Auf dem Cisco Executive Security Summit diskutierte der Netzwerkausrüster in Frankfurt am Main mit rund 75 Chief Information Security Officer (CICOs) beziehungsweise dezidierten Mitarbeitern, die vollumfänglich für die IT-Security-Strategie in ihrem Unternehmen verantwortlich sind, über die aktuelle Bedrohungslage und Herausforderungen für den Schutz vor Cyberangriffen. Adam Philpott, Director Cyber-Security EMEAR bei Cisco, wies in seinem Vortrag unter anderem auf die gut organsierte Community der Cyberkriminellen hin. Diese seien durch ihre Einnahmen in der Regel gut finanziert, global vernetzt und im ständigen Austausch von Informationen und Angriffsarten. Dies ermöglicht ihnen nach Meinung von Philpott, schnell ihre Taktik zu wechseln, um mit ihren Angriffen möglichst unter dem Radar der Security-Experten zu bleiben.

Die Security-Verantwortlichen in den Unternehmen, also die Verteidiger, haben laut Philpott hingegen of mit vielen unterschiedlichen Lösungen für verschiedene Sicherheitsbereiche (Best-of-Breed-Ansatz) zu kämpfen. „Das führt dazu, dass die Lösungen immer komplexer und letztendlich schwieriger zu managen sind“, erklärte der Cisco-Manager. Gleichzeitig sei es schwierig, gute Security-Fachleute auf dem Markt zu bekommen. Für Philpott ist es daher immer wichtiger, dass die Unternehmen bei der Abwehr von Cyber-Attacken verstärkt mit Partnern zusammenarbeiten, die über das nötige Know-how verfügen.

Als solcher Partner möchte sich beispielsweise auch die neue Geschäftssparte der Deutschen Telekom, Telekom Security, positionieren. Mit Dirk Backofen, SVP Portfolio Management, Engineering und Operations bei Telekom Security, berichtete der Leiter des sich noch im Aufbau befindlichen Geschäftsbereichs dem Auditorium über die Ziele der Telekom auf dem Security-Markt. Damit betritt der Carrier keineswegs Neuland. „Schließlich sichern wir bereits seit 20 Jahren unser eigenes Core-Netz erfolgreich vor Angriffen von außen ab“, sagte Backofen. 80 Millionen Euro will der Konzern in die interne Security investiert haben. Der Umsatz mit dem Thema Security belief sich im letzten Jahr bereits auf 150 Millionen Euro.

Rund 1.200 Sicherheitsspezialisten gehören der Business Unit der Telekom an. Das Security-Angebot des Carriers umfasst dabei nicht nur eigene Entwicklungen, sondern im Kern Lösungen von verschiedenen IT-Security-Anbietern, die die Telekom ebenfalls für die Absicherung ihres internen Netzwerks nutzt. „Diese Erfahrung mit den Technologien unserer Partner wollen wir an unsere Kunden als gemanagte Lösungen weitergeben und dadurch die Komplexität aus ihrer IT-Security-Strategie herausnehmen“, erläuterte Backofen. Dadurch will die Telekom gezielt Technologie und Know-how in einer Einheit bündeln. Für die Zukunft plant der Carrier außerdem, am Konzernsitz in Bonn ein SOC-Zentrum (Security Operations Center) zu bauen.

Dirk Backofen, Leider der Security-Sparte der Deutschen Telekom: „Wir wollen unsere Erfahrung mit den Security-Produkten unserer Partner an die Kunden weitergeben.“

In seinem Vortrag gab Backofen auch einige Details über den Angriff durch das Mirai-Botnet auf die Telekom-Router Ende November bekannt. So habe das Netzwerk-Management der Telekom durch die erstaunlich geringe Nutzung von Entertainment-Diensten sowie der kleinen Zahl von angemeldeten Router an einem Sonntag im Telekom-Netz erstmals festgestellt, dass etwas nicht stimme. „Da jedoch noch alle Services funktionierten, konnten wir schnell ausschließen, dass es sich nicht um einen Angriff auf unsere Kernsysteme handelte – auch wenn die Kundenbeschwerden über ausgefallenes Internet und Telefonie zunahmen“, erläuterte Backofen.

Tatsächlich hatte Mirai Router weltweit attackiert und vermehrt in Brasilien und Irak versucht auf Geräte des Herstellers Zyxel durch Unix-Remote zuzugreifen. Dabei handelt es sich um einen Port, den laut Backofen auch die Telekom für Remote-Zugriffe auf ihren Geräten nutzt. „Unsere Software hat die Angriffe jedoch bei allen 900.000 betroffenen Routern abgewehrt“, betonte Backofen. Zwar seien die Geräte aufgrund des Schlecht programmierten Schadcodes außer Betrieb gegangen, jedoch nicht von der Malware infiziert worden. Anschließend hat die Telekom gemeinsam mit dem Hersteller Arcadyan für die betroffenen OEM-Router innerhalb von zwölf Stunden ein Software-Update ausgerollt und die Sicherheitslücke geschlossen, berichtete Backofen: „Das wäre nicht möglich gewesen, wenn wir keine Sicherheitsstrategie im Unternehmen gehabt hätten.“

Die Attacke durch das Botnetz nutzte der Leiter der Security-Sparte außerdem, um auf eine neue Art der Bedrohung hinzuweisen. Einen Angriff durch beispielsweise eine Million infizierter Router mit jeweils einer VDSL-Bandbreite von 30 MBit/s kann laut Backofen kein Provider alleine abwehren. Stattdessen müssen sich Hersteller und Provider zusammentun, um gegen eine solche Bedrohung bestehen zu können. „Wir müssen investieren, aufrüsten und dabei nach außen transparent sein“, forderte Backofen. Denn nur, wenn die Informationen über Angriffe und Sicherheitslücken ausgetauscht würden, sei es leichter, gegen diese zu bestehen.“

Wie Unternehmen im Falle einer Sicherheitslücke zumindest ihren Schaden finanziell absichern können, beleuchtete Dr. Georg Bräuchle, Geschäftsführer und Mitglied der Zentralen Geschäftsleitung beim Versicherungsmakler Marsh, in seinem Vortrag über die Versicherbarkeit von Cyber-Risiken. Denn, so der Referent, müsse bei traditionellen Versicherungspolicen in der Regel ein physischer Schaden vorliegen, damit diese überhaupt greifen würden. „Ein Sachschaden durch einen Hackerangriff ist versichert, eine Stilllegung des Betriebs hingegen nicht“, stellte Bräuchle fest. Aus diesem Grund bieten Versicherungen seit knapp vier Jahren sogenannte Cyber-Versicherungen an, um unter anderem die Kosten für Datenwiederherstellung, Betriebsunterbrechung, Krisen-Management und IT-Ausfall abzusichern. Besonders gefragt sind laut Bräuchle derzeit vor allem Policen für Entschädigungszahlungen bei einer Erpressung durch Cyber-Angreifer. Ausgenommen von der Versicherung sind hingegen Cyber-Spionage, Reputationsschäden sowie Forensiker und Terrorgefahren. „Problematisch ist hier auch die Vermengung von kriminellen und staatlichen Angriffen. In manchen Fällen lässt sich das gar nicht genau nachvollziehen“, erklärte Bräuchle.

Dadurch, dass es sich bei Cyber-Versicherungen noch um ein recht junges Angebot handele, hat sich bei den Versicherungsanbietern noch kein einheitlicher Standard durchgesetzt. Unternehmen sollten sich daher genau mit der Versicherung auseinander setzten. „Manche Cyber-Policen enthalten bis zu 26 Ausschlüsse“, erläuterte Bräuchle. Auch seien viele Sachverhalte sublimitiert. Auf der anderen Seite müssen Unternehmen einige Dinge beachten, um eine Versicherung gegen Cyberrisiken abzuschließen. Unter anderem beinhaltet dies eine umfassende Security-Strategie und die Vorbereitung auf mögliche Risikoszenarien im Unternehmen und deren Auswirkungen auf den Betrieb. „Versicherungen ist eine kurze Reaktionszeit auf einen Vorfall wichtig“, erklärt Bräuchle. Nur so lasse sich ein möglicher Schaden begrenzen und minimieren.

Aber auch die Versicherungen tun sich laut Bräuchle schwer damit, das Risiko durch Cyber-Angriffe abzuschätzen. Vergleichswerte aus der Vergangenheit existieren praktisch nicht. Mit externen Beratern und Forensikern versuchen die Anbieter daher, das mögliche Risiko zumindest abzuschätzen. Schließlich könne bei einem umfangreichen Hackerangriff auf einen Schlag plötzlich 30 Prozent der abgeschlossenen Policen betroffen sein, so Bräuchle. Das stelle auch für den Versicherer kein unerhebliches Risiko dar. Dennoch geht der Marsh-Manager weiter von einem starken Wachstum von Cyber-Versicherungen aus. Die steigende Nachfrage sei deutlich zu spüren. „Bis 2025 wird die Cyber-Versicherung die Feuerschutzversicherung in Unternehmen ein- oder sogar überholen“, prognostizierte Bräuchle.

Holger Unterbrink, Senior Researcher bei Talos Organisation: „Kunden müssen das Thema Security zum Challenger für die Hersteller machen.“

Wie Ciscos Security Search Team Talos Malware auf die Schliche kommt, erläuterte Holger Unterbrink, Senior Researcher der Talos Organisation, den Teilnehmern in seinem Vortrag. Für ihre Recherche greife die Threat Intelligence Organisation von Cisco auf die Telemetriedaten von Geräten des Netzwerkherstellers zurück. Diese können laut Unterbrink von Administratoren so konfiguriert werden, dass sie die Messdaten anonym an Talos senden. „Es werden jedoch nur verdächtige Daten an uns geschickt und von uns intern vor Zugriffen von außen versiegelt“, erklärte der Sicherheitsexperte. Durch das umfangreiche Produktportfolio des Netzwerkausrüsters stünde dem Research-Team eine breite Palette an Telemetriedaten zur Verfügung. Nur durch diese Daten und einem globalen Honeypot-Netzwerk sei es für Talos überhaupt möglich, Angriffskampagnen zeitnah zu finden und in seiner Gesamtheit aufzuzeigen. Beispielsweise 2015, als die Security-Experten von Cisco feststellten, dass eine Hackergruppe mit ihren Bruce-Force-Angriffen für ein Drittel der gesamten SSH-Aktivitäten im Internet sorgte und damit versuchte, Systeme mit einem DDoS-Trojaner zu identifizieren. „Wir haben uns das DDoS-Netzwerk dann genauer angeschaut und anschließend gemeinsam mit Partnern aus dem Verkehr gezogen“, resümierte Unterbrink.

Die Erkenntnisse ihrer Detektivarbeit fasst Talos anschließend auf ihrer Web-Seite in einem Blog zusammen. Dort finden sich auch Verwundbarkeitsreports, die das Reseach Team durchführt. „Wir geben den Herstellern 90 Tage Zeit auf unsere Hinweise zu reagieren, dann veröffentlichen wir den Report und bieten gleichzeitig ein Signatur-Update für Cisco-Geräte an“, berichtete Unterbrink.

Eine große Bedrohung für Unternehmensnetze sieht der Security-Experte vor allem durch IoT-Geräte, die sich oftmals auch ohne Wissen der IT-Abteilung im Netzwerk der Firma befinden. Die Sicherheitsvorkehrungen bei einer Vielzahl der Devices sei erschreckend, IoT-Bot-Netze wie Mirai daher keine Überraschung für ihn. „Das wird sich erst ändern, wenn die Kunden nicht mehr nur nach Features kaufen, sondern das Thema Security zum Challenger für die Hersteller machen“, betonte Unterbrink. Die große Beliebtheit von Ransomware führte er unter anderem darauf zurück, dass der Zahlprozess durch Kryptowährungen wie Bitcoin, Dash oder Zcash anonym stattfinden kann. Auch ist in seinen Augen die Zahl der gezielten Angriffe auf Unternehmen gestiegen. „Erst stehlen die Angreifer die Daten und schicken anschließend noch Ransomware hinterher“, sagte Unterbrink. Der einzige Schutz gegen die Verschlüsselungs-Malware besteht seiner Meinung nach nur in Offline-Backups.

Um der wachsenden Bedrohung durch Cyber-Bedrohungen Herr zu werden, stimmte Unterbrink mit den anderen Referenten und Stimmen aus dem Publikum ein, indem er nochmals hervorhob, dass der Informationsaustausch der Daten über Angriffsmethoden und -taktiken der Cyberkriminellen essentiell sei. So lautete ein Fazit des Security Summits, dass es nur gemeinsam möglich ist, gegen die sich immer weiter professionalisierende Hacker-Community zu bestehen.

Weitere Informationen finden sich auf www.cisco.de, www.marsh.de, www.talosintelligence.com/ und www.t-systems.com/de/de/loesungen/security/loesungen/sicherheitsloesungen/magenta-security-344400.

Timo Scheibe ist Redakteur bei der LANline.