Während Endpoint-Security-Suiten gut bekannte Schutzlösungen für Unternehmensnetzwerke sind, sind Deception-Konzepte für viele Verantwortliche noch Neuland. Selbst Gartner oder Forrester haben bislang nur kleine Firmenstudien im Angebot, keine den Markt abbildenden Waves oder Quadranten. com! professional erklärt, was hinter dieser neuen Technik steckt.

Jedes Unternehmensnetzwerk wird ständig auf die ein oder andere Art angegriffen. Meist sind es Versuche, sich in Accounts einzuloggen oder auf Ports zuzugreifen. Klappt das nicht, kommen Spam oder verseuchte Links in E-Mails zum Einsatz. All das hat eine gute Client-Server-Schutzlösung eigentlich im Griff. Und für den Fall, dass es einem Angreifer gelingt, ins Netzwerk einzudringen, empfehlen sich zusätzliche Security-Systeme, die Hacker im Netz verfolgen und alle Schritte aufzeichnen, wie EDR (Endpoint Detection and Response) oder SIEM (Security Information and Event Management). Beide Techniken sind definitiv zu empfehlen, haben aber ihre Schwächen. So lässt sich via EDR ein Angriff nur auswerten, wenn die Attacke und das Eindringen auch bemerkt wurden. Und das ist oft genug nicht der Fall, wie Ex-Cisco-Chef John Chambers pointiert formuliert: «Es gibt zwei Sorten von Unternehmen - solche, die wissen, dass sie gehackt wurden, und solche, die das nicht wissen.» Ein SIEM-System wiederum bewertet Nutzer nach ihrem Verhalten, um auffällige Angreifer zu enttarnen, braucht also zunächst eine gewisse Lernzeit.

Deception geht einen anderen Weg: Das Wiener Deception-Unternehmen Cybertrap zum Beispiel baut in ein Firmennetzwerk Köder und Fallen in Form von Diensten, Software und Servern inklusive perfekt gefakter Daten ein. Man stelle sich vor: Ein Hacker dringt unbemerkt in dieses Netzwerk ein, etwa mit gestohlenen Zugangsdaten. In diesem Moment hilft die vorhandene Endpoint-Security-Lösung nicht weiter, da aus deren Perspektive noch kein Sicherheitsverstoss vorliegt. Auch ein EDR oder ein SIEM sind an dieser Stelle noch ahnungslos. Der Hacker versucht sich nun vertikal durch das Netz zu bewegen. Er schaut sich vorsichtig um und ist darauf bedacht, nicht aufzufallen. Sein Ziel: Er will höherwertige Accounts finden, etwa solche mit Admin-Rechten, oder Daten, die ihn interessieren.

Genau hier kommt die Deception-Lösung ins Spiel, während EDR und SIEM immer noch nichts aufzeichnen. Jeder Angreifer muss nämlich selbst für einen kleinen Rundumblick im Netzwerk bestimmte Software-Tools benutzen. Deren Einsatz könnte man zwar unterbinden, aber dann wäre ein Angreifer auch gewarnt. Im Beispiel sorgt Cybertrap dafür, dass der Hacker seine Tools nutzen kann; etwa einen Spürhund, der Active Directorys (AD) aufzeigt. Seine Suche führt den Hacker auf ein vorbereitetes AD - die erste Falle ist damit zugeschnappt. Denn alle weiteren attraktiven Wege, die dem Hacker nun scheinbar offenstehen und vermeintlich zu interessanten Servern und Diensten führen, sind von Cybertrap vorgetäuscht.

Hacker suchen an diesem Punkt des Angriffs zum Beispiel gerne nach Zugriffen auf Server via RDP (Remote Desktop Protocol). Diese Zugriffe sind im echten Netzwerk gesperrt, im gefälschten Netzwerk klappt aber auch das: Die Verbindungen lenken den Angreifer immer weiter in ein Scheinnetzwerk hinein. Dort findet der Hacker alles, was er gesucht hat: Dienste mit Admin-Rechten, Datei-Server, Verzeichnisse und Datensätze. Aus den Aktivitäten des Hackers lässt sich jetzt meist ableiten, worauf er es wirklich abgesehen hat.  Er greift sich die Daten, derentwegen er gekommen ist. Oft legt er etwa gezielt verseuchte Software mit Trojanern ab, installiert Türen auf externe Server oder versteckt Exploits für Schwachstellen. Die Cybertrap-Lösung protokolliert jede noch so kleine Aktion.

Das Fazit des geschilderten Angriffs lautet: Der Weg des Angreifers wurde aufgezeichnet und kann gesperrt werden. Auch durch den Hacker ausgenutzte Schwachstellen sind nun bekannt und können gefixt werden. Und aus den Suchanfragen des Hackers können Unternehmen ableiten, was er eigentlich an Daten oder Informationen stehlen wollte. Mit diesem Wissen kann eine Firma weitere Wirtschaftsspionage besser abwehren, da sie die besonders bedrohten Projekte nun ja kennt.

Möchte ein Unternehmen eine Deception-Lösung einsetzen, so braucht die vorhandene Netzwerkstruktur nicht verändert zu werden. Bei der Lösung von Cybertrap spielt es zum Beispiel auch keine Rolle, ob der Täuschungs-Server (Decoy) physisch im Netzwerk vorhanden ist. Ein komplettes Decoy-Netzwerk kann auch nur virtuell und extern existieren. Lediglich die Köder und Software-Agenten müssen auf den Endgeräten im Netzwerk tatsächlich «ausgelegt» sein.

Der Einsatz einer Deception-Lösung ist dennoch nicht ganz so trivial wie etwa das Ausrollen
einer Endpoint-Security-Lösung. Der Deception-Anbieter muss das Unternehmensnetzwerk analysieren und dann seine Fallen (die Decoys) und seine Köder (die Lures) integrieren. Das sind in der Regel nicht einmal sehr viele, sie müssen nur richtig platziert sein. Auch die Endpunkte erhalten einen kleinen Agenten, für den Fall, dass ein Hacker dort eindringt.

Der Mitarbeiter am PC bekommt von den Software-Agenten oder einem ausgelegten Köder nichts mit. Nur der eingeweihte Netzwerk-Administrator kann die Software erkennen. Im Fall von Cybertrap hat das Unternehmen die Wahl, ob es die Lösung nach der Einrichtung selbst betreuen und verwalten will oder ob Cybertrap das Management über­nehmen soll.

Für die Verwaltung der Deception-Lösung steht eine webbasierte Konsole zur Verfügung, wie sie Administratoren von den meisten Security-Lösungen her kennen. Auch Struktur und Funktionsweise sind ähnlich. Sobald ein Köder oder die Fallen etwas registrieren, gibt das System Alarm und startet die Aufzeichnung.

Hier zeigt sich ein weiterer Nachteil von EDR und SIEM: Sie müssen ständig sehr viele Daten aufzeichnen und auch über einen längeren Zeitraum speichern. Je nach Umfang kostet der Lagerplatz für die Daten viel Geld und auch die Auswertung der grossen Datenmengen dauert lange. 

Deception-Lösungen dagegen zeichnen nur auf, was der Angreifer macht. Die Datenmenge ist in der Regel sehr überschaubar. Jeder Schritt eines Angreifers lässt sich einfach per Mausklick nachvollziehen. Abgelegte Dateien, Scripts oder Datenpakete kann man via Konsole direkt im Online-Virenscanner VirusTotal analysieren lassen und damit wertvolle Informationen für seine Endpoint-Security-Lösung generieren. Handelt es sich um eine noch unbekannte Malware oder eine verdächtige Datei, lassen sich via Konsole auch Hash-Werte erstellen und in einer Datenbank ablegen. Administratoren können der Attacke entspannt zusehen, da der Angreifer, einmal auf dem Täuschungs-Server gelandet, nicht mehr ins echte Netzwerk zurückkann.

Eine besonderer Vorteil von Deception-Lösungen ist, dass ein Unternehmen Zeit hat, zu überlegen, wie es auf den Angriff reagieren will. Normalerweise muss nach einer bemerkten Attacke unmittelbar gehandelt werden. Geschieht das dann, bleiben trotzdem viele Fragen offen - etwa was der Angreifer wollte und welche Professionalität er hatte. Ist der Angreifer in die Deception-Falle gegangen, dann stellt sich die Frage der Strategie gar nicht, man hat sie bereits. So sieht das auch Tom Haak, CEO von Cybertrap: «Bei erfolgreich angegriffenen Netzen liegt die mittlere unerkannte Verweildauer von Hackern bei 150 Tagen. Wurde der Angreifer durch Cybertrap erkannt und tobt sich in einem Decoy aus, so können wir während der ganzen Zeit, in der er agiert, vieles aus seinen Aktionen ableiten und auch lernen.»

Das Deception-System funktioniert nicht nur mit Unternehmensnetzwerken. Auch der Schutz kleinerer Netze mit einer Webserver-Anbindung ist machbar. Denn allzu oft sind Zugänge auf der Firmen-Webseite, etwa für Bewerber, direkt an das eigene Netzwerk angebunden. Hacker wissen das und suchen daher auch gezielt nach diesen Zugängen. Auch hier lässt sich ein Täusch-Server (Decoy) aufstellen, der mit Ködern Angreifer auf einen vorgetäuschten Webserver lockt.

Unternehmen, die bereits auf ein SIEM setzen, können dessen Wirkungsweise durch ein Deception-System verbessern. Denn ein SIEM versucht in seiner anfänglichen Lernzeit das Verhalten der registrierten Netzwerknutzer zu analysieren. So fällt zum Beispiel je nach Account auf, wenn ein Mitarbeiter aus der Fertigung plötzlich ständig versucht, auf die Server der Buchhaltung zuzugreifen. Das SIEM vergibt dann für alle Anomalien des Anwenders Risikopunkte. Ab einem gewissen Punktestand wird Alarm ausgelöst und der Zugang isoliert. Mit den durch ein Deception-System aufgezeichneten Werten und dem Verhalten eines Accounts lässt sich die Echtzeitanalyse eines SIEM feiner justieren. Das verbesserte Zusammenspiel senkt die Fehlalarme und die Menge der aufgezeichneten und zu analysierenden Daten. Auf Dauer reduziert das die Kosten für die Datenaufbewahrung spürbar.

Der Digitalverband Bitkom hat Mitte 2019 1070 Unternehmen ab zehn Mitarbeitern gefragt, ob sie in den vergangenen zwei Jahren von Datendiebstahl, Industrie­spionage oder Sabotage betroffen waren. Ergebnis: Drei Viertel der Unternehmen (75 Prozent) waren von Angriffen betroffen gewesen, weitere 13 Prozent vermuteten dies. 2016/2017 waren es nur 53 Prozent beziehungsweise 26 Prozent gewesen. 

Der deutschen Wirtschaft entsteht laut Bitkom aufgrund dieser Attacken derzeit jährlich ein Schaden in Höhe von mehr als 100 Milliarden Euro.

Um angesichts immer zahlreicherer und immer raffinierterer Attacken Schäden zu vermeiden oder wenigstens zu minimieren, braucht es neue Herangehensweisen. Übliche IT-Security-Massnahmen leisten zwar gute Arbeit, aber sie benötigen Vorabinformationen, um optimal zu funktionieren. Gut ausgebildete oder interne Angreifer kennen ihr Angriffsziel und wissen, wie sie sich unentdeckt in der Unternehmens­infrastruktur bewegen.

Im Citrix-Netzwerk hielten sich Angreifer von Oktober 2018 bis März 2019 auf und wären weiter nicht bemerkt worden, wäre nicht das FBI auf Citrix zugegangen. Ein Deception-System mit internen Fallen hätte Citrix mit Sicherheit geholfen.