Swisscom News Schwachstelle Mensch

Cyberangriffe auf Unternehmen werden immer raffinierter. Insbesondere gezielte Advanced Persistent Threats verlangen neue Abwehrmassnahmen, wie der Swisscom Cyber Security Report zeigt. Und nach menschlichem Eingreifen.

Der Angriff war sorgfältig vorbereitet. In monatelangen Recherchen spionierten die Cyberkriminellen das Umfeld des Unternehmens aus. Wichtige Personen, deren Kontakte und Vorlieben, Aktivitäten und die IT-Infrastruktur, wie sie sich von aussen zeigte. Erst danach pflanzten die Angreifer mit Spearphishing, massgeschneiderten Phishing-Mails, Malware auf zwei Rechnern der gezielt ausgesuchten Opfer. Die Sicherheitsmassnahmen des Unternehmens umgingen die Angreifer, indem sie neustes Wissen und ausgeklügelte Technologie nutzten. Mithilfe eines Skripts drangen sie über eine Zero-Day-Lücke auf den Rechner ein, ohne verdächtige Spuren in Form von Dateien zu hinterlassen.

In den folgenden Monaten breiteten sich die Angreifer unbemerkt im Netzwerk und auf den Systemen des Unternehmens aus. Bis sie schliesslich ihr Ziel erreichten, die vertraulichen Kundendaten und Projektinformationen. Über gut getarnte Kanäle schleusten sie die Dokumente aus der Firma heraus.

Etwa so könnte sich ein raffinierter, gezielter Cyberangriff heute abspielen. Advanced Persistent Threats (APT), Angriffe mit enormen Ressourcen und hervorragendem technischen Know-how ausgeführt, gehören zu den anhaltenden Trends in der Cyberkriminalität, wie der Swisscom Cyber Security Report 2019 ausweist.

100 APT-Gruppen

Aufgrund dieser Ausgangslage sind derartige Attacken nur schwierig zu entdecken. Der Security-Anbieter Kaspersky Lab beobachtet derzeit über 100 solcher APT-Gruppen, die gezielt Angriffe vornehmen. Sie tragen schönfärberische Namen wie LuckyMouse, OceanLotus oder Comment Crew und agieren mutmasslich zumindest teilweise mit der Unterstützung von Regierungen. Ziele der Angreifer sind staatliche Organisationen, Regierungen und Unternehmen, die in sensiblen Bereichen agieren. Beweggründe sind Spionage, Datenklau oder Sabotage, wie etwa die Angriffe auf die Infrastruktur der Olympischen Winterspiele in Südkorea zeigte.

Klassische IT-Security-Massnahmen wie der Perimeter-Schutz alleine reichen nicht aus, um APT-Angriffe abzuwehren. Unternehmen müssten ihre IT-Security verstärkt auf Angreifer ausrichten, die bereits ins Firmennetz eingedrungen seien, sagt Costin Raiu im Interview im Swisscom Cyber Security Report.

Daten absaugen

Der Leiter des Forschungs- und Analyseteams Kaspersky GReAT spricht sich damit für einen Paradigmenwechsel aus. Denn Angreifer verbrächten die meiste Zeit damit, sich im Firmennetz auszubreiten und Daten abzusaugen. Firmen sollten also ihre Schutzmassnahmen auf diese Aktivitäten ausrichten.

Eine wichtige Massnahme besteht darin, laufende Prozesse, Dateioperationen und Logins zu überwachen. Ein solches Monitoring trägt dazu bei, verdächtige Vorgänge aufzudecken. Die Informationen aus Threat Intelligence helfen ebenfalls, typische Muster und Internet-Adressen von Cyberattacken zu erkennen. Die Kehrseite: Solche Überwachungsmassnahmen sind aufwändiger und ressourcenintensiver in der Umsetzung als klassische Perimeter-Security.

Doch mit rein technischen Massnahmen ist den Advanced Persistent Threats nicht beizukommen. Eine wichtige Rolle in deren Abwehr spielt der Mensch. Sicherheitsverantwortliche und -spezialisten müssten sich in die Rolle eines Angreifers versetzen, um dessen Vorgehensweise zu verstehen, empfiehlt Costin Raiu. Da APT manuell ausgelöste Attacken darstellen, ist der Verlauf oftmals von Menschenhand gesteuert. Hilfreich sind also Fragen wie «Was macht mich als Unternehmen interessant für APT?», «Welche Informationen und Systeme sind interessant für Spionage oder Sabotage?», «Wie könnte ein Phishing-Mail oder eine Social-Engineering-Attacke auf den Finanzchef aussehen?».

Muster erkennen

Eine solche Fokussierung hilft auch bei der Erkennung von Mustern in Logdateien, weil die Suche nach Auffälligkeiten zielgerichtet erfolgen kann. Beispielsweise, indem der Netzwerkverkehr des Rechners des Finanzchefs oder des ERPs gesondert überwacht werden.

Bei menschlichen Abwehrmechanismen ist die Bekämpfung von APT prädestiniert als Aufgabe für ein Security Operations Center (SOC). Dort sitzen die Spezialisten, die sich auf die aufgezeichneten Muster einen Reim machen und menschliche Angreifer entlarven können. Und sich aufgrund ihres Fachwissens in die Haut eines Angreifers versetzen können. Denn die Denkweise hochprofessioneller Cyberkrimineller zu verstehen und ihre Werkzeuge zu kennen, ist ein wichtiger Baustein bei der Abwehr von APT.

Dies ist ein Artikel aus dem Swisscom Magazin. Weitere interessante Inhalte finden Sie hier.