Abwehr durch Training

Wer den Ablauf von APT-Attacken kennt, kann sich Gegenmassnahmen ausdenken. Dabei gilt dasselbe wie bei jedem Einbruch: Je früher der Angreifer abgeschreckt oder unschädlich gemacht werden kann, desto besser. Um den Kriminellen bereits das Auskundschaften der Situation zu erschweren, muss die Wachsamkeit aller Beteiligten durch gezieltes Training gefördert werden. «Es braucht zwingend  eine Sensibilisierung und Schulung der Mitarbeitenden, und zwar nicht nur einmal, sondern immer wieder», fordert Cyrill Peter, der bei Swisscom als Head of Product Management Security Solutions tätig ist. Grössere Unternehmen, weiss Peter, investierten bereits einiges in solche Schulungen. Bezahlt  mache sich das immer. «Die Mitarbeitenden müssen Social-Engineering-Versuche erkennen können und eine gesunde Portion Skepsis entwickeln», ist Peter überzeugt. Auch Andreas Jaggi von Open Systems spricht dem Security-Awareness-Training das Wort, räumt aber ein, «dass Angriffe wie Spearphishing-Attacken immer ausgeklügelter werden, also auch sehr schwierig zu erkennen sind».

Aber nicht nur die Mitarbeiter müssen umdenken, sondern auch die Security-Teams. Diese sind bislang hauptsächlich damit beschäftigt, auf Events zu reagieren, die ihnen die IT-Security-Systeme melden. Sie reagieren also wie Polizisten, die zu einem Einsatz gerufen werden. Stattdessen bräuchte es aber vermehrt Sicherheitsdetektive, also Fahnder, die gros­se Zusammenhänge entschlüsseln können. Laut Jaggi sind spezialisierte APT-Jäger gefragt, die nicht nur die Aussentüren bewachen, sondern «fortlaufend das Innere eines Gebäudes kontrollieren, um sicherzustellen, dass alle Türen und Fenster ordnungsgemäss verriegelt sind. Treffen sie im Gebäude auf verdächtige Personen, müssen sie diese kontrollieren und befragen.» Dass von den Unternehmen zu wenig gefahndet wird, dürfte allerdings auch an den vielerorts knappen Zeit- und Geldressourcen liegen, die der Gegen­seite übrigens reichlich zur Verfügung stehen.

Ein Stück weit müssen die Sicherheitsverantwortlichen auch die Denkweise von Hackern übernehmen. «Unternehmen müssen sicherstellen, dass sie potenziellen Cyberangriffen zuvorkommen können und sich somit auch bewusst in die Lage eines Hackers hineinversetzen», meint Cyrill Peter von Swisscom. Die Idee: «Man sagt, die Kriminellen seien immer einen Schritt voraus – also versetzen wir uns einfach in ihre Lage und lernen zu denken wie sie.» Natürlich versuchen die Security-Experten, APT-Angreifern auch mit technischen Methoden schon früh den Garaus zu machen. So sollen potenzielle Phishing-Mails automatisch entschärft werden. «Mit unserem Verfahren können wir alle Mails samt Anhängen in Bruchteilen von Sekunden von bösartigen Komponenten säubern», verspricht Gabi Reish von Check Point. «Die übermittelten Dateien werden auf dem Server neu erstellt und als Kopie, die keinerlei Unrat wie Makroviren  aufweisen kann, wieder zugestellt. Der Anwender bekommt  davon nichts mit», sagt Reish.