Das große Cybersecurity Wettrüsten
Die IT-Sicherheit ist ein einziger Wettlauf. Schwachstellen müssen von Administrator:innen schneller geschlossen werden, als dass Schadakteure sie ausnutzen können. Nur so kann Schaden von potenziell geschäftsvernichtendem Ausmaß abgewendet werden. Kann man als Verteidiger:in diesen Wettlauf gewinnen?
Aktion und Reaktion
Die kurze Antwort vorweg: Nein. Die Mehrheit der Sicherheitsexpert:innen sieht das Wettrüsten zwischen Hacking-Community und Unternehmen klar als ewige Aufholjagt für letztere. Dies hat direkt mehrere Gründe:
- In fast allen Fällen ist es an den Verteidiger:innen, bekannte Sicherheitslücke umgehend zu schließen. Im besten Fall sind dies keine Zero-Day-Lücken, also keine Lücken, die den Hacker:innen zur gleichen Zeit bekannt werden, wie den Entwickler:innen von möglichen Patches.
- Angreifer:innen können sich Zeitpunkt und Angriffsmethode entspannt aussuchen, während IT-Administrator:innen von Unternehmen abwarten müssen, bis die Hacker:innen den ersten Schritt machen. Hierbei müssen Angreifer:innen auch lediglich ein Mal Glück haben und eine Lücke finden, während Verteidiger:innen jedes Mal erfolgreich Angriffe abwehren müssen, was uns wiederum zum dritten Punkt führt.
- IT-Netzwerke werden jeden Tag komplexer und die Absicherung dieser erfordert somit mehr viel Aufwand. Den Gesamtüberblick zu behalten, gleicht einer Sisyphusarbeit und sämtliche Patches einzuspielen sowie erfolgreiches Monitoring sind ein erheblicher Kraftakt für eine handelsübliche IT-Abteilung.
Die Cyber-Waffenhändler – ein kleiner Exkurs zu Zero-Days
2021 konnten wir den Trend verfolgen, dass Hersteller immer öfter mit Zero-Day Exploits zu kämpfen hatten. In diesem Fall wussten Schadakteure entweder vor den Vendoren von einer existenten Sicherheitslücke oder erfuhren gleichzeitig mit den Vendoren über die Existenz der Lücke. Einen Teil zu dieser Entwicklung tragen sogenannte „Exploit Broker“ bei. Dies sind Händler, die von Sicherheitsforschenden entdeckte Exploits ankaufen und dann an den Meistbietenden (Nachrichtendienste, Kriminelle, Vendoren, etc.) weiterveräußern. Diese, teilweise im Schatten des Darknets agierenden, Händler konnten sich in letzter Zeit über einen Geschäftszuwachs freuen, welcher mit den Bug Bounty Policies der großen Vendoren zu tun hat. Zwar bieten Software-Entwickler, wie Microsoft, Apple oder Google, Sicherheitsforschenden eine Belohnung für die Meldung von Exploits (sog. „Bug Bounties“) an, allerdings sind die Meldeketten komplex und bürokratisch, was zu wenigen, und laut den Forschenden, auch zu niedrigen Auszahlungen der Bug Bounties führt. Um ihre Arbeit weiterführen zu können, wenden sich deshalb immer mehr White und Grey Hat Hacker an Exploit Broker, welche teilweise sechsstellige Summen für Exploits anbieten.
Preparing for Impact
Wenn man also den Schadakteuren keinen Schritt voraus sein kann, so muss man die Reaktion auf Attacken und Breaches so optimieren, dass die Hackergruppierungen kein leichtes Spiel haben und bestenfalls jeder Hackingversuch abgewehrt werden kann
Die wertvollsten Waffen in diesem Kampf sind Prävention durch technische und organisatorische Maßnahmen sowie Personalschulungen zur Schaffung von einem Bewusstsein über die Gefahren von Hacking-Attacken. Bei letzterem sind bewährte Mittel der Wahl neben Trainingsvideos und Workshops auch Phishing-Übungen und Live-Demonstrationen von Hacking Tools.
Bei den technischen Maßnahmen sollten, besonders mit Blick auf die weiterhin grassierende Ransomware-Epidemie, Backups auf keinen Fall vernachlässigt werden. Diese sollten onsite und offsite gelagert sein, durch Firewalls vom System getrennt. Dies kann im Fall einer Verschlüsselung die Rettung des Betriebes bedeuten. Weiterhin sind der Betrieb von Endpoint Detection and Response Tools (EDR) ein wichtiger Baustein einer wirksamen Cyber-Verteidigung. Die Nutzung von Multifaktor-Authentifizierung (MFA) erschwert es Angreifer:innen zudem, sich mit Passwort Stealing in Systeme hacken zu können. Zu guter Letzt sollte eine Cyberversicherung auf der Liste der Essentials nicht fehlen. Im Fall der Fälle kann diese für Wiederherstellungskosten aufkommen, was den Impact einer Attacke dämpfen kann.
All diese Maßnahmen sollten regelmäßig Audits und/oder Self-Assessments unterzogen werden. Nur so kann eine Absicherung auch bestätigt werden (was Administrator:innen ruhigen Schlaf beschert). COMPLION führt diese bei Kunden im Rahmen des VOICE Cyber Security Competence Centers mehrfach im Jahr durch. Für weitere Informationen dazu, klicken Sie hier.
Verfasser: Tobias Philipsen