noch vor wenigen Jahren.“ Und Cirosec-Geschäftsführer Strobel berichtet: „Isolationstechniken wie Sandboxen auf den Endgeräten, Mikrovirtualisierung, moderne Varianten von Recobs (Remote-Controlled Browser Systems, d.Red.) oder auch Antivirenlösungen der nächsten Generation auf Basis von künstlicher Intelligenz haben bisher eine gute Wirksamkeit gezeigt.“ Zur Abwehr von Ransomware wiederum verweist Storage-Hersteller Netapp auf die Lösung Snapguard des Schweizer Partners Cleondris: Diese erleichtere das Policy-Management für den Schutz der Datenbestände vor unerwünschten Zugriffen.

Als dritten wichtigen Ansatzpunkt für eine sichere digitale Transformation nannten einige der von LANline befragten Security-Spezialisten zudem Verbesserungen auf Prozessebene. Hier stehen vor allem Prozesse im Vordergrund, die den laufenden Betrieb und insbesondere die schnelle Reaktion im Ernstfall garantieren sollen. Oliver Keizers von Fidelis ergänzt: „Das immer noch führende Thema auf Mitarbeiterebene ist Risiko-Management, also zu verstehen, welche Systeme oder Daten wie geschützt werden müssen.“ Und Bitdefender-Mann Arsene mahnt: „Einen Disaster-Recovery-Plan zu haben, der in ständigen Iterationen verfeinert wird, ist überlebenswichtig für die Geschäftskontinuität.“

Die neue Fireeye-Lösung Helix vereint diverse Tools des Herstellers, um für Überblick zu sorgen und dadurch eine schnelle Incident Response zu ermöglichen. Bild: Fireeye

HPEs SOC-Leiter Wolff bringt es auf den Punkt: „Eine Kombination aus Prozessen, Sicherheitstechnologien und gut ausgebildetem Security-Personal versetzt Firmen in die Lage, effektiv Risiken zu identifizieren, Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Die Sicherheitsstrategie muss außerdem regelmäßig geprüft, überarbeitet und gemäß den neuen Angriffsmethoden und dem aktuellen Geschäftsrisiko angepasst werden.“ Hybride Lösungen und Personalmodelle steigerten gerade im Bereich der Cyberabwehr die Leistungsfähigkeit. Wolff verweist hier auf HPEs „State of Security Operations 2017 Report“. Dieser bemängelt den Reifegrad von Cyber-Abwehrzentren: 82 Prozent der SOCs genügten den an sie gestellten Anforderungen nicht, so der Report, über ein Viertel (27 Prozent) hätten nicht einmal ausreichende Security-Monitoring-Lösungen im Einsatz (Bild 3). Es gibt also Nachholbedarf.

Die Unternehmen stehen somit heute vor der Herausforderung, ihre IT-Security-Kapazitäten und deren Wirksamkeit weiter auszubauen oder über Managed-Security-Services und Security Outsourcing nachzudenken. Dies erfordert nicht nur die hohe Messlatte der digitalen Transformation, sondern auch eine immer raffiniertere Angreiferseite sowie die sich zeitgleich verschärfende Gesetzeslage, beispielsweise die neue EU-Datenschutz-Grundverordnung (EU-DSGVO). Das Inkrafttreten dieser Verordnung im Mai 2018 sollten Unternehmen laut HPE-Mann Wolff als Anlass nehmen, „sich 2017 noch mal intensiv mit ihrer Sicherheitsstrategie zu befassen und Prozesse und Technologien auf ihre Resistenz gegen Cyberangriffe zu prüfen.“

Vorsicht ist schließlich die Mutter der IoT-vernetzten, smarten Porzellankiste.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.