Verteidigung im Cyberspace

Drei Strategien gegen externe Hacker

| Autor / Redakteur: Sascha Giese* / Julia Mutzbauer

Deutsche Cyber-Warriors und Elite-Counterhacker

Zum Schwerpunkt auf Mitarbeiter: Es ist entscheidend, dass die richtigen Mitarbeiter eingestellt werden – und dass die bereits vorhandenen Mitarbeiter optimal geschult sind. Kontinuierliche Schulung ist ein Muss, um gegenüber den neuesten Exploits die Oberhand zu behalten, und der Einsatz von Penetrationstestern oder ethischen Hackern erweist sich als geeignetes Rezept gegen böswillige Angriffe. Das entsprechende Wissen kann entscheidend für die Fähigkeit sein, potenzielle Bedrohungen zu erkennen und auf sie zu reagieren. Amtliche Stellen sollten in kontinuierliches Sicherheitstraining investieren und Schulungen eine hohe Priorität einräumen. IT-Teams sollten auch proaktiv alle ihnen zur Verfügung stehenden Ressourcen nutzen – einschließlich Social-Media-Kanälen, Netzwerkgruppen und Feeds zu Bedrohungen –, um mit Hackeraktivitäten, Malware etc. Schritt zu halten.

Die Information Systems Audit and Control Association (ISACA) sagt für die kommenden Jahre einen weltweiten Mangel an Cybersicherheitsexperten voraus. Um diesem Problem zu begegnen, wurden Schulungsprogramme aufgelegt. Die Bundesregierung und die Bundeswehr fördern Möglichkeiten für die Mitarbeiter, neue Kompetenzen zu erwerben und Fachexperten zu werden. „Cyber-Warriors“ mit Masterabschluss steht daher eine herausfordernde und vielversprechende Zukunft offen.

Im April endete die „größte und komplexeste internationale Live-Fire-Cyberabwehrübung“ der Welt – Locked Shields 2019. Mili­tärische und zivile Cyberabwehrexperten der Bundeswehr, ein NATO-Team und zahlreiche IT-Unternehmen nahmen an der Übung teil, um die Cyberabwehr zu trainieren. Ziel der jährlich stattfindenden Übung ist die Abwehr von Angriffen auf komplexe Computernetzwerke und IT-Systeme. Im Vordergrund steht die kritische Infrastruktur. Geübt wird aber auch die Verteidigung gegen auf die Bevölkerung abzielende Falschnachrichten.

Richtige Mitarbeiter und geeignete Tools

Da die Netzwerke immer größer und komplexer werden, wird auch ihre Überwachung und Verwaltung schwieriger. Es ist also entscheidend, sich auf die Technologie zu fokussieren. Die staatlichen Behörden und Verteidigungsstellen haben es mit riesigen Datenmengen, tausenden verbundenen Geräte sowie Private-, Public- und Hybrid-Cloud-Infrastrukturen zu tun. Konzepte zur manuellen Überwachung und traditionelle Tools sind in solchen Umgebungen eher ineffektiv.

Es gibt zu viele Zugangspunkte und Anwendungen – ob intern oder an gehosteten Standorten – und zu viele Informationen, die leicht zu kompromittieren sind. Eine geeignete Sicherheits- und Netzwerküberwachung geht Hand in Hand mit Lösungen, die automatisch nach potenziellen Anomalien scannen und auf sie reagieren können, egal wo sie auftreten. Eine erfolgreiche Abwehr von Bedrohungen erfordert die kontinuierliche Überwachung auf Netzwerkkonfigurationsänderungen und potenziellen Richtlinienverletzungen.

Dieser Prozess muss jedoch automatisiert, schnell und zuverlässig sein. Entscheidend sind eine kontinuierliche Überwachung zur automatischen Erkennung und Behebung von schwerwiegenden Sicherheitsverletzungen in Echtzeit sowie entsprechende Warnungen. Wenn zum Beispiel eine Anwendung kompromittiert wird, kann es sich als schwierig erweisen, das Problem bis zu seiner Quelle nachzuverfolgen, besonders wenn die Anwendung sich innerhalb einer verteilten hybriden IT-Umgebung befindet.

IT-Teams benötigen Tools, die umfassende Einblicke in das gesamte Netzwerk ermöglichen, damit sie ein Problem lokalisieren und beheben können, bevor es akut wird. Benötigt werden auch Möglichkeiten zur Nachverfolgung von Geräten in den jeweiligen Netzwerken. Wenn ein mit böswilligen Absichten betriebenes oder nicht autorisiertes Gerät versucht, auf das Netzwerk zuzugreifen, müssen Administratoren in der Lage sein, es seinem Benutzer zuzuordnen.

Dieser Benutzer kann absolut harmlos sein – etwa ein Mitarbeiter, der versucht, sein privates Tablet in einem (hoffentlich getrennt gehaltenen) Gastnetzwerk des BMVg zu betreiben. Es kann sich dabei aber auch um ein Mitglied einer ausländischen Hackergruppe handeln, oder um einen böswilligen Akteur, der sich eines versehentlich liegen gelassenen Laptops eines BMVg-Mitarbeiters bemächtigt hat. Ebenso kann er ein ehemaliger Mitarbeiter sein, der per VPN auf das Netzwerk zugreift, weil sein Benutzerkonto bei seinem Ausscheiden nicht gelöscht wurde. Ohne die geeigneten Tools lässt sich das nicht feststellen und gibt es auch keine Möglichkeit, das Gerät zu sperren oder Netzwerkzugriffsrechte außer Kraft zu setzen.

Der Autor Sascha Giese
Der Autor Sascha Giese (© Solar Winds)

Strategien kontinuierlich aktualisieren

Eine Strategie sollte nicht einfach nur aus einer tabellarischen Aufzählung in einer eMail bestehen, sondern sollte ein sorgfältig formulierter Plan sein, in dem die im Fall eines Sicherheitsverstoßes durchzuführenden Maßnahmen skizziert werden. Außerdem sollte die Sicherheitsstrategie kontinuierlich aktualisiert werden. Bedrohungen befinden sich im ständigen Wandel; entsprechend wandlungsfähig sollten auch die Sicherheitspläne sein.

IT-Teams können in ihre Routineaufgaben Best Practices integrieren und Schwachstellen sowie potenzielle Risiken antizipieren und gleichzeitig mit Präventivmaßnahmen das Netzwerk und die Ressourcen schützen. Neben der täglich durchzugehenden Maßnahmencheckliste (Protokollkontrollen, Patchen von Anwendungen usw.) sollte die IT die Aktualisierung ihrer Sicherheitsabläufe in regelmäßigen Abständen (mindestens einmal jährlich, wenn nicht häufiger) einplanen.

Mit einer starken Kombination aus den richtigen Mitarbeitern, den geeigneten Tools und den entsprechenden Strategien sind die Sicherheitsbehörden gut gegen diese neuen Bedrohungen gerüstet.

*Der Autor Sascha Giese ist Head Geek bei SolarWinds

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46170932 / System & Services)