Wenn Hacker bleiben dürfen

Eine besonderer Vorteil von Deception-Lösungen ist, dass ein Unternehmen Zeit hat, zu überlegen, wie es auf den Angriff reagieren will. Normalerweise muss nach einer bemerkten Attacke unmittelbar gehandelt werden. Geschieht das dann, bleiben trotzdem viele Fragen offen - etwa was der Angreifer wollte und welche Professionalität er hatte. Ist der Angreifer in die Deception-Falle gegangen, dann stellt sich die Frage der Strategie gar nicht, man hat sie bereits. So sieht das auch Tom Haak, CEO von Cybertrap: «Bei erfolgreich angegriffenen Netzen liegt die mittlere unerkannte Verweildauer von Hackern bei 150 Tagen. Wurde der Angreifer durch Cybertrap erkannt und tobt sich in einem Decoy aus, so können wir während der ganzen Zeit, in der er agiert, vieles aus seinen Aktionen ableiten und auch lernen.»

Das Deception-System funktioniert nicht nur mit Unternehmensnetzwerken. Auch der Schutz kleinerer Netze mit einer Webserver-Anbindung ist machbar. Denn allzu oft sind Zugänge auf der Firmen-Webseite, etwa für Bewerber, direkt an das eigene Netzwerk angebunden. Hacker wissen das und suchen daher auch gezielt nach diesen Zugängen. Auch hier lässt sich ein Täusch-Server (Decoy) aufstellen, der mit Ködern Angreifer auf einen vorgetäuschten Webserver lockt.

Unternehmen, die bereits auf ein SIEM setzen, können dessen Wirkungsweise durch ein Deception-System verbessern. Denn ein SIEM versucht in seiner anfänglichen Lernzeit das Verhalten der registrierten Netzwerknutzer zu analysieren. So fällt zum Beispiel je nach Account auf, wenn ein Mitarbeiter aus der Fertigung plötzlich ständig versucht, auf die Server der Buchhaltung zuzugreifen. Das SIEM vergibt dann für alle Anomalien des Anwenders Risikopunkte. Ab einem gewissen Punktestand wird Alarm ausgelöst und der Zugang isoliert. Mit den durch ein Deception-System aufgezeichneten Werten und dem Verhalten eines Accounts lässt sich die Echtzeitanalyse eines SIEM feiner justieren. Das verbesserte Zusammenspiel senkt die Fehlalarme und die Menge der aufgezeichneten und zu analysierenden Daten. Auf Dauer reduziert das die Kosten für die Datenaufbewahrung spürbar.

Der Digitalverband Bitkom hat Mitte 2019 1070 Unternehmen ab zehn Mitarbeitern gefragt, ob sie in den vergangenen zwei Jahren von Datendiebstahl, Industrie­spionage oder Sabotage betroffen waren. Ergebnis: Drei Viertel der Unternehmen (75 Prozent) waren von Angriffen betroffen gewesen, weitere 13 Prozent vermuteten dies. 2016/2017 waren es nur 53 Prozent beziehungsweise 26 Prozent gewesen. 

Der deutschen Wirtschaft entsteht laut Bitkom aufgrund dieser Attacken derzeit jährlich ein Schaden in Höhe von mehr als 100 Milliarden Euro.

Um angesichts immer zahlreicherer und immer raffinierterer Attacken Schäden zu vermeiden oder wenigstens zu minimieren, braucht es neue Herangehensweisen. Übliche IT-Security-Massnahmen leisten zwar gute Arbeit, aber sie benötigen Vorabinformationen, um optimal zu funktionieren. Gut ausgebildete oder interne Angreifer kennen ihr Angriffsziel und wissen, wie sie sich unentdeckt in der Unternehmens­infrastruktur bewegen.

Im Citrix-Netzwerk hielten sich Angreifer von Oktober 2018 bis März 2019 auf und wären weiter nicht bemerkt worden, wäre nicht das FBI auf Citrix zugegangen. Ein Deception-System mit internen Fallen hätte Citrix mit Sicherheit geholfen.