IT-Sicherheit wird komplexer und bietet nie einen hundertprozentigen Schutz. Was können Unternehmen dagegen tun? Darüber haben Experten von NTT Security mit den Besuchern der jüngsten Breakfast-Session von Computerworld und Partner NTT Security im Zürcher Hotel Four Points diskutiert.

Den Auftakt machte Miro Ljubicic, Team Leader Cyber Defense Switzerland & Practice Leader Cyber Defense EMEA. Der Sicherheitsspezialist präsentiert zunächst das Sicherheitskonzept des Anbieters. NTT Security arbeitet mit dem NTT Security Cyber Resilience Framework. Das Konzept ist an jenes der Normenorganisation NIST angelehnt, allerdings ergänzt durch zusätzliche Funktionen. Das Ziel von NTT ist es, durch die Arbeit nach dem hauseigenen Framework möglichst viele Daten im Netz zu sammeln, auf Gefahren zu untersuchen und so wenige Fehlalarme wie möglich auszusenden.

Ljubicic zufolge steigen zwar die Budgets für IT-Sicherheit. Diese werde aber komplexer. Und nicht nur das: Die Wirkung traditioneller Perimetersicherheit verpuffe zusehends. Ausserdem reiche eine einzige Lücke, um sich als Hacker einzunisten. «Der traditionelle Perimeter ist tot», folgerte Ljubicic und empfahl Firewall und Co. als Services zu beziehen.

Die internen Schutzmassnahmen beschränkten sich oft auf Antivirenlösungen und ähnliches, führte er weiter aus. Eine zusätzliche Herausforderung sei das Problem der Entdeckung. Es könne Monate dauern, bis eine Lücke in der Verteidigung festgestellt wird. Monate in denen Daten entwendet oder Malware installiert werden kann.

Statt stetig aufzurüsten schlug der Security-Experte einen alternativen Weg vor: Deception. IT-Sicherheit nach dem Motto «tarnen, tricksen, täuschen». Dringt ein Angreifer in ein Netzwerk ein, sieht dieses für ihn anders aus, als für das angegriffene IT-Team. Das Tarnnetzwerk präsentiert dem Angreifer viele interessante Server. Ljubicic zog einen Vergleich zum Bild des Schachbretts bei dem ein Reiskorn auf ein Feld gelegt und die Menge auf jedem weiteren Feld verdoppelt wird.

Auf den Server-Raum übertragen bedeutet dies, virtuelle Server als Köder aufzusetzen, je mehr desto besser. Jeder Köder führt zu einem präparierten Container. Dieser kann etwa einen SAP-Log-in simulieren. Das Roll-out der Köder dauere lediglich Minuten und lasse sich zentral verwalten.

Ein weiteres Plus dieser Strategie sei es, dass die präparierten Server Alarmierungen auslösen und das IT-Team warnen. Die Alarmierungen seien zu 99 Prozent echte Fälle, betonte Ljubicic. 

Am Ende werde der Gegner überfordert von der schieren Menge an möglichen Einstiegspunkten in das Firmennetzwerk und auf diese Weise vor einen hohen Aufwand gestellt, um an Daten heranzukommen. Im besten Fall gibt der Hacker dann auf und probiert sich an einem anderen Ziel.

Ausserdem hinterlässt der Angreifer Spuren, die IT-Forensiker nachverfolgen können. Für das IT-Team bedeute dieses Vorgehen auch einen Zeitgewinn für die Incident Response (Vorfallreaktion), hob Ljubicic hervor.

Was Incident Response in der Praxis bedeutet oder auch nicht, zeigte Ljubicics Kollegin Sina Herbert auf, Senior Cyber Security Consultant, bei NTT Security. Herbert bescheinigte Unternehmen ein hohes Sicherheitsbewusstsein. Während Firmen sich früher eine Firewall ins Netzwerk gestellt und sich in Sicherheit gewähnt hätten, überlegten sich IT-Verantwortliche heute, was trotz aller Sicherheitsmassnahmen noch alles passieren könnte. 

NTT bietet ,wie einige andere Anbieter auch, einen Threat-Detection-Service an. Dafür analysieren die Spezialisten des Unternehmens selbst Gefahren im Web und kooperieren zusätzlich mit weiteren Sicherheitsorganisationen. So ist NTT Security beispielsweise Mitglied der internationalen Cyber Threat Alliance, ein Verbund verschiedener Netzwerktechnik- und Sicherheitsanbieter.

Im ersten von Herbert präsentierten Fallbeispiel entdeckten die Spezialisten bei NTT Security, dass ein Angreifer in das Netzwerk eines Kunden eingedrungen war.

Durch eine Analyse wurde klar, dass eine Malware eine Zero-Day-Lücke ausnutzte und einige Tage vor ihrer Enttarnung via E-Mail in das Netzwerk eingedrungen war und dieses auskundschaftete. Allerdings konnte die Malware, zum Glück für das betroffene Unternehmen, daran gehindert werden, die gesammelten Informationen an den Angreifer zu senden.

Für einige Lacher sorgte der zweite Fall. In dem Beispiel zeigte ein britisches Unternehmen, was man bei der IT-Sicherheit alles falsch machen kann, obwohl man es eigentlich richtig machen will.

Bei einer Cyber-Sicherheitsuntersuchung wurden Server-Informationen eines NTT-Kunden entdeckt. Gefunden wurden neben der IP-Adresse und Funktion des Servers auch User Credentials, die dem Kunden eindeutig zugeordnet werden konnten. Nachdem die IT-Abteilung der Firma informiert wurde, zog man dort den Stecker des Servers. Leider gingen durch die Sofortmassnahme auch wertvolle Daten für die forensische Untersuchung verloren. Ausserdem zog viel Zeit ins Land.

Vier Monate nach dem Hinweis durch NTT Security kam das Unternehmen auf die Spezialisten zu mit dem Wunsch nach einer forensischen Untersuchung. Die verstrichene Zeit hatte verschiedene Gründe: Der Vorfall fand in Europa statt, der Hauptsitz der Firma liegt aber in den USA.

Da es keine Entscheidungsträger gab, fühlte sich auch lange niemand zuständig. Ausserdem fehlten standardisierte Prozesse für den Umgang mit Sicherheitsvorfällen.

Als Herbert beim Kunden eintraf, erwartete sie einen Server in einem Rechenzentrum. Stattdessen begrüsste sie ein Server in einem Büro unter einem Schreibtisch. Der ursprünglich Verantwortliche für den Server hatte das Unternehmen zwei Jahr zuvor verlassen.

Herbert nannte abschliessend Handlungsempfehlungen für eine proaktive Vorfallreaktion:

• Guidelines und Security Playbooks erstellen
• Alle beteiligten Gruppen einbeziehen, etwa Rechts-, HR, und Kommunikationsabteilung
• Feuerwehrübungen durchführen: Sicherheitsvorfälle durchspielen und trainieren, die Ergebnisse auswerten und Lehren daraus ziehen.

Im Anschluss an die Referate hatten die Gäste noch zahlreiche Fragen, wodurch sich eine ausführliche Diskussion entspann. Dabei wurden mehrere Dinge klar: Sicherheitsvorfälle müssen trainiert werden. Nur einen Feuerlöscher zu besitzen hilft nicht, man muss ihn auch bedienen können, wie Herberts Kollege Ljubicic verdeutlichte.

Eine weitere Erkenntnis war, dass staatliche Organisationen Unternehmen in Fällen von Cyber-Kriminalität stärker unterstützen sollten. In Ländern mit starken Geheimdiensten sei dies eher der Fall, als in Staaten mit schwächeren Institutionen deutete Ljubicic an.

Eine Kooperation aller europäischer Staaten könne etwa helfen, sich gegenüber grossen Nationen, die teilweise sogar staatliche Hacker beschäftigen, stärker aufzustellen. Vielleicht könnte eine intensivere europäische Zusammenarbeit auch auf juristischer Ebene helfen. Denn Unternehmen können zwar bei IT-Sicherheitsvorfällen Anzeige erstatten und sollten dies auch tun, doch was dann? Hacker sind international unterwegs und oft schwer greifbar.

Am Ende ist Ljubicics Ansatz der Deception vielleicht doch am besten: Tarnen, tricksen und täuschen, um Cyber-Kriminelle zu vergrätzen.