Cyberangriff, was nun?

Die Statistiken des Nationalen Zentrums für Cybersicherheit (NCSC) zeigen die Zahlen der gemeldeten Cybervorfälle in der Schweiz: Im Jahr 2022 zeigt der Trend weiter nach oben mit teilweise über 800 Meldungen pro Woche. Die Dunkelziffer nicht gemeldeter Vorfälle dürfte entsprechend hoch ausfallen. Die Angreifer werden immer professioneller, gleichzeitig fehlen im Bereich IT-Sicherheit aber die Fachkräfte.

Die Angreifer bedienen sich unterschiedlichster Angriffsvektoren. Nach wie vor werden jedoch Phishing-E-Mails mit Anhängen oder Webseitenlinks mit maliziösen Inhalten häufig als «Einfallstor» genutzt. Ebenfalls werden bekannte und unbekannte Schwachstellen in Applikationen (Third Party Libraries), APIs, Middleware und der Infrastruktur erfolgreich ausgenutzt. Etwas ausgefeiltere Angriffe nutzen etablierte Verbindungen eines Unternehmens und verschaffen sich Zugriff über einen Dritten, zum Beispiel über stehende VPN-Verbindungen, die fälschlicherweise als vertrauenswürdig erachtet werden. In der jüngsten Geschichte gab es auch grössere Supply-Chain-Angriffe, die das Ausmass einer kompromittierten Software in der Lieferkette eindrücklich veranschaulichten. Von dieser Art Angriff werden wir vermutlich in nächster Zeit noch mehr sehen.

Wie die Angreifer heutzutage vorgehen, lässt sich sehr gut am Modell der Angriffstaktiken und Techniken von MITRE nachvollziehen. Das MITRE ATT&CK Framework hat sich mittlerweile zu einem De-facto-Standard etabliert, um das mögliche Vorgehen der Angreifer systematisch zu beschreiben.

Nicht selten bleiben offene Stellen über Monate unbesetzt und die Löhne steigen gerade für KMU in einen kaum noch finanzierbaren Bereich. Dies kann schleichend zu immer grösseren Lücken im Sicherheitsdispositiv führen, die umgehend von Angreifern ausgenutzt werden können. Zusätzlich fehlen in vielen Unternehmen die Fähigkeiten, im Ernstfall die betroffenen Systeme zu lokalisieren, zu isolieren und die notwendigen Schritte für die Wiederherstellung einzuleiten. Angreifer können sich so über Monate unbemerkt in Unternehmensnetzwerken frei bewegen, Informationen exfiltrieren und zu einem bestimmten Zeitpunkt gezielt zuschlagen – wie im Fall von Ransomware mit Erpressung.

Es ist in der Verantwortung der Geschäftsleitung, den Risikoappetit zu definieren, die minimalen Vorgaben in Form von Weisungen zu kommunizieren sowie Prozesse und Massnahmen zu etablieren. Eine ungenügende Security-Hygiene stellt ein signifikantes Risiko für Security Incidents dar. Zur Basis-Security-Hygiene gehören unter anderem Vulnerability Management, Patch Management, Security Testing, Access Management, Network Security, Endpoint Protection, Security Monitoring & Incident Response sowie Backup und Recovery.

Um angemessene Cyber-Sicherheitsmassnahmen zu ergreifen, können Sicherheitsverantwortliche etablierte Rahmenwerke wie das NIST Cyber Security Framework oder die CIS Critical Security Controls nutzen. Es empfiehlt sich, nicht nur das Design, sondern auch die Effektivität regelmässig beispielsweise mittels externen Audits oder Penetration Tests zu überprüfen.

Werden Angriffe früh erkannt, ist ein grösserer Schaden in der Regel noch abzuwenden. In den letzten Jahren haben sich verschiedene Technologien und Ansätze etabliert. Der klassische Ansatz eines SIEM mit Use Cases auf Basis von Logs hat sich als personalintensiv und nicht in allen Fällen als effektiv herausgestellt oder zumindest nicht als alleinige Detection-Lösung. Eine Kombination von modernen Technologien, die sich Artificial Intelligence zunutze machen, zeigen in der Praxis gute Erkennungsraten, auch wenn sich die Angreifer neuartiger Taktiken bedienen. Geringere False-Positive-Raten führen ebenfalls zu geringeren Betriebsaufwänden. Neben der Technologie sollten auch Security-Analysten mit den entsprechenden Fähigkeiten rund um die Uhr zur Verfügung stehen. Ein hybrider Ansatz mit Einbezug eines externen Dienstleisters, der über spezialisierte Cyber Defense Services verfügt, kann massgeblich dazu beitragen, aus dem Ressourcenengpass keine schwerwiegende Sicherheitslücke entstehen zu lassen.

Die richtige Vorbereitung spart wertvolle Zeit, die während eines aktiven Angriffs nicht vorhanden ist. In einem Incident-Response-Plan und den dazugehörenden Playbooks werden die Verantwortlichkeiten, Abläufe und einzuleitenden Massnahmen vorab festgehalten. Eine Automa­tisierung der Playbooks durch den Einsatz von Security-Orchestration, Automation & Response (SOAR) kann ein gutes Mittel darstellen, das Security-Team von repetitiven Aufgaben zu entlasten. Zu diesem Zeitpunkt wird auch geklärt, welches Team die Behandlung eines Security Incidents übernimmt. Ein eigenes Computer Security Incident Response Team (CSIRT) mit 7×24-Bereitschaft aufzubauen, ist für die meisten Unternehmen nicht wirtschaftlich. Der Zugriff auf externe Spezialisten ist frühzeitig zu planen und wird im Optimalfall in Verträgen inkl. Service Level Agreement (SLA) schriftlich festgehalten.

Die IT-Sicherheit, und im Speziellen die Security Incident Response, sollte keinesfalls dem Zufall überlassen werden, es geht schliesslich um die Aufrechterhaltung des Geschäftsbetriebs. Leider zeigt sich in der Realität, dass auch Unternehmen mit einer gut aufgestellten IT-Security nicht vor einem Angriff gefeit sind. Meistens ergibt es Sinn, externe Unterstützung durch einen erfahrenen Berater oder spezialisierte Services wie zum Beispiel Managed Detection & Response beizuziehen. Schliesslich gehören IT-Security und der nachhaltige Betrieb der IT-Sicherheitslösungen bei den wenigsten Unternehmen zu den Kernkompetenzen. Die stetige Ausrichtung der Sicherheitsmassnahmen auf die verändernde Bedrohungslage ist unabdingbar, möchte man sich nicht eines Tages mit negativen Schlagzeilen in den Medien oder schlimmeren Szenarien auseinandersetzen müssen.