echt. sicher.

Anonym

System Engineer - Security
An ihm kommt nichts vorbei, was nicht vorbei soll.

 

 

IT-Sicherheit: Die Einschläge kommen näher

Es vergeht inzwischen kaum noch ein Tag, an dem nicht über Unternehmen oder öffentliche Einrichtungen berichtet wird, die nach Hackerangriffen lahmgelegt worden sind. Oft ist die Erbeutung von Lösegeld das Ziel der Täter. Ralf Luithle, CEO des Unternehmens Luithle + Luithle, ist IT-Sicherheitsexperte und eNVenta-Partner. In seinem Beitrag berichtet er über neue Bedrohungen und neue Sicherheitskonzepte, um diese abzuwenden.

Jahrelang galt in puncto IT-Sicherheit die Maxime: „Ein Anbieter für Netzwerk-Sicherheit und ein anderer für Endpoint-Sicherheit – das sorgt für optimalen Schutz“. Endpoint bezieht sich in diesem Zusammenhang auf die Endgeräte der Anwender, also etwa PCs und Smartphones. Doch dieses Mantra gilt nicht mehr. Der Grund dafür ist die ständige Weiterentwickelung von Technologien. Das gilt sowohl für Hersteller von IT-Security-Lösungen als auch für die Hackerszene. Es ist heutzutage nicht mehr ausreichend, zwei Produkte mit einer guten Erkennungsrate von Schadcode zu verbinden, um für einen guten Schutz zu sorgen. Die Netzwerkgrenzen werden immer durchlässiger und die Verantwortlichen für IT-Sicherheit müssen neue Werkzeuge an die Hand bekommen, um auf die zunehmende Mobilität der Arbeitswelt reagieren zu können. 


Wo liegen die Probleme?

Man muss nicht erst die jährlichen Lageberichte des Bundesamts für Informationssicherheit studieren, um sich der massiv steigenden Bedrohungslage bewusst zu werden. Die Presse berichtet fast täglich von IT-Sicherheitsvorfällen. Betroffen sind nicht nur sporadisch einzelne Großunternehmen. Auch viele Mittelständler müssen enorme Summen zur Beseitigung von Schadcode, für Betriebsunterbrechungen und häufig auch für die Entschlüsselung der Daten aufbringen. Eine hohe sechsstellige Schadenssumme kommt schnell zusammen. Der einhergehende Reputationsverlust kann der Konkurrenz schnell Vorteile verschaffen. So war etwa im Februar 2020 in der Presse zu lesen, dass die IT-Systeme eines Münsteraner Elektro-Großhändlers durch einen Trojaner für drei Wochen lahmgelegt worden waren, bevor sich die Unternehmensführung entschloss, ein Lösegeld in Höhe von rund 120.000 Euro zu zahlen.

Aktuell ist mit Emotet ein höchst gefährlicher Schadcode im Umlauf, welcher sich kontinuierlich verändert. Klassische Schutzlösungen können diesen nur schwer erkennen. Er schlummert oft wochenlang auf Systemen, ohne aktiv zu werden und ist dann auch Bestandteil der Backups. Häufig wird dieser dann manuell aktiviert und die Hacker schauen sich in den IT-Systemen um, sodass ein maximaler Schaden herbeigeführt werden kann. Dabei haben es Hacker häufig nicht schwer. Fehlende hierarchische Berechtigungskonzepte, der falsche Einsatz von Benutzerkonten mit zu vielen Rechten und menschliches Fehlverhalten sind zumeist ursächlich für den Erfolg der Hacker. Hierbei dürfen IT-Verantwortliche nicht selbstverständlich ihren eigenen Maßstab für mögliche Verhaltensweisen von Mitarbeitern anlegen. Im vergangenen Jahr traf es den renommierten IT-Fachverlag Heise, welcher offen darstellte, was im Unternehmen schiefgelaufen war. Nachdem es auf einem Anwendersystem Probleme gab, meldete sich ein IT-Administrator mit dem Domänenadministrator an. Ab diesem Zeitpunkt war die IT-Umgebung "verloren".

Bei Marabu Druckfarben in Stuttgart wurde das Backup nicht "hackersicher" ausgeführt: Alle Sicherungen waren online erreichbar beziehungsweise nicht mehr vorhanden, als sie benötigt wurden, um die Betriebssysteme ohne Befall zurückspeichern zu können. Der Verkabelungsspezialist Leoni musste aufgrund unklarer Prozesse und letztendlich menschlichen Versagens einen Verlust von 40 Millionen Euro verschmerzen.

Trotzdem ist bei den Verantwortungsträgern häufig noch eine Grundhaltung der Art erkennbar, dass es das eigene Unternehmen schon nicht treffen werde, bis es dann soweit ist. Hier ist eine andere Unternehmenskultur erforderlich, welche es erlaubt, Risiken zu thematisieren, Anomalien zu hinterfragen und das Undenkbare zu denken!

Die Auslegung von IT-Infrastrukturen folgt häufig lediglich den Erfordernissen der Anwendung. Eine Betrachtung und Einbeziehung der IT-Sicherheit als wesentlichen Faktor lassen viele Projekte vermissen. Es ist allgemein bekannt, dass falsche statische Berechnungen Häuser bei einem Erdbeben einstürzen lassen. Bei der IT verhält es sich genauso. Die richtige Auslegung schützt präventiv vor Bedrohungen.


Vier Eckpfeiler sorgen für bestmögliche Sicherheit

Darüber hinaus muss aber auch ein intelligenter Schutz der Systeme erfolgen, welcher folgende Aspekte miteinbezieht:

  1. Sicherheit muss umfassend sein: Eine Lösung muss alle Funktionen beinhalten, die notwendig sind, um die Sicherheitsanforderungen gänzlich zu erfüllen – egal ob Netzwerk, Server oder Nutzer.
  2. Sicherheit muss einfach zu managen sein: Diese Einfachheit darf sich nicht auf einzelne Bereiche beschränken, sondern muss sich auf alle Aspekte der Lösung erstrecken, unter anderem auf die Bereitstellung, Verwaltung, Lizenzierung, den Support und die Bedienung.
  3. Sicherheit ist effektiver im Teamplay: Wenn Technologiekomponenten kommunizieren und kooperieren, anstatt isoliert voneinander zu agieren, ergeben sich ganz neue Möglichkeiten.
  4. Reporting: Die IT-Verantwortlichen müssen wissen, was auf ihren Systemen geschieht. Wo ist wann was passiert? Wie kam der Schadcode auf ein System?

 
Effektive IT-Sicherheitssysteme müssen miteinander kommunizieren

Die Verantwortlichen stehen in Sachen IT-Sicherheit an einem Scheideweg. Egal ob Bundeskammergericht, Sony, Bundestag oder Marabu Druckfarben – selbst Systeme, bei denen man getrost davon ausgehen darf, dass State-of-the-Art-Lösungen im Einsatz sind, lassen zu viele Lücken zu. Erkennungsraten top, die Firewall perfekt eingerichtet, Technologien wie Advanced Threat Protection installiert – und dennoch gelingen Einbrüche über den Online-Kanal? „Wie kann das sein?“, werden sich viele fragen. Die Antwort ist recht einfach. Während Hacker bislang mit den traditionellen Herangehensweisen meist ausreichend in die Schranken gewiesen werden konnten, hat sich auch die Cyberkriminalität weiterentwickelt. Sie ist viel wandlungsfähiger geworden. Und eben diese Flexibilität macht den traditionellen Sicherheitssystemen zu schaffen, da ihnen die Schwarmintelligenz fehlt. Sämtliche Funktionen für sich gesehen funktionieren einwandfrei, aber entscheidend ist heute, dass alle diese Systeme intelligent miteinander verknüpft sind, miteinander kommunizieren. Nur so lassen sich die Lücken zwischen den Lösungen schließen und die immer ausgeklügelteren Attacken erfolgreich abblocken.


Automatisierte IT-Security-Prozesse entlasten die Verwaltung

Synchronisierte Sicherheit beinhaltet einen sicheren Kommunikationskanal zwischen Endpoint- und Netzwerk-Sicherheitslösungen. Erkennt die Firewall schädlichen Datenverkehr, benachrichtigt sie umgehend den Endpoint-Agenten. Dieser reagiert dynamisch, identifiziert und hinterfragt den verdächtigen Prozess. In vielen Fällen kann er den Vorgang automatisch beenden und die restlichen infizierten Komponenten entfernen. Auf diese Weise werden IT-Abteilungen entlastet und können gleichzeitig einen besseren Schutz von Daten garantieren – inklusive Next-Generation-Technologien wie Deep Learning mit KI oder Sandboxing.


Ein Blick in die Zukunft: Managed Security Services auf Mietbasis

Obwohl die Rolle des Service Partners beziehungsweise Providers mittlerweile in vielen KMUs fest verankert ist und er häufig sogar die Rolle des Sicherheitsberaters übernimmt, gilt es, neuen Herausforderungen zu begegnen. Der Wandel hin zum „Next-Generation Managed Service Provider (MSP)“ ist auch darauf zurückzuführen, dass sich die Anforderungen auf Kundenseite stark verändert haben. Der Service-Gedanke steht klar im Vordergrund. Flexibilität ist beim Thema Next-Generation-MSP das Schlüsselwort.
 
Beispielsweise hat die Luithle + Luithle GmbH mit IT Security Services für ihre Kunden den Schwenk hin zu einer vernetzten IT-Sicherheits-Lösung eines Herstellers vollzogen. Die IT-Systeme werden anfänglich und in der Folgezeit periodisch geprüft, ob sie,  gemessen am Schutzbedarf, der aktuellen Bedrohungslage noch gerecht werden.  Die vollständig vernetzen Security-Produkt-Bundles gewähren kontinuierlichen Schutz und melden Vorfälle zur Analyse an Luithle + Luithle. Mit Augenmaß werden proaktive und reaktive Maßnahmen umgesetzt. Diese Services werden auf flexibler monatlicher Basis angeboten, einschließlich der Miete der Produkte. Auf Wunsch steht Luithle + Luithle als erster Ansprechpartner rund um die Uhr zur Verfügung. In Notfällen werden erste Sofortmaßnahmen koordiniert, analysiert und eingeleitet.

andreas luithle

CEO des schwäbischen IT-Dienstleisters Luithle + Luithle mit Sitz in Gemmrigheim, Heilbronn und Leonberg.

Ralf Luithle

 +49 7143 8442 0



Einfallstor für Angriffe: E-Mail und Office-Makros

Eine gängige Vorgehensweise von Angreifern ist der Versand einer durch Social Engineering stark individualisierten E-Mail mit einem Anhang bestehend aus einem Office Dokument. Öffnet ein Anwender das zugesandte Office-Dokument und bestätigt die Makroausführung, so schreibt dieses in der Regel eine kleine rudimentäre Datei und führt diese dann aus. Im Folgenden werden über Command und Control Server weitere Dateien nachgeladen und der externe Zugriff für die Hacker eröffnet.

Die Anwendung führt dann manuell oder automatisiert eine Analyse der Umgebung aus und versucht über schwache Passwörter, bekannte Sicherheitslücken, nicht geänderte Passwörter oder Passwortklau durch das Monitoring von Tastatureingaben privilegierte Account-Daten zu erspähen. Die Hacker legen anschließend manuell los, suchen nach Backup-Systemen und löschen alles, was sie zu Gesicht bekommen. Ist dort der maximale Schaden angerichtet, werden die Verschlüsselungstrojaner beispielsweise durch die Einrichtung von Gruppenrichtlinien im Active Directory von Windows im gesamten Netz ausgerollt. Einige Tage später, zu einem festgelegten Termin, legen diese dann los und das gesamte Unternehmen fällt nahezu zeitgleich aus.

Aus diesem Grund empfiehlt das Bundesamt für Sicherheit in der Informationstechnik Administratoren das Ausführen von Office-Makros auf Windows PCs mithilfe von Gruppenrichtlinien zu verbieten – entweder für bestimmte Abteilungen oder sogar für die gesamte Firma. Ärgerlicherweise, so berichtet „heise online“, ignorieren die meisten Office-365-Versionen die Vorgaben aus Gruppenrichtlinien. Technisch bedingt ist diese Lücke demnach aber nicht: Das Problem betrifft vor allem die preisgünstigen Business-Versionen. Die teuren Enterprise-Versionen von Office 365 unterstützen Gruppenrichtlinien durchaus.