Gründe, warum Unternehmen Zwischenfälle so schwer entdecken

figure-of-speech-1997103_640

Digitale Zwischenfälle lassen sich nicht immer zuverlässig erkennen. Der aktuelle Incident-Report-Bericht von F-Secure zeigt auf, wie kriminelle Firmen und andere Organisationen Unternehmen attackieren. Zudem Hintergründe, warum eine Zuordnung von Zwischenfällen so schwer ist sowie einige Tipps, wie sich Attacken eher entdecken lassen.

80 Prozent aller Untersuchungen beginnen erst, wenn ein Angreifer bereits die Sicherheitsmaßnahmen einer Firma umgehen konnte.  Die häufigste Schwachstelle, die dabei ausgenutzt wird, sind Lücken in Softwareangeboten, die vom Internet aus zugänglich sind. In 21 Prozent der von F-Secure untersuchten Fälle konnten Angreifer solche Schwachstellen nutzen, um in die Firmeninfrastruktur einzudringen. In 34 Prozent aller Fälle war allerdings keine Lücke notwendig, hier erfolgte der Angriff über Phishing und bösartige Anhänge in E-Mails. Laut Tom Van de Wiele, Principal Security Consultant bei F-Secure, sind diese Arten von Angriffe für Unternehmen viel schwerer in den Griff zu bekommen. „Wer die Schwachstelle einer Software quasi im Vorbeigehen ausnutzt, der setzt eher auf Glück als auf präzise ausgewählte Ziele. Der digitale Einbruch über die E-Mail ist dagegen gut vorbereitet. Es gibt viele verschiedene Wege, wie Angreifer E-Mails nutzen können. Diese Attacken sind auch deswegen so populär, weil sich jede Firma auf E-Mails zur Kommunikation verlässt“, sagt Van de Wiele. „Die Nutzer müssen nachdenken bevor sie auf Links oder Anhänge klicken. Doch der Stress in vielen Jobs überschreibt diese Logik. Angreifer wissen das und nutzen es gezielt aus.“

Weitere signifikante Erkenntnisse des Reports:

  • Unternehmen sind sowohl von opportunistischen wie auch gezielten Attacken betroffen, beide Arten halten sich in etwa die Waage.
  • Bösartige Insider sind an einem Fünftel aller Zwischenfälle beteiligt.
  • In mehr als 80 Prozent der Fälle wurden die Verantwortlichen für Zwischenfälle kontaktiert, nachdem eine Infektion erfolgte.
  • Nach einem Ausbruch verbreiten die meisten Angreifer Malware. Ziele dieser Malware können sowohl finanzieller Natur sein, wie auch das Thema Spionage oder die Sicherung des Zugangs zum Unternehmensnetzwerk für die Kriminellen.
  • 13 Prozent aller Untersuchungen erweisen sich als falscher Alarm.

 

Gründe, warum so eine Zuordnung digitaler Zwischenfälle so schwer ist

Es ist ein bekanntes Problem, dass sich echte Attacken nur schwer aus dem Hintergrundrauschen der alltäglichen IT herausfiltern lassen. Erka Koivunen, Chief Security Officer bei F-Secure, beschrieb in einem Blogpost, dass Studien ganz unterschiedliche Ergebnisse auf die Frage „Wie schnell werden digitale Einbrecher erkannt“ liefern. Mehrere bekannte Einbrüche waren über Jahren unentdeckt. In vielen Fällen ist es so, dass Firmen nur durch Externe erfahren, dass sie kompromittiert wurden.

Die Preisfrage lautet also: Was können Firmen tun, um Einbrüchen schneller auf die Spur zu kommen? Das Entdecken von Zwischenfällen braucht speziell geschultes Personal, gute Werkzeuge und solide Prozesse. Das kann die Ressourcen einer internen IT-Abteilung deutlich unter Druck setzen. Sieht man diese Kosten, ist es verständlich, warum viele Firmen bei der Umsetzung zögern.

Allerdings ist Aussitzen auch keine Lösung. Die sich ständig wandelnde Bedrohungslandschaft sowie neue gesetzliche Vorgaben wie die DSGVO bestrafen Firmen, die bei IT-Sicherheit sparen und potenziellen Einbrüchen nicht auf die Spur kommen. Unternehmen können es sich nicht leisten, nicht auf potenzielle Zwischenfälle zu reagieren.

Das Thema ist komplex, dennoch gibt es grundlegende Probleme und Tipps, wie sich diese angehen lassen:

 

Beweise sind in den Daten

Das Aufspüren digitaler Einbrecher ist kein Ratespiel. Sie benötigen Beweise, die auf Probleme hinweisen. Und Unternehmen sollten  weder auf Berichte in der Zeitung noch auf einen Erpresserbrief der Kriminellen warten.

Log-Dateien sind wertvolle Grundlagen und werden bei Untersuchungen oft und ausführlich verwendet. Entsprechend sollten Sie einen systematischen Ansatz fahren, der die Log-Daten aus unterschiedlichen Quellen bereinigt und zusammenführt – und das über die gesamte Organisationsstruktur. Welche zusätzlichen Beweise es zu sammeln gilt, hängt von den spezifischen Gegebenheiten des Unternehmens,  der Infrastruktur, dem Bedrohungsmodell und anderen Faktoren ab.

Allerdings gilt es auch zu vermeiden, zu viele Daten anzuhäufen. Wer ständig alle Informationen speichert, den überwältigen bald enorme Datenberge.

 

Datenfilterung ist aufwändig aber notwendig

Was also soll mit den ganzen Informationen geschehen? Sie müssen gefiltert werden, bevor sie ein relevantes Bild liefern können.

Wenn genügend Daten gesammelt sind, um das komplette Unternehmensnetzwerk abzubilden, dann landet man schnell bei mehreren Millionen von einzelnen Ereignissen. Das“ F-Secure Rapid Detection Center“ beispielsweise, verantwortlich für den Rapid-Detection-Service (RDS), hat bei einem Kunden nach einem Monat mehr als zwei Millionen Einträge gesammelt, über 1300 Netzwerksensoren hinweg.

Nachdem die offensichtlich unnötigen Einträge entfernt wurden, blieben immer noch 900 000 Ereignisse übrig. Diese wurden in einem umfangreichen Prozess angereichert, korreliert und analysiert, am Ende blieben 25 verdächtige Einträge übrig. Eine manuelle Analyse dieser Daten ergab, dass hinter 15 dieser 25 Ereignissen echte Bedrohungen standen.

Wichtig dabei ist zu erwähnen, dass der RDS von F-Secure eine dedizierte Lösung zum Entdecken und Antworten auf Zwischenfälle ist. Sie wird von F-Secure so konfiguriert, dass es Ereignisse zu potenziellen Bedrohungen sammelt. Unternehmen, die nicht über die notwendigen In-House-Ressourcen verfügen, können von den verfügbaren Daten schnell überwältigt werden. Vor allem, wenn die richtigen Tools oder die notwendige Expertise nicht vorhanden ist.

Wenn so eine Analyse aber effektiv durchgeführt wird, erhält man aus den riesigen Datenmengen eine kleine Menge an wirklich relevanten Zwischenfällen, zu denen man aktiv werden kann.

 

Anomalien sind nur Hinweise

Wonach sollten verantwortliche also Ausschau halten? Grundsätzlich sind alle Ereignisse, die außerhalb der Norm liegen, Grund zur Sorge. Anomalien, die auf einen Angriff hinweisen, können etwa ein Nicht-Admin-Nutzer sein, der auf verschiedene Server zugreifen möchte, eine große Anzahl von Login-Versuchen in kurzer Zeit, Aktivitäten, die zu seltsamen Zeiten ablaufen und mehr. Verantwortliche sollten ihre Log-Dateien gegen Threat-Intelligence-Feeds abgleichen, um Hinweise auf potenzielle Einbrüche zu finden.

In einer perfekten Welt lassen sich viele dieser Ereignisse als harmlos abstempeln. So könnte etwa ein Nutzer noch spät arbeiten, sein Passwort vergessen haben oder Zwischenfälle durch ein Fehler beim letzten Update ausgelöst werden.

In der Realität ist es aber so, dass einige dieser Events echte Zwischenfälle darstellen. Und auch, wenn die Reaktion auf solche Zwischenfälle als separate Aufgaben angesehen werden kann, rät Tom Van de Wiele zu einer einheitlichen Herangehensweise. Denn ein effektives Erkennen von Zwischenfällen und die passende Antwort darauf das gesamte Unternehmen stärken. Wenn eine Krise eintritt, profitieren davon nicht nur IT-Admins, sondern auch CEOs, CISOs und Mitglieder des Aufsichtsrats.

„Jede Reaktion beginnt mit der gleichen Frage: War dies ein Zwischenfall? Die Kosten für diese Antwort sind abhängig davon, wie schnell ein Unternehmen diese Frage beantworten kann, wie schnell und effizient Prozesse und Prozeduren sind, wie qualifiziert die Forensik arbeitet und wie gut das Personal trainiert ist,“ sagt Tom Van der Wiele. „Sobald ein Unternehmen eine Entscheidung basierend auf Fakten treffen kann – statt sich auf Gerüchte und Annahmen verlassen zu müssen – kann die Bedrohung im nächsten Schritt eingedämmt und behoben werden.“

#Netzpalaver #FSecure