Wie man Hacker austrickst

IT-Sicherheit wird komplexer und bietet nie einen hundertprozentigen Schutz. Was können Unternehmen dagegen tun? Darüber haben Experten von NTT Security mit den Besuchern der jüngsten Breakfast-Session von Computerworld und Partner NTT Security im Zürcher Hotel Four Points diskutiert.

Den Auftakt machte Miro Ljubicic, Team Leader Cyber Defense Switzerland & Practice Leader Cyber Defense EMEA. Der Sicherheitsspezialist präsentiert zunächst das Sicherheitskonzept des Anbieters. NTT Security arbeitet mit dem NTT Security Cyber Resilience Framework. Das Konzept ist an jenes der Normenorganisation NIST angelehnt, allerdings ergänzt durch zusätzliche Funktionen. Das Ziel von NTT ist es, durch die Arbeit nach dem hauseigenen Framework möglichst viele Daten im Netz zu sammeln, auf Gefahren zu untersuchen und so wenige Fehlalarme wie möglich auszusenden.

Ljubicic zufolge steigen zwar die Budgets für IT-Sicherheit. Diese werde aber komplexer. Und nicht nur das: Die Wirkung traditioneller Perimetersicherheit verpuffe zusehends. Ausserdem reiche eine einzige Lücke, um sich als Hacker einzunisten. «Der traditionelle Perimeter ist tot», folgerte Ljubicic und empfahl Firewall und Co. als Services zu beziehen.

Die internen Schutzmassnahmen beschränkten sich oft auf Antivirenlösungen und ähnliches, führte er weiter aus. Eine zusätzliche Herausforderung sei das Problem der Entdeckung. Es könne Monate dauern, bis eine Lücke in der Verteidigung festgestellt wird. Monate in denen Daten entwendet oder Malware installiert werden kann.

Statt stetig aufzurüsten schlug der Security-Experte einen alternativen Weg vor: Deception. IT-Sicherheit nach dem Motto «tarnen, tricksen, täuschen». Dringt ein Angreifer in ein Netzwerk ein, sieht dieses für ihn anders aus, als für das angegriffene IT-Team. Das Tarnnetzwerk präsentiert dem Angreifer viele interessante Server. Ljubicic zog einen Vergleich zum Bild des Schachbretts bei dem ein Reiskorn auf ein Feld gelegt und die Menge auf jedem weiteren Feld verdoppelt wird.

Auf den Server-Raum übertragen bedeutet dies, virtuelle Server als Köder aufzusetzen, je mehr desto besser. Jeder Köder führt zu einem präparierten Container. Dieser kann etwa einen SAP-Log-in simulieren. Das Roll-out der Köder dauere lediglich Minuten und lasse sich zentral verwalten.

Ein weiteres Plus dieser Strategie sei es, dass die präparierten Server Alarmierungen auslösen und das IT-Team warnen. Die Alarmierungen seien zu 99 Prozent echte Fälle, betonte Ljubicic. 

Am Ende werde der Gegner überfordert von der schieren Menge an möglichen Einstiegspunkten in das Firmennetzwerk und auf diese Weise vor einen hohen Aufwand gestellt, um an Daten heranzukommen. Im besten Fall gibt der Hacker dann auf und probiert sich an einem anderen Ziel.

Ausserdem hinterlässt der Angreifer Spuren, die IT-Forensiker nachverfolgen können. Für das IT-Team bedeute dieses Vorgehen auch einen Zeitgewinn für die Incident Response (Vorfallreaktion), hob Ljubicic hervor.