Technologie > Sicherheit

Mit dem Post-Breach-Ansatz unternehmenskritische Sicherheitsvorfälle schneller erkennen und neutralisieren

Wenn der Feind bereits im Haus ist. Im Sommer 2014 griffen Hacker die US-amerikanische Bank J.P. Morgan Chase & Co. an. Der J.P.-Morgan-Fall ist aufgrund des Angriffsmusters (Einschleusen von Schadsoftware), des Angriffsziels (Datendiebstahl) und der späten Entdeckung des Angriffs (nach zwei Monaten) typisch für professionelle Cyber-Angriffe. 

Autor: Milad Aslaner, Senior Product Manager, Microsoft Deutschland

Laut J.P. Morgan wurden damals Daten von über 76 Millionen Privat- und sieben Millionen Firmenkunden gestohlen. Deutschland ist seit dem Sommer 2016 verstärkt in das Visier von Cyberkriminellen geraten: 13 deutsche Banken und ihre Kunden sollen von Angriffen betroffen sein, darunter auch Sparkassen und Genossenschaftsbanken. Weitere Angriffe scheinen vorprogrammiert. Für einen Cyber-Angriff benötigt ein Angreifer je nach Unternehmensgröße nur wenige ­Minuten. Die eigene IT bzw. das firmeninterne Sicherheitsteam hingegen braucht durchschnittlich 200 Tage, um einen solchen Einbruch zu erkennen sowie weitere 80 Tage, um das Sicherheitsproblem zu lösen.

 

Aktuelle Studien belegen, dass ­nahezu alle Unternehmen schon einmal angegriffen wurden. Als ganz besonders kritisch werden dabei Angriffe auf Banken und auf den Zahlungsverkehr gewertet. Post Breach Security oder Advanced Threat Detection – die Schritte, die eine konzernweite Sicherheitslösung einleiten, wenn der Angriff bereits passiert ist – wird also immer wichtiger und ist ­neben etablierten Pre-Breach-Maßnahmen ­wie Firewalls, Verschlüsselung und Anti­viren-Software zentraler Bestandteil ­jeder wirkungsvollen Sicherheitslösung. Post Breach steht für „nach dem Einbruch/Cyber-Angriff“ – beim Post-Breach-­Ansatz handelt es sich also um konzernweite Sicherheitsmaßnahmen, die greifen, wenn der Einbruch ins Firmennetzwerk bereits passiert und der Feind schon “im Haus“ ist. Einer aktuellen Umfrage der KPMG zufolge sind 40 Prozent der deutschen Unternehmen in den vergangenen zwei Jahren Cyber-­Attacken zum Opfer gefallen. Und die Angriffe auf geistiges Eigentum und kritische geschäftliche Informationen nehmen stetig zu. Dabei erweisen sich die Hacker als überaus geschickt und erfolgreich, auch gegenüber gut geschützten Umgebungen. Ferner nutzen Eindring­linge das primär angegriffene Netzwerk als Sprungbrett, um an wichtige Informationen von Geschäftspartnern oder Kunden zu gelangen. Netzwerke, die mit veralteter Technik arbeiten oder nur rudimentäre Schutzmechanismen einsetzen, sind dabei besonders leichte Beute. 

Mangelnde Vorkehrungen sind das größte Risiko

 

Gegen derartige Angriffe nicht vorbereitet zu sein, ist heute eine der größten Gefahren, denen sich ein Unternehmen aussetzen kann. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) befasst sich ­intensiv mit dem Thema Sicherheit bei Banken und Zahlungsverkehrssystemen und warnt vor den Auswirkungen von ­Angriffen wie z. B. extrem hohen Fehlüberweisungen, die in letzter Konsequenz ein Kreditrisiko für die betroffene Bank darstellen. Die BaFin hat auch die Börse besorgt im Blick, denn im Handelsgeschäft erfolgt die Weiterleitung der Orders an die Börse durch Rechnersysteme. Die Ausspähung von derartigen Handelsdaten ist für Hacker attraktiv, weil sie auf diese Weise Insider-Handel vorbereiten können. Angriffe auf die Handelssysteme eines Instituts ermöglichen aber nicht nur die Rekonstruktion von Strategien im Handel, sondern auch die Veranlassung von Orders, die das Portfolio ungünstig verändern. Zum Beispiel können auf diese Weise kurzfristige Liquiditätsengpässe entstehen oder durch Umschichtung liquider in illiquide Positionen die Zahlungsbereitschaft eines Instituts beeinträchtigt werden. ­Cyber-Angriffe könnten außerdem auf die Verzögerung der Order-Weiterleitung abzielen; der Angreifer verschafft sich auf diese Weise einen Vorteil im Handel.

Mit Blick auf die herausragende Rolle der Informationstechnik in Banken hat die BaFin in den MaRisk klare Anforderungen an die IT-Prozesse und IT-Systeme von Banken vorgegeben. Die MaRisk verpflichten die Institute, ihre IT-Systeme und -Prozesse zum Schutz der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten auf gängige Standards abzustellen. Insbesondere werden Benutzerberechtigungsverfahren eingefordert. Die Banken müssen regelmäßig überprüfen, ob ihre IT-Systeme und -Prozesse diese Anforderungen erfüllen. Sie sind notwendig, um eine ordnungsmäßige Geschäftsorganisation sicherzustellen. Neben den nationalen Verwaltungsvorschriften (MaRisk, MaSI) und Gesetzen (KWG) gibt es auch internationale Aufsichtsstandards wie die Bankenaufsicht­lichen Anforderungen an die IT (BAIT) und die Umsetzung der Prinzipien des Baseler Ausschusses für Bankenaufsicht (z. B. BCBS 239). Der Schwerpunkt liegt dabei auf Data Governance, Daten­­qualität und -aggregation sowie Risiko­reporting und einer adäquaten IT-Infrastruktur. Was aber, wenn der Feind trotz aller Vorsichtsmaßnahmen bereits im Haus ist? Mit dem Post-Breach-Ansatz – die Schritte, die eine konzernweite Sicherheitslösung einleiten, wenn der Angriff bereits passiert ist – können unternehmenskritische ­Sicherheitsvorfälle schneller erkannt und neutralisiert werden! Eine professionelle Softwareunterstützung, die nicht nur vor Angriffen schützt, sondern auch schnell agiert, wenn bereits ein Einbruch ­vorliegt, ist daher besonders wichtig. ­Windows 10 von Microsoft ist das erste ­Betriebssystem, das über umfangreiche, integrierte Post-Breach-Funktionen verfügt. Denn die ­Sicherheitslösungen von Windows 10 ­erkennen den Eindringling nicht nur zeitkritisch, sondern liefern IT-Verantwortlichen zusätzlich zur Krisenanalyse auch Handlungsempfehlungen zur Behebung des Angriffs. 

Der Wächter vor dem Tor genügt nicht mehr 

 

Neue Formen der Bedrohung erfordern eine neue Art der Verteidigung. Bis dato ­setzen Unternehmen in allen Branchen ­vorrangig auf Schutzmechanismen wie Firewalls und Anti-Viren- bzw. Malware-Lösungen zum Schutz vor Angriffen. Diese agieren als Wächter; sie prüfen eingehende Dateien und den Arbeitsspeicher auf schädliche Inhalte und blockieren sie. Aber egal, wie gut die Verteidigungsstrategie auch aufgebaut ist: Da Hacker häufig über umfangeiche ­Finanzmittel sowie Top-Spezialisten verfügen, finden sie früher oder später einen Weg. So nahmen zum Beispiel ­Attacken auf große Unternehmen von 2014 auf 2015 um 40 Prozent zu. Kundendaten und geistiges Eigentum sind dabei die vorrangigen Ziele der Angreifer, die oft gar keine Malware benutzen, sondern sich über Social-Engineering-Verfahren (beispielsweise Phishing) Zugriff und Berechtigungen über die ahnungslosen Nutzer verschaffen. Eine andere Möglichkeit, um unerkannt in Netzwerke einzubrechen, sind die Zero-Day-Exploits – die Angriffe also, die am selben Tag erfolgen, an dem eine Schwachstelle in einer Software entdeckt wird, bevor der Hersteller diese durch einen Fix schließen kann. 

 

 Forensische Aufarbeitung nach einem Vorfall ist oftmals mühevoll, aber immer notwendig


<< Erste < zurück 1 2 vor > Letzte >>