Ein Wettlauf mit der Zeit

Wieso Incident-Response Unternehmen bisweilen zum Stillstand bringt

Bei Cyberangriffen ist die Reaktionszeit entscheidend. Trotz umfangreicher Vorsichtsmaßnahmen können viele Opfer ihre Informationen offenbar nicht erfolgreich schützen. Ist ein effektiver Schutz überhaupt möglich?

Von Monika Schaufler, München

Unternehmen weltweit haben ein Problem: Ein immer schneller werdender Fluss an Kundendaten, vertraulichen Informationen, Kreditkartendaten und geistigem Eigentum strömt eifrig aus ihren Netzwerken – lange bevor das Personal einen Sicherheitsbruch auch nur erkannt hat. Die Realität ist ernüchternd: Tatsächlich beginnt beispielsweise bei nahezu 90 % der Datenschutzverletzungen an Point-of-Sale-Terminals die Datenausschleusung bereits innerhalb von Minuten oder Sekunden nach dem Eindringen.

Sind die Netzwerke erst einmal kompromittiert, kann die Bereinigung zum Albtraum werden. Das Ponemon Institute schätzt, dass die Nachwirkungen eines Angriffs erst nach 45 Tagen vollständig beseitigt sind – von Bußgeldern, Gewinnverlusten und Rufschädigung ganz zu schweigen.

Wie ist es möglich, dass so viele betroffene Firmen ihre Informationen trotz umfangreicher Vorsichtsmaßnahmen nicht erfolgreich schützen können? Wieso können die meisten Gegenmaßnahmen mit den Angreifern nicht Schritt halten?

Jede Sekunde zählt

Die verzögerte Reaktionszeit der Unternehmen ist der Grundstein für einen erfolgreichen Angriff. Cyberkriminelle wissen, dass die zahlreichen Schritte, die von der Erkennung bis zur Eindämmung und Behebung unternommen werden müssen, selbst für die größten Konzerne eine Herausforderung darstellen.

Falls ein Einbruch überhaupt erkannt wird, sind IT-Mitarbeiter plötzlich mit einer Flut von Aufgaben konfrontiert: Bestätigung und Zusammenführung von Sicherheitswarnungen, Erfassung und Analyse von Daten zum angegriffenen Benutzer, System und Endpunkt, Untersuchen von Domänen, Virenerkennungssystemen sowie Security-Intelligence-Systemen plus Reaktionsentscheidungsanalysen und nicht zuletzt die Um- und Durchsetzung von Maßnahmen. Zudem sind diese Schritte klassischerweise auf manuelle Prozesse für Dateneingabe und -übertragung, teils sogar auf Verhaltensanalysen angewiesen – und sie unterliegen oft einer doppelten Kontrolle.

Allfällige Komplexität

Den Kern des Problems bilden also die schiere Anzahl, Komplexität und Raffinesse der Bedrohungen – und der erforderlichen Gegenmaßnahmen. Schon die Vielzahl neuer Malware übersteigt schnell die Fähigkeit, die nötigen Ressourcen und Abwehrmaßnahmen sowie qualifiziertes Personal aufzubringen, um Sicherheitstechnologie effizient zu entwickeln und einzusetzen. Bereits direkt nach der Implementierung drohen verborgene Herausforderungen und Kosten, wie unerwartet komplexe Anpassungen, die womöglich dennoch keine aussagekräftigen Ergebnisse liefern. So kann ein ratloser Manager, der mehrere hunderttausend oder sogar Millionen Euro in Erkennungstechnik investiert hat, anhand der vorliegenden Informationen bisweilen nur bestätigen, dass im Unternehmensnetzwerk – wie in 70 bis 95 Prozent anderer Unternehmen weltweit – Malware aktiv ist.

Es liegt auf der Hand, dass die Informationen und Werte von Großunternehmen lukrative Ziele für Cyberkriminelle darstellen. Und Schwachpunkte gibt es reichlich: Neben den komplexen Systemen werden rasche Gegenmaßnahmen zusätzlich oft noch von Zeitunterschieden zwischen geografischen Standorten und der Mitarbeiterverfügbarkeit über verschiedene Abteilungen erschwert.

Kleinere Firmen, die keine hohen Investitionen tätigen können, sind indessen noch angreifbarer: Es ist kein Zufall, dass Datenpannen oft über die kleineren Partner größerer Firmen verursacht werden, indem Cyberkriminelle zuerst in weniger komplexen Systemen Fuß fassen, bevor sie Anschläge auf das Hauptangriffsziel verüben.

Ob klein oder groß: Wenn Netzwerke bis zur Eindämmung von Bedrohungen über längere Zeit offen und ungeschützt sind, kann dies verheerende Auswirkungen haben. So wurde die Target-Datenpanne zwar erkannt, und die Sicherheitsteams benachrichtigt – dennoch konnten die Einbrecher bereits 40 Millionen Kreditkartennummern aus dem Netzwerk schleusen, bevor eingegriffen wurde.

Dies alles bedeutet nicht, dass Intrusion-Detection- und Prevention-Systeme nicht erforderlich seien. Auch Werkzeuge zur Verschlüsselung und zur Blockierung bekannter Bedrohungen sowie Mitarbeiterschulungen zur Sensibilisierung gegenüber verdächtigen Mustern (wie bei Phishing-E-Mails) tragen durchaus dazu bei, die Wahrscheinlichkeit eines erfolgreichen Angriffs zu minimieren.

Diese Maßnahmen müssen jedoch konsequent ausgeführt und auf dem neuesten Stand in Bezug auf Angriffsvektoren gehalten werden. Auch externe Ressourcen, wie Anbieter von SIEM- und anderen „intelligenten“ Sicherheitslösungen, können zur Identifizierung und Überwachung neuer und unbekannter Bedrohungsvektoren beitragen. Allerdings können IT-Teams den von Drittanbietern entwickelten Code für neue Funktionen oft nur schwer an die eigene, spezifische Umgebung anpassen: So müssen manche Unternehmen bis zu 500 Regeln erstellen, um den Durchblick über ihre Sicherheitsprozesse zu behalten – und das Endergebnis liefert dennoch nicht immer die nötigen verwertbaren Informationen.

Aggregieren und Automatisieren

Gibt es eine Möglichkeit für Unternehmen, Angriffe ein für alle Mal zu verhindern? Leider nein. Erfolgreiche Angriffe wird es immer geben – egal wie stark oder teuer die Sicherheitsmaßnahmen auch sein mögen. Auch wenn alle Intrusion-Detection- und Prevention- Systeme korrekt funktionieren, überwacht werden und auf Benachrichtigungen sofort reagiert wird, reicht dies nicht aus. Selbst die schnellsten Warnungen sind nahezu sinnlos, wenn das IT-Team keine eindeutige Lösung sieht und keine Informationen für das Anstoßen effizienter Gegenmaßnahmen erhält.

Die Auswirkungen eines Angriffs können jedoch sehr wohl auf ein Minimum reduziert werden: Entscheidend ist hierfür ein detaillierter Einblick in die zahlreichen unterschiedlichen Systeme der betroffenen Netzwerke. Traditionell fehlt es Unternehmen allerdings oft an der Infrastruktur und den erforderlichen Daten zum Bestimmen der geeigneten Gegenmaßnahmen. Zudem sind benutzerdefinierte Lösungen schnell genauso arbeits- und kostenintensiv wie der Aufwand für das Erstellen neuer und Pflegen vorhandener Lösungen.

Um umsetzbare Informationen zu erhalten, müssen die Daten aller Tools zur Bedrohungserkennung daher zusammengeführt und die Warnungen in einen sinnvollen Kontext gestellt werden. Möglich ist dies nur mit einer optimierten, automatisierten Incident-Response, die IT-Teams dabei unterstützt, die Ressourcen für den Schutz des Unternehmens vor Bedrohungen zu bündeln. Idealerweise lassen sich dabei bestimmte Reaktionen bereits vorab entwerfen und programmieren, sodass die IT-Teams bei einer passenden Lage in Sekundenschnelle Gegenmaßnahmen einleiten können.

Fazit

Die Bedrohungslandschaft ist komplex – und das wird sich nicht ändern. Daher werden Unternehmen auch weiterhin auf vielschichtige und umfassende Abwehrsysteme angewiesen sein. Ob diese den erwünschten Nutzen und Schutz bringen – oder die Situation potenziell gar behindern – hängt davon ab, wie gut die Informationen und Gegenmaßnahmen der verschiedenen Systeme vereint, analysiert und ausgewertet werden. Angesichts der Komplexität heutiger IT-Landschaften erscheint dabei eine möglichst weitreichende Automation als kaum verzichtbar.

Monika Schaufler ist Regional Director DACH bei Proofpoint.