Bob

Chief Security Architect, RSA

Informationsbasierte Sicherheit statt immer höherer Mauern

Bei einem Treffen des Berufsverbandes der IT-Sicherheitsmanager (ISACA) in Dublin hielt ich kürzlich einen Vortrag darüber, wie Hacker verstärkt sogenannte sozialmanipulative Attacken einsetzen, um in die IT-Systeme von Unternehmen einzudringen. Wie der im April 2015 von ISACA und RSA gemeinsam publizierte Forschungsbericht über den aktuellen Stand der Cybersecurity zeigt, waren sozialmanipulative Attacken die am weitest verbreiteten Angriffe auf Unternehmen im Jahr 2014. Fast 70 Prozent der Antwortenden berichten von Verlusten durch Phishing (Datendiebstahl im Internet), immerhin rund 50 Prozent waren bereits Opfer von anderen sozialmanipulativen Attacken wie Waterhole-Attacken (Manipulation häufig besuchter Websites), Smishing (Phishing via SMS) und Vishing („Voice Phishing“ über automatisierte Telefonanrufe).

ISACA-Grafic

Der ebenfalls im April veröffentlichte RSA Cybercrime 2015 Bericht nennt besonders gezielte Phishing-Angriffe (Spear-Phishing) und Waterhole-Attacken als immer häufiger genutzte Einfallstore in die IT-Systeme. Auch der Verizon Data Breach Report 2015 berichtet, dass mehr als die Hälfte aller komplexen und zielgerichteten Angriffe (Advanced Persistent Threats, APT) mit Spear-Phishing oder anderen sozialmanipulativen Attacken beginnt.

verizon

Schutz gegen komplexe Angriffe – Intelligenz statt „Mauern“

Es entbrannte eine lebhafte Diskussion, wie Unternehmen auf diese bedrohliche Situation reagieren können. Die Basis für einen wirksamen Schutz ist sicherlich die Schulung der Mitarbeiter, damit sie sozialmanipulative Attacken erkennen und vermeiden lernen. Aber Schulungen alleine reichen nicht aus, wie ich in einem früheren Blog-Beitrag dargelegt habe. Es müssen auch moderne Technologien und Prozesse zum Einsatz kommen, damit die psychologisch und technisch ausgefeilten Attacken den Benutzer erst gar nicht erreichen. Dazu zählen Technologien wie E-Mail-Filterung, Blacklisting und Whitelisting und die Nutzung adaptiver Authentifizierungsmethoden. Durch letztere können Systeme dank zunehmend strengerer Identifikationsschritte („Step-up-Authentifizierung“) betrügerische Logins erkennen und abwehren.

Aber auch wenn eine Organisation all diese Techniken einsetzt und die Mitarbeiter schult, können immer noch Angreifer durch sozialmanipulative Attacken das Schutznetz durchdringen. Deshalb sollten sich Unternehmen mit zusätzlichen Maßnahmen schützen, die wir Intelligence-Driven Security (informationsbasierte Sicherheit) nennen. Sie fußen auf der Erkenntnis, dass Angreifer immer wieder die „Mauern“ von Unternehmensnetzen umgehen und sich Zugang zu den Systemen verschaffen. Es kommt nun darauf an, den Eindringling schnell zu erkennen, Informationen über ihn zu sammeln, um die Art und den Umfang der Bedrohung zu erkennen, Aktionen des Angreifers im System zu analysieren und Schäden und Datenverluste zu vermeiden. Das ist ein neuer Ansatz im Gegensatz zum bisher üblichen Vorgehen, Angreifer abzuwehren oder sie möglichst schnell unschädlich zu machen, falls sie doch in das System eingedrungen sind. Informationsbasierte Sicherheitssysteme müssen erstens transparent sein, um Angriffe zu erkennen, benötigen zweitens eine breite Palette von Analysefunktionen, um diese Angriffe zu verstehen und drittens wirksame Aktionsmöglichkeiten, um schnell und effektiv auf diese Angriffe zu reagieren.

RSA Grafik

Der RSA Cybersecurity Poverty Index zeigt, dass die meisten Unternehmen noch keine wirksamen Maßnahmen gegen Cyber-Attacken etabliert haben. Besonders gegen sozialmanipulative Attacken sind sie noch schlecht gerüstet. Sie sollten Weiterbildung, Präventionsmechanismen und informationsbasierte Security-Maßnahmen kombinieren, um das Risiko und die Auswirkungen der immer intelligenter aussgeführten Angriffe zu reduzieren.