Zeit als Security-Benchmark

Kennzahlen für Cyber-Abwehrbereitschaft

04.07.2019
Von 
Tuncay Eren ist Director of Sales beim Cybersecurity-Unternehmen Crowdstrike. Dort verantwortet er das Business Development in der DACH-Region. Mit über 20 Jahren Erfahrung in der IT-Branche verfügt Tuncay über tiefgehendes Konw-how um innovative Trends und Technologien im deutschsprachigen Raum bekannt zu machen. Bevor er Teil des Crowdstrike-Teams wurde arbeitete er bei F5 Networks, Sun Microsystems, BEA Systems sowie Silicon Graphics und Tanium.
Von Unternehmen wird gefordert, sich auf mögliche Cyber-Angriffe vorzubereiten und Maßnahmen zu ergreifen. Wann aber können diese als geeignet und ausreichend angesehen werden?

Beispiele für Cyberangriffe gibt es viele, unter anderem den Hack auf den norwegischen Aluminiumherstellers Norsk Hydro im März, der sich auch auf deutsche Standorte ausgewirkt hat. Immer öfter geraten Betreiber kritischer Infrastrukturen oder Behörden ins Visier von Cyberkriminellen. Die Cyberangriffe werden dabei immer ausgefeilter. eCrime Gruppierungen arbeiten dafür mittlerweile eng zusammen und entwickeln immer schwerer zu stoppende Malware.

Zeit ist Geld - das gilt auch bei Hackerangriffen. Die sogenannte "Breakout Time" kann daher als Benchmark für Security-Maßnahmen herhalten.
Zeit ist Geld - das gilt auch bei Hackerangriffen. Die sogenannte "Breakout Time" kann daher als Benchmark für Security-Maßnahmen herhalten.
Foto: Tashatuvango - shutterstock.com

So weist der Banking-Trojaner TrickBot zum Beispiel seit kurzem Charakteristika auf, die auf eine Zusammenarbeit zwischen den Gruppierungen Lunar Spider (BokBot) und Wizard Spider (TrickBot) schließen lassen. TrickBot nutzt nachweislich ein Proxy-Modul, das bisher nur BokBot nutzte. Die wahrscheinliche Kooperation zeigt, dass Hacker-Gruppen zusammenarbeiten und ihre Angriffsziele ausweiten. Wie aber können sich Unternehmen dagegen schützen, den Stand ihrer eigenen Cybersecurity-Bemühungen messen und optimieren?

Breakout-Zeit: Eine kritische Cyber-Metrik

Als eine zentrale Messgröße für Cybersicherheit sollten Unternehmen die Geschwindigkeit ihrer Gegenmaßnahmen begreifen. Um einen Kampf im Cyberspace zu gewinnen, besteht die einzige Möglichkeit, einen Gegner zu schlagen, darin, schneller zu sein als er. Daher lohnt sich ein Blick auf die sogenannte "Breakout Time". Sie bezeichnet die Zeitspanne, die Unternehmen bleibt, um einen Eindringling zu erkennen und aus dem System zu entfernen, bevor er von seinem ursprünglichen Einstiegspunkt aus weitere IT-Systeme kompromittiert. Diese beträgt im Durchschnitt nur eine Stunde und 58 Minuten.

Vor diesem Hintergrund helfen drei Schlüsselkennzahlen, die unternehmenseigene Abwehrbereitschaft einzuschätzen. Sie folgen dabei der so genannten 1-10-60 Regel. Sie bezeichnet eine ideale Zeitlinie, um einen Angriff zu erkennen, einzudämmen und abzuwehren:

  • Die benötigte Zeit, um ein Eindringen zu erkennen - idealerweise eine Minute.

  • Die benötigte Zeit, um einen Vorfall zu untersuchen, die Schwere oder den Umfang des Angriffs zu verstehen und die notwendigen Gegenmaßnahmen zu definieren - idealerweise bis zu zehn Minuten.

  • Die Zeit, um auf das Eindringen zu reagieren, den Gegner zu entfernen und entsprechende Maßnahmen zu ergreifen, um Schäden zu vermeiden - idealerweise bis zu 60 Minuten.

Diese 1-10-60-Regel kann als Ziel oder Benchmark dienen, um einen Angreifer schneller aus dem System entfernen können, bevor er seinen ursprünglichen Eintrittspunkt verlässt und anfängt, sich im Unternehmensnetzwerk auf sein eigentliches Ziel hin zu bewegen. Das minimiert den Schaden und verhindert weitere Eskalationsstufen.

Entscheidend dabei ist, innerhalb des Netzwerks Transparenz herzustellen, um bekannte und unbekannte Bedrohungen, die sich im Netzwerk abspielen können, schneller zu erkennen. Viele Angreifer verhalten sich ganz natürlich und wie zum Netz zugehörig. Eine Kombination aus maschinellem Lernen, Endgeräteerkennung und Antivirenprogrammen macht es möglich, verdeckt agierende Angreifer schnell zu erkennen und wirksam zu bekämpfen.

Denken wie der Gegner

Des Weiteren kann es hilfreich sein, sich mit den Gefahren für das eigene Unternehmen auseinanderzusetzen. So lassen sich mögliche Motive von Angreifern vorhersehen. Die folgenden Fragen können als Orientierung dienen:

  • Welche Ziele könnte ein Angreifer verfolgen?

  • Welche digitalen Assets sind interessant für ihn?

  • Wie könnte er vorgehen und welche Schwachstellen könnte er ausnutzen?

Viele Cyberkriminelle haben es zwar auf Vermögenswerte abgesehen, aber auch die Kontrolle über kritische Systeme verbuchen sie als Gewinn. Sie nehmen sogar Umwege über entferntere Personen, Anwendungen und Datensätze in Kauf, die ihnen dann über mehrere Ecken den Zugang zu anderen kritischen Systemen ermöglichen können. Man muss davon ausgehen, dass hartnäckige Angreifer einzelne Computer regelmäßig gefährden. Die kann etwa überbekannte oder unbekannte Schwachstellen geschehen oder via Social-Engineering-Taktiken.

Deshalb ist eine eingehende Schulung und Sensibilisierung der Fach- und Führungskräfte ein wichtiger Teil der Cybersicherheitsstrategie. Auf der anderen Seite bleibt der Mensch der größte Unsicherheitsfaktor. Es wird immer einige Mitarbeiter geben, die verdächtige E-Mails öffnen, auf zufällige Links klicken und sensible Informationen in fragwürdigen Websites eingeben. Schulungen helfen zwar, aber ganz ausschließen lässt sich das nicht.

Gehen Sie davon aus, dass Sie angegriffen werden

Früher oder später wird es jemand schaffen, ins System einzudringen. Die wichtige Frage ist also weniger, ob ein Cyberangriff verhindert werden kann, sondern vielmehr: Wie lange dauert es, bis ein Angreifer sich Zugang zu einer sensiblen Ressource verschaffen kann?

Sobald er dies nämlich erreicht hat, wird sich ein kleines Sicherheitsereignis zu einem schwerwiegenden Problem ausweiten. Das erfordert in der Konsequenz eine langwierige und komplexe Reaktion auf den Vorfall. Es gilt also, einen Angreifer zu stoppen, bevor er sein Ziel erreicht.

Deshalb ist Geschwindigkeit bei der technischen Absicherung aller Endgeräte und der kontinuierlichen Überwachung des Systems wichtig. In der Formel 1-10-60 wird die Abwehrbereitschaft bzw. das allgemeine Niveau der Sicherheitssysteme messbar. Sie versetzt Führungskräfte, die keine IT-Experten sind, in die Lage, die Leistung ihrer IT-Sicherheitsabteilung zu verstehen und zu bewerten.

Selbst wenn ein Unternehmen diese schnellen Reaktionszeiten zunächst nicht erreichen kann, dient die Regel doch als Benchmark, anhand derer man beispielsweise auf monatlicher oder vierteljährlicher Basis feststellen kann, ob der Trend in die richtige Richtung geht. Die Reaktions- und Breakout-Zeit bieten Maßstäbe, die die Cyber-Abwehrbereitschaft eines Unternehmens messen, um den heutigen komplexen Bedrohungen standzuhalten. (jd)