IT Angreifer ist nicht gleich IT Angreifer. Es gibt Unterschiede!
Gastbeitrag: Stefan Hager Datev eG
Wenn man sich unterhält über Schutzbedarf oder über Schutzmaßnahmen in der IT, dann ist auch häufig von dem Angreifer (oder von der Angreiferin) die Rede. Dieser fiktive Gegenspieler bzw. diese fiktive Gegenspielerin ist schließlich der Grund, warum Teile des Budgets in Cyberabwehr fließen und Spezialisten damit beauftragt werden, die verschiedenen Unternehmen bestmöglich zu schützen.
Aus den ermittelten Szenarien, eigener vorhandener Schutzleistung und Budget lassen sich dann Maßnahmen ableiten, die als zielführend erachtet werden. Zumindest gegen den “Angreifer”. Die Frage, die unbeantwortet bleibt, ist die nach dem Sinn. Es gibt schliesslich verschiedene Arten von Angreifern, mit sehr unterschiedlichen Ansätzen und Zielen; mit unterschiedlicher Häufigkeit des Auftretens und unterschiedlichen darauf passenden Abwehrmethoden. Werden all diese Hintergrundinformationen der Einfachheit halber ignoriert, wird der Schutz in Summe schwerer und ineffizienter.
Man kann die erste Unterscheidung treffen, indem man sich die Frage stellt, ob die Angreiferin es spezifisch auf das eigene Unternehmen abgesehen hat oder nicht. Nehmen wir Ransomware, auch Crypto-Trojaner genannt: Schadcode, der Daten verschlüsselt und gegen Zahlung von Geld (häufig in der Form von digitalen Währungen wie Bitcoin) angeblich wieder freigibt. Wen genau der Schadcode infiziert, ist der Angreiferin egal; hier geht es um Masse. Je mehr Rechner infiziert werden — egal wem diese gehören -, desto höher ist die Chance, dass wirklich jemand zahlt.
Als Randnotiz: überlegen Sie sich bitte gut, ob Sie einen Erpresser bezahlen. Zum einen ist es nicht gesagt, dass Ihre Daten tatsächlich wiederhergestellt werden, zum anderen sind Erpressungsopfer selten nach der ersten Zahlung vom Haken.
Gegen die Sorte Angreifer, die es auf die Masse abgesehen hat, genügen häufig die “üblichen” Schutzmechanismen; also das, was von den meisten als Industriestandard angesehen wird: Firewalls, Patchmanagement, Virenschutz, etc. Plus natürlich den Miteinbezug der Angestellten und die Sensibilisierung für Security-Themen. Manchmal genügt ja ein Klick auf den falschen Link (und unzureichende technische Maßnahmen) für eine umfassende Infektion des Firmennetzwerks. Diese Schutzmaßnahmen generieren natürlich auch Kosten, aber nachdem das meiste schon vorhanden sein sollte, geht es hier meist um Aufrechterhaltung und Betrieb.
Die zweite Art der Angreiferklasse sind die Akteure, die es sehr spezifisch auf genau Ihr Unternehmen oder Ihren Industriezweig abgesehen haben und von außen an Ihre Daten kommen möchten, oder auch Ihre Online-Präsenz stören und beeinträchtigen wollen. Diese Klasse ist um Längen gefährlicher als die vorhergehende, und ihr Erfolg hängt weitestgehend vom Budget ab, dass den Angreifern zur Verfügung steht. Sollen z.B. Daten entwendet werden, so muss deren potentieller Wert höher liegen als der Aufwand, diese zu stehlen — eine stark vereinfachte Return of Invest (ROI)-Rechnung. Für diese Angreifer muss man die Latte höher legen; hier rentieren sich dann Intrusion Detection Systeme, Honeypots oder andere Appliances zum Erkennen von Anomalien und Angriffen. Das alles kommt aber nicht ohne Kosten: jede neue Security-Appliance generiert Events, Alarme und Logs, und wenn sich das niemand anschaut, könnten die Appliances genauso gut stromlos sein.
Fazit:
Die dritte Klasse wird häufig übersehen, und das sind die Angreifer von innen. Nicht unbedingt die Doppelagenten, die sich in Ihr Unternehmen schleusen lassen, sondern vielmehr die Personen, die aus guter Absicht heraus gravierende Fehler machen. Ohne Securitybrille macht es vielleicht Sinn, sich das vertrauliche Word-Dokument zur weiteren Bearbeitung per Mail nach Hause zu schicken, per Pastebin oder einem anderen Dienst. Oder es macht wie bei der Betrugsstrategie “Chefmasche” Sinn, die Überweisung in signifikanter Höhe durchzuführen, welche der angebliche Geschäftsführer veranlasst hat. Dagegen helfen neue Appliances nur bedingt; Prozesse und vor Allem Miteinbezug der Menschen und Stärkung der Awareness jenseits von Angst, Unsicherheit und Zweifel sind hier zielführende Methoden.
Keine Methode oder technische Lösung wird für sich alleine all die Probleme und Szenarien adressieren. Wenn Sie das Beste aus Ihrem Budget machen möchten, sollten Sie analysieren, vor wem Sie sich schützen möchten und wie der Schutzbedarf für verschiedene Angreifer in Ihrem Netzwerk aussieht. Wenn Sie sich gegen alles schützen möchten, investieren Sie möglicherweise mehr, als Sie müssten, für zweifelhafte Vorteile.
Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokussierung auf die Absicherung von Netzwerken sowie Bedrohungen aus dem Internet in 1999, mit Arbeitsplätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in Themengebieten rund um Netzwerksicherheit und Internet-Security.
