Wer weiß, wie Angreifer ticken, kann Cyberattacken besser identifizieren und strategisch effektiv abwehren. Wer aber wirklich die Nase vorn haben will, braucht das passende Werkzeug, um Angriffe anhand ihrer Anzeichen bereits im Voraus zu erkennen.
Meine Kollegin Le-Khanh Au hat sich genau darüber mit Salsabil Hamadache und Tobias Jobke vom BSI ausgetauscht – in der neusten Folge von CYBERSNACS, dem hauseigenen Podcast der vom Bundesamts für Sicherheit in der Informationstechnik (BSI) gegründeten Allianz für Cybersicherheit (ACS). Darin kommen vor allem Expertinnen und Experten aus den Bereichen Wirtschaft und IT zu Wort. Und dass diesmal Splunk seine Expertise beitragen durfte, macht uns natürlich besonders stolz.
Dieser Blog ist eine kurze Zusammenfassung des Podcasts. Wenn ihr aber gerade keine Lust auf Lesen habt, könnt ihr jetzt direkt selbst in den Podcast reinhören und erfahren, wie ihr mithilfe von Security-Frameworks (wie z. B. Mitre ATT&CK) eure Systeme umfassend und nachhaltig schützt und Resilienz in eurem Unternehmen aufbaut.
Cybersicherheit ist geschäftskritisch!
Für öffentliche Einrichtungen – von Verkehrsbetrieben über Kulturinstitutionen und Finanzverwaltungen bis hin zu Regierungsstellen – ist es nicht weniger wichtig als für große Konzerne und gewachsene Mittelständler, dass auf die zahllosen digitalen Prozesse und Services Verlass ist, sagt Le-Khanh: „Fiele zum Beispiel beim lokalen Verkehrsverbund der Ticket-Selfservice aus, würde das zu Chaos, Reputationsverlust und zu Umsatzeinbußen führen.“
Digitale Resilienz ist für sie daher mehr als nur ein Buzzword. Und mehr als nur Cybersicherheit. Denn es genügt heute nicht mehr, Firewalls und Zero-Trust-Berechtigungen zu installieren. Vielmehr braucht es eine durchgehende Sicherheitsstrategie, die von Prävention über schnelle Entdeckung und Reaktion bis zur Wiederherstellung des Geschäftsbetriebs geht – und dann gilt es noch, aus den trotz aller Sicherheitsmaßnahmen eintretenden Vorfällen zu lernen und sich neu auszurichten.
Hacker sitzen nicht im Hoodie in dunklen Kellern
Sowohl beim BSI als auch bei der ACS weiß man, dass vom „typischen“ Hacker irreführende Bilder in den Köpfen herumspuken: junge, blasse Nerds, die mit fliegenden Fingern binnen Sekunden in fremde Netzwerke eindringen und die vertraulichsten Dokumente herunterladen, um sie dann im Darknet anzubieten. Tatsächlich agieren aber oft professionelle Gruppen, die lange unerkannt in Systemen abwarten, um herauszufinden, was sie wann und wie am besten angreifen. Ihre Taktik folgt nicht selten wiederkehrenden Mustern.
Frameworks legen uns die Spielzüge der „Cyberkriminellen“ offen. Ich vergleiche es gerne mit einem Fußballtrainer, der seine Aufstellung für ein Spiel gegen Messi plant.
Die gute Nachricht von Le-Khanh: Es gibt Wissensdatenbanken und Frameworks, die dabei helfen, Cyberangriffe besser zu verstehen und schneller zu erkennen. Das heißt: Es lässt sich nachvollziehen, wie die Angreifer ein Angriffsziel aussuchen. Sehr hilfreich ist insbesondere das MITRE ATT&CK Framework, das sich auf Angriffstaktiken und -techniken konzentriert. In Kombination mit aktuellen Bedrohungsinformationen ergibt das eine gute Orientierung.
Der Teufel steckt auch bei der Cybersicherheit im Detail
Zum effektiven Einsatz solcher Frameworks gehört laut Le-Khanh allerdings auch, dass sie individuell angepasst und systematisch auf die Einzelbefunde des Sicherheitsbetriebs abgebildet werden – dazu hat sie auf ihrem Gebiet als Security Advisor viele Beispiele gesammelt. Zu den Essentials gehört etwa ein wirklich lückenloser Überblick über alle Daten. Denn bei näherem Hinsehen ergibt sich, dass ein erschreckend hoher Anteil sogenannter Dark Data (DD) vorliegt – im Durchschnitt sind es rund 50 %.
Besonderes Augenmerk sollte Angriffen gelten, die in mehreren kleineren Schritten und über einen langen Zeitraum vonstattengehen. Solche Advanced Persistent Threats (APT) sind bestrebt, durch viele kleine Aktionen im Alltagsgeschehen unterm Radar der Security zu bleiben. Doch auch gegen solche Aktivitäten lassen sich Analysetools und Machine Learning in Stellung bringen.
Ihr seht schon: Diese und weitere Themen wie u. a. Social Engineering oder rechtliche Verpflichtungen durch das IT-SiG 2.0 machen diesen Podcast zu einem absolut hörenswerten Input für alle, die für Cybersecurity verantwortlich sind.
Die CYBERSNACS-Podcasts gibt es auf der Website der Allianz für Cybersicherheit, aber auch auf Spotify, Deezer und iTunes.
Die CYBERSNACS-Folge #20 mit Splunk findet ihr direkt hier.
