"Grenzwertig, dass Regierungsnetzwerke ausgenommen sind"
CW: Welche Auswirkungen wird das IT-Sicherheitsgesetz ganz konkret für deutsche Unternehmen haben? Was wird sich ändern - werden wir künftig regelmäßig über großangelegte Datendiebstähle und Hacks bei deutschen Unternehmen lesen?
URBANSKI: Aktuell geht man von ca. 2.000 Unternehmen aus, die man direkt dem Bereich der kritischen Infrastruktur zuordnen kann. Hierzu zählen unter anderem Energieversorger, Banken oder Flughäfen. Diese Unternehmen fallen unter das neue Gesetz und müssen zukünftig einer gesetzlichen Meldepflicht von Cyber-Attacken nachkommen.
Zudem müssen diese Firmen IT-Security-Mindeststandards umsetzen. Wie genau diese aussehen sollen ist, ist noch unklar. Fraglich ist zugleich, ob nicht auch Zulieferer oder Dienstleister unter die gesetzlichen Regelungen fallen. Meiner Einschätzung nach werden wir durch das neue IT-Sicherheitsgesetz künftig nicht häufiger über Cyberattacken auf Unternehmen in den Medien lesen.
SUHL: Kaspersky Lab begrüßt politische Initiativen im Bereich Cybersicherheit. Wenn Unternehmen und Organisationen, die kritische Infrastrukturen unterhalten, Cyberattacken melden, erhält man ein viel aussagekräftigeres Bild von den tatsächlichen Vorfällen und möglichen Schäden. Man kann dann auch entsprechende Verteidigungsstrategien entwickeln.
Die Meldung von Cyberangriffen hilft anderen Unternehmen, sich zu schützen. Zur politischen und rechtlichen Dimension des Gesetzes möchte sich Kaspersky Lab als Technologieanbieter aber nicht äußern.
TROST: Die Medien werden vermehrt darüber berichten, unabhängig von dem Gesetz. Immer häufiger werden interne Datenbanken veröffentlicht oder verkauft, somit kann das betroffene Unternehmen das gar nicht mehr geheim halten. Grenzwertig ist, dass Regierungsnetzwerke explizit von dem Gesetz ausgenommen sind - scheinbar gehören sie nicht zur "kritischen Infrastruktur" in Deutschland.
- Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier. - 1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern. - 2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk. - 3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen. - 4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. - 5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. - 6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.
Social-Engineering-Tricks und organisierte Kriminalität
Genau wie G Data, Kaspersky Lab und F-Secure kümmert sich auch die FI-TS (Finanz Informatik Technologie Service) um die Security-Belange großer Unternehmen - als IT-Dienstleister zahlreicher namhafter Finanzinstitute und Versicherungen. Das diesjährige FI-TS Management Forum widmete sich denn auch ganz den Themengebieten Cybercrime und IT-Sicherheit. Dabei wurde den Teilnehmern in etlichen spannenden Vorträgen und Live-Demonstrationen vermittelt, wie die Hacker der Neuzeit denken und handeln und welche kriminellen Trends sich in den Untiefen des Darknet entwickeln.
Dr. Walter Kirchmann, Vorsitzender der FI-TS Geschäftsführung, sieht in den immer weiter sinkenden Zugangs-Schranken zum "digitalen Untergrund" ein Hauptproblem für die sich immer weiter zuspitzende Bedrohungslage im Unternehmensumfeld. Ein besorgniserregender Trend sei zudem die stetig steigende Professionalisierung unter Black-Hat-Hackern. Das gehe soweit, dass Cyberkriminelle Werbung für ihre Dienste schalten - nach dem Motto "Want your competition down?"
Durch den immer populärer werdenden "Crime-as-a-service"-Trend entdeckt auch die organisierte Kriminalität Cybercrime als neues, lohnendes "Betätigungsfeld". Diese Verbrechens-Konglomerate und Kartelle würden, so Kirchmann, über erhebliche finanzielle Ressourcen verfügen, um kriminelle Hacker effektiv anwerben zu können. Dies nutzten die mafiösen Organisationen für die konsequente Erweiterung ihrer "Geschäftsfelder".
In weiteren Vorträgen sprachen unter anderem James Lyne, Chef der Sicherheitsforschung bei Sophos, und Dr. Carsten Hesse, Spezialist für Profiling und Bedrohungsmanagement bei Riskworkers, über aktuelle Bedrohungen für die IT-Sicherheit von Unternehmen. Im Video können Sie sich selbst ein Bild von der Veranstaltung machen: