Verteidigung im Cyberspace Drei Strategien gegen externe Hacker

Autor / Redakteur: Sascha Giese* / Julia Mutzbauer

Cyber-Know-how, Training zur Abwehr von Cyberangriffen, Cyberverteidigung – die Sicherheit im Internet ist weiterhin ein heißes Gesprächsthema in öffentlichen und privaten Organisationen. Mit der richtigen Schulung und den richtigen Tools sind IT-Experten zweifellos besser gegen ausländische Hacker gerüstet. Ein Gastbeitrag von Sascha Giese von SolarWinds.

Firmen zum Thema

Laut dem IT-Dienstleister SolarWinds spielen die richtigen Mitarbeiter und die geeigneten Tools eine wichtige Rolle beim Thema Cybersicherheit
Laut dem IT-Dienstleister SolarWinds spielen die richtigen Mitarbeiter und die geeigneten Tools eine wichtige Rolle beim Thema Cybersicherheit
(© Murrstock - stock.adobe.com)

Während Staat, Wirtschaft und Gesellschaft zunehmend von einer vernetzten, digitalisierten Welt profitieren, in der alles rund um die Uhr verfügbar ist, sehen sie sich gleichzeitig Angriffen im Cyber- und Informationsraum (CIR) gegenüber.

Dies gilt auch für die Bundeswehr, die gegen solche Angriffe anfälliger geworden ist. Ob Angriffe auf den Bundestag oder auf das Gesundheitssystem: Die Anzahl der Cyberangriffe auf kritische öffentliche Einrichtungen nahm 2018 zu, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet.

Mittlerweile steht der deutsche CIR vor der schwierigen Aufgabe, seinen Funktionsbereich zu erweitern und sich gegen zukünftige Herausforderungen zu wappnen, während gleichzeitig die vorhandenen Systeme vor immer vielfältigeren und komplexeren Bedrohungen geschützt werden müssen. Mit dem CIR versucht die Bundeswehr, die Cyberabwehr in den Bereichen des militärischen Nachrichtenwesens, der IT-Sicherheit und des Geoinformationswesens zu stärken, um einen besseren Schutz vor Angriffen auf IT-Strukturen zu bieten.

Die Finanzierungsprobleme der Streitkräfte und der Mangel an Fachpersonal erschweren jedoch Verbesserungen beim Thema Cybersicherheit. Kaum eine Woche vergeht, ohne dass neue Vorfälle gemeldet werden. Die Spuren führen häufig nach Russland, China oder Nordkorea. Experten sind sich sicher: Die Cyberbedrohungen werden noch zunehmen.

Die deutsche Regierung investiert seit Jahren in die Cybersicherheit. Cyberspionage, Sabotage und Desinformationskampagnen sind zu Standardwerkzeugen von Nachrichtendiensten und Hackern geworden. Der Angreifer hat es leicht: Er muss nur einen einzigen Link finden, der einen Exploit ermöglicht. Verteidiger haben es weit schwerer: Sie müssen Angriffsvektoren antizipieren sowie Schwachstellen bestimmen und sie eliminieren. Damit erklärt sich, warum diejenigen, die unser System verteidigen, auch gut über Offensivfähigkeiten Bescheid wissen müssen, um ihre Abwehraufgaben entsprechend wahrnehmen zu können. Während die Regierung Mühe hat, ihre Verteidigungssysteme zu stärken, sehen die Streitkräfte selbst sich echten Bedrohungen gegenüber.

Wie das Bundesministerium der Verteidigung (BMVg) berichtet, gab es 2017 ca. zwei Millionen unberechtigte Zugriffsversuche auf seine Aktivitäten – darunter 8.000, die als schwerwiegend eingestuft wurden –, bei denen das Eindringen in IT-Systeme der Bundeswehr nur deshalb scheiterte, weil Verteidigungslinien wie etwa Firewalls funktionierten.

Das Überraschungspotenzial im Cyberbereich wird in diesem und in den folgenden Jahren noch zunehmen, da Milliarden weitere ­Digitalgeräte – mit relativ geringer integrierter Sicherheit – neu angeschlossen werden und Nationalstaaten sowie böswillige Akteure weniger zurückhaltend sind, die immer weiter verbreiteten Cyber-Tools einzusetzen, und besser für ihre Nutzung gerüstet sind.

Diesen Herausforderungen zu begegnen, ist schwierig, aber nicht unmöglich. Indem sie die Schwerpunkte auf Mitarbeiter, Technologie und Planung legen, bekommen die Netzwerkadministratoren des Bundes ihre Netzwerke besser in den Griff und können Sicherheitsrichtlinien verstärken, die böswillige Akteure fernhalten.

Bitte lesen Sie auf der nächsten Seite weiter.

Deutsche Cyber-Warriors und Elite-Counterhacker

Zum Schwerpunkt auf Mitarbeiter: Es ist entscheidend, dass die richtigen Mitarbeiter eingestellt werden – und dass die bereits vorhandenen Mitarbeiter optimal geschult sind. Kontinuierliche Schulung ist ein Muss, um gegenüber den neuesten Exploits die Oberhand zu behalten, und der Einsatz von Penetrationstestern oder ethischen Hackern erweist sich als geeignetes Rezept gegen böswillige Angriffe. Das entsprechende Wissen kann entscheidend für die Fähigkeit sein, potenzielle Bedrohungen zu erkennen und auf sie zu reagieren. Amtliche Stellen sollten in kontinuierliches Sicherheitstraining investieren und Schulungen eine hohe Priorität einräumen. IT-Teams sollten auch proaktiv alle ihnen zur Verfügung stehenden Ressourcen nutzen – einschließlich Social-Media-Kanälen, Netzwerkgruppen und Feeds zu Bedrohungen –, um mit Hackeraktivitäten, Malware etc. Schritt zu halten.

Die Information Systems Audit and Control Association (ISACA) sagt für die kommenden Jahre einen weltweiten Mangel an Cybersicherheitsexperten voraus. Um diesem Problem zu begegnen, wurden Schulungsprogramme aufgelegt. Die Bundesregierung und die Bundeswehr fördern Möglichkeiten für die Mitarbeiter, neue Kompetenzen zu erwerben und Fachexperten zu werden. „Cyber-Warriors“ mit Masterabschluss steht daher eine herausfordernde und vielversprechende Zukunft offen.

Im April endete die „größte und komplexeste internationale Live-Fire-Cyberabwehrübung“ der Welt – Locked Shields 2019. Mili­tärische und zivile Cyberabwehrexperten der Bundeswehr, ein NATO-Team und zahlreiche IT-Unternehmen nahmen an der Übung teil, um die Cyberabwehr zu trainieren. Ziel der jährlich stattfindenden Übung ist die Abwehr von Angriffen auf komplexe Computernetzwerke und IT-Systeme. Im Vordergrund steht die kritische Infrastruktur. Geübt wird aber auch die Verteidigung gegen auf die Bevölkerung abzielende Falschnachrichten.

Richtige Mitarbeiter und geeignete Tools

Da die Netzwerke immer größer und komplexer werden, wird auch ihre Überwachung und Verwaltung schwieriger. Es ist also entscheidend, sich auf die Technologie zu fokussieren. Die staatlichen Behörden und Verteidigungsstellen haben es mit riesigen Datenmengen, tausenden verbundenen Geräte sowie Private-, Public- und Hybrid-Cloud-Infrastrukturen zu tun. Konzepte zur manuellen Überwachung und traditionelle Tools sind in solchen Umgebungen eher ineffektiv.

Es gibt zu viele Zugangspunkte und Anwendungen – ob intern oder an gehosteten Standorten – und zu viele Informationen, die leicht zu kompromittieren sind. Eine geeignete Sicherheits- und Netzwerküberwachung geht Hand in Hand mit Lösungen, die automatisch nach potenziellen Anomalien scannen und auf sie reagieren können, egal wo sie auftreten. Eine erfolgreiche Abwehr von Bedrohungen erfordert die kontinuierliche Überwachung auf Netzwerkkonfigurationsänderungen und potenziellen Richtlinienverletzungen.

Dieser Prozess muss jedoch automatisiert, schnell und zuverlässig sein. Entscheidend sind eine kontinuierliche Überwachung zur automatischen Erkennung und Behebung von schwerwiegenden Sicherheitsverletzungen in Echtzeit sowie entsprechende Warnungen. Wenn zum Beispiel eine Anwendung kompromittiert wird, kann es sich als schwierig erweisen, das Problem bis zu seiner Quelle nachzuverfolgen, besonders wenn die Anwendung sich innerhalb einer verteilten hybriden IT-Umgebung befindet.

IT-Teams benötigen Tools, die umfassende Einblicke in das gesamte Netzwerk ermöglichen, damit sie ein Problem lokalisieren und beheben können, bevor es akut wird. Benötigt werden auch Möglichkeiten zur Nachverfolgung von Geräten in den jeweiligen Netzwerken. Wenn ein mit böswilligen Absichten betriebenes oder nicht autorisiertes Gerät versucht, auf das Netzwerk zuzugreifen, müssen Administratoren in der Lage sein, es seinem Benutzer zuzuordnen.

Dieser Benutzer kann absolut harmlos sein – etwa ein Mitarbeiter, der versucht, sein privates Tablet in einem (hoffentlich getrennt gehaltenen) Gastnetzwerk des BMVg zu betreiben. Es kann sich dabei aber auch um ein Mitglied einer ausländischen Hackergruppe handeln, oder um einen böswilligen Akteur, der sich eines versehentlich liegen gelassenen Laptops eines BMVg-Mitarbeiters bemächtigt hat. Ebenso kann er ein ehemaliger Mitarbeiter sein, der per VPN auf das Netzwerk zugreift, weil sein Benutzerkonto bei seinem Ausscheiden nicht gelöscht wurde. Ohne die geeigneten Tools lässt sich das nicht feststellen und gibt es auch keine Möglichkeit, das Gerät zu sperren oder Netzwerkzugriffsrechte außer Kraft zu setzen.

Der Autor Sascha Giese
Der Autor Sascha Giese
(© Solar Winds)

Strategien kontinuierlich aktualisieren

Eine Strategie sollte nicht einfach nur aus einer tabellarischen Aufzählung in einer eMail bestehen, sondern sollte ein sorgfältig formulierter Plan sein, in dem die im Fall eines Sicherheitsverstoßes durchzuführenden Maßnahmen skizziert werden. Außerdem sollte die Sicherheitsstrategie kontinuierlich aktualisiert werden. Bedrohungen befinden sich im ständigen Wandel; entsprechend wandlungsfähig sollten auch die Sicherheitspläne sein.

IT-Teams können in ihre Routineaufgaben Best Practices integrieren und Schwachstellen sowie potenzielle Risiken antizipieren und gleichzeitig mit Präventivmaßnahmen das Netzwerk und die Ressourcen schützen. Neben der täglich durchzugehenden Maßnahmencheckliste (Protokollkontrollen, Patchen von Anwendungen usw.) sollte die IT die Aktualisierung ihrer Sicherheitsabläufe in regelmäßigen Abständen (mindestens einmal jährlich, wenn nicht häufiger) einplanen.

Mit einer starken Kombination aus den richtigen Mitarbeitern, den geeigneten Tools und den entsprechenden Strategien sind die Sicherheitsbehörden gut gegen diese neuen Bedrohungen gerüstet.

*Der Autor Sascha Giese ist Head Geek bei SolarWinds

(ID:46170932)