Kontakt

Cyber-Attacken: Mit Maßnahmen-Mix zu mehr Sicherheit

Daniel Möser
15.04.21 10:00

Die Sicherheitslücke, die am 2. März 2021 aus dem Umfeld von Microsoft Exchange Server bekannt wurde, zeigt einmal mehr, dass keine Software vor Schwachstellen gefeit ist. Microsoft hat innerhalb kurzer Zeit einen Patch zur Verfügung gestellt, doch für viele Systeme war es bereits zu spät: Systeme wurden angegriffen und die Erpressersoftware in den IT-Umgebungen ausgerollt.
Trotzdem sind Gegenmaßnahmen kein Ding der Unmöglichkeit. Im Folgenden gehe ich näher auf die aktuelle Gefährdungslage ein und zeige Strategien auf, die die Sicherheit der IT-Systeme langfristig gewährleisten.

Die Zeiten, in denen Antiviren-Software und eine Firewall ausreichenden Schutz vor Hackern bot, sind vorbei. Hauptziel von Cyber-Attacken sind die eigenen Mitarbeiter*innen, die mit immer besser gefälschten E-Mails getäuscht werden. Zugleich erweisen sich ungepatchte Systeme immer öfter als Einfallstor für Ransomware.

Aber auch neuere Entwicklungen wie Automatisierung und Machine Learning spielen den mittlerweile professionell organisierten Hacker-Gruppen in die Hände. Kurz: überall dort, wo Geld zu holen ist, wird schlussendlich auch Geld gemacht.

Zielgerichtete Angriffe auf Unternehmen

Angriffe treffen vermehrt Firmen, Behörden und Organisationen, da hier mehr Geld lukriert werden kann, als bei Privatpersonen. Die zielgerichteten Köder sind dabei kaum mehr von legitimen Interaktionen zu unterscheiden. Oft fehlt es auch schlichtweg an Zeit, um zu prüfen, ob der E-Mail Header mit einer aus der Vergangenheit aufgegriffenen Konversation gefälscht ist.

Nach der Infektion läuft der Angriff zumeist automatisch im Hintergrund und sobald das Ziel als lohnend ausgemacht wurde, wird manuell weitergebohrt. Diese Phase kann in extremen Fällen auch bis zu mehreren Monaten dauern. Bei solchen Angriffen wird versucht, möglichst viele Daten zu sammeln, den Zugang im Unternehmensnetz zu festigen und damit den Fuß in der Türe zu behalten. Erst nachdem der Unternehmenswert geschätzt und ausgeschlossen wurde, dass anderweitig Geld gemacht werden kann - sowie die sichtbaren Backups unbrauchbar gemacht wurden - kommt die gefürchtete Ransomware zum Einsatz: ein Verschlüsselungstool mit anschließendem Erpressungsversuch.

shutterstock_1673373844-ivantiblog-lupeIT-Security: keine Nadeln im Heuhaufen suchen

Aber kein Grund zur Sorge. Wirksame Maßnahmen in der IT-Sicherheit können Bösewichte zur Weißglut bringen, wenn sie versuchen, in Ihre Systeme einzudringen. Moderne IT-Security geht davon aus, dass jede noch so gut implementierte Sicherheitslösung umgangen werden kann. Deswegen sind möglichst viele Layer und Maßnahmen notwendig. Selbst in den unwahrscheinlichsten Szenarien sollten nie alle Stricke zur gleichen Zeit reißen.

Was bedeutet das in der Praxis und was kann ich tun?

Lassen Sie mich zunächst die klassischen Methoden zum Schutz Ihres Firmennetzwerks anführen:

  • Einsatz einer Antiviren-Software, die mehrmals täglich Definitions-Updates bekommt und über eine gute Reporting-Funktion verfügt
  • Verwendung einer im Ruleset perfekt gewarteten Firewall mit Deep-Packet-Inspection
  • Ausgeprägtes Bewusstsein für Kennwort-Sicherheit und Admin-Accounts. Damit meine ich nicht, dass monatlich die Benutzer-Kennwörter geändert werden. Einer Studie zufolge ist das sogar kontraproduktiv. Der häufige Passwortwechsel, verleitet Mitarbeiter*innen dazu Passwörter aufzuschreiben oder Variationen von bestehenden Kennwörtern zu verwenden.
    Vielmehr sollte man Offboarding-Prozesse entwickeln, mit denen automatisch alle Zugänge für ehemalige Mitarbeiter*innen deaktiviert werden. Standard-Kennwörter in Netzwerkkomponenten oder Serverhardware müssen geändert werden. Regelmäßig sollten Service-Accounts auf ihre Notwendigkeit überprüft werden.
  • Benutzung eines Admin-Accounts nur für administrative Tätigkeiten! Applikationen, die nur mit administrativen Rechten laufen, sollten der Vergangenheit angehören. Der Entzug lokaler Administratorrechte verhindert einen Großteil aller Malware-Infektionen.
  • Schulung der Mitarbeiter*innen in den Grundlagen der IT-Security. Z.B. Sperren des PCs beim Verlassen des Arbeitsplatzes, Erkennen verdächtiger E-Mail-Nachrichten und Links etc.
  • Patchen der Applikationen und Systeme. Nachdem Applikationen und Betriebssysteme frappierende Sicherheitslücken aufweisen können, müssen vom Hersteller bereitgestellte Fixes zeitnah eingespielt werden. Ein Großteil der Angreifenden weiß erst nach der Analyse dieser bereitgestellten Patches, wie sie die Lücken für ihre Zwecke ausnutzen können. Ein automatisiertes Patchmanagement beugt diesem Bedrohungsszenario vor und spart dem IT-Personal auch eine Menge Zeit und monotone Arbeit.
    Ein Tool dazu möchte ich aufgrund seiner einfachen Bedienung und gleichzeitig wegen seines hohen Funktionsumfanges besonders hervorheben: Ivanti Security Controls. Hier können Windows Betriebssysteme, gängige Linux Distributionen, MacOS und viele 3rd Party Programme, wie Adobe Reader, Google Chrome etc., nach eigenem Zeitplan automatisiert auf Letztstand gebracht werden.

Neue Strategien - mehr Möglichkeiten

Der IT-Notfallplan
Tritt ein IT-Notfall in Folge einer Cyberattacke ein, ist schnelles Handeln gefragt. Der IT-Notfallplan beinhaltet Handlungsanweisungen für diese schwierige Situation und kann dabei helfen, Schäden und Ausfallszeiten zu minimieren. Ein regelmäßiges Üben von IT-Notfallplänen, stellt nicht nur sicher, dass jeder weiß was zu tun ist. Dadurch können auch auftretende Fehler und Unklarheiten korrigiert und dokumentiert werden. Somit wird der Notfallplan mit jeder Übung besser!

shutterstock_566448193-ivantiblog-emergencyplanDer Notfallplan ermöglicht schnelles Handeln im Ernstfall

Backups: Backup is king!
Im Ernstfall zählt nur ein aktuelles und sicher ausgelagertes Backup, um Systeme und Daten wiederherstellen zu können. Das Backup sollte daher die letzte, nie versagende Instanz in den Security-Layer darstellen.

Oft vernachlässigt: versteckte Security-Layer
Viele der oben beschriebenen Themen sind allgegenwärtig und verschleiern die Bedeutung von Security-Ebenen, die aber ebenfalls essenziell sind, um Angriffe im Keim zu ersticken.

Application Hardening
Sind Office Makros oder Java Runtime für Ihr Unternehmen relevant? Aus sicherheitstechnischer Sicht sind diese zugelassenen Funktionen und Applikationen, die diese Technologien verwenden, nicht mehr zeitgemäß und sollten evaluiert wird.

Application Whitelisting
Mittels Application Whitelisting beugen Sie der beispielsweise der Ausführung von Trojanern vor. Erreicht wird dies, indem nur noch die von der IT genehmigte Software ausgeführt werden darf.
Hier hat sich seit längerem Ivanti Application Control bewährt. Mittels Trusted Ownership Checking ist es möglich, relativ zeitnah einen guten Schutz vor Malware einzurichten. Hier wird das File Ownership-Prinzip von Windows verwendet, um die Programmausführung von unerwünschter Software zu verhindern. In Verbindung mit klassischen Black- und Whitelists sowie digitalen Signaturen haben Sie ein professionelles Werkzeug im Einsatz, das Ihnen auch die Möglichkeit bietet, tiefgehende Scans von im Unternehmen verwendeter Software zu erstellen und gleich im Ruleset zu verwenden.

Sandbox Prinzip im Netz
Der Citrix Secure Browser, der mit den viel verwendeten Citrix Cloud Services kostenlos mitgeliefert wird, schaltet ein oft benutztes Einfallstor für Schädlinge per Design aus. Stellen Sie sich diesen Browser als Einwegprodukt vor. Wenn Sie im Internet surfen möchten, wird der Browser in einer eigenen Sitzung vom restlichen System abgekapselt geöffnet. Nach dem Schließen wird dieser zurückgesetzt, damit bei einem fatalen Klick die Schadsoftware nicht ins Host-Betriebssystem vordringen kann. Sie können sicher sein, dass bei der nächsten Benutzung Ihr System im gewünschten Zustand vorzufinden ist. Darüber hinaus sind nicht persistente Citrix-Umgebungen grundsätzlich hervorragend gegen die Auswirkungen von schlimmen Malware-Attacken gewappnet.

shutterstock_288363524-ivantiblog-shinyarmourMit dem richtigen Technologiemix einfach gerüstet sein

Fazit: Rüsten Sie sich!

IT-Verantwortliche wissen, dass es nur eine Frage der Zeit ist, bis ihr Unternehmen das Ziel einer Attacke ist. Daher empfehlen wir, sich für solche Ereignisse vorzubereiten. Es gibt nachweislich erfolgreiche Produkte, die Sie in Ihrem Unternehmen einsetzen können, um einer massiven Ransomware-Attacke keinesfalls ausgeliefert zu sein.

Guide Passwörter einfach merken!  jetzt herunterladen

 

Das könnte Sie auch interessieren

Diese Stories auf Modern Workplace

Updates for innovators: Abonnieren Sie unseren Blog.