IT-Sicherheitsgesetz: Wie Sie Ihr Unternehmen vor Advanced Persistent Threats schützen

Veröffentlicht am 14 Sep. 2015 von

 

Durch das neue IT-Sicherheitsgesetz kommen strengere Security-Anforderungen auf die Betreiber kritischer Infrastrukturen (KRITIS) und viele andere Unternehmen zu. In den ersten Beiträgen unserer Blog-Serie haben wir Ihnen einen Überblick über die neuen Regelungen gegeben (soweit diese heute bereits feststehen).

 

Wo liegen aber aktuell die größten Risiken für die IT-Sicherheit von Unternehmen und Organisationen? Und wie kann ein wirksamer Schutz vor den vielfältigen Bedrohungen aussehen? Darüber möchten wir Sie in den nächsten Beiträgen unserer Artikelserie informieren.

 

Eine der größten Gefahren – insbesondere für Unternehmen in Hochtechnologiebranchen wie Automobilbau, Energiewirtschaft und Maschinenbau sowie für Einrichtungen in Forschung und öffentlicher Verwaltung – sind so genannte Advanced Persistent Threats. Cyber-Kriminelle fahren mittlerweile immer ausgefeiltere Angriffe auf die IT-Infrastrukturen dieser Organisationen, um sich dauerhaften Zugang zu sensiblen Systemen und wertvollen Daten zu verschaffen. Dabei nutzen sie hochprofessionelle technische Hilfsmittel, die genau auf die jeweilige Organisation zugeschnitten sind – häufig in Kombination mit Social Engineering.

 

Im ersten Schritt suchen sich die Cyber-Kriminellen zum Beispiel eine wenig technikaffine Person im Unternehmen als Zielperson aus. Mit einer gefälschten aber möglichst authentisch wirkenden E-Mail-Kommunikation versuchen sie nun, die Zugangsdaten zum Unternehmensnetzwerk ausfindig zu machen.

 

Sobald dieser Schritt erfolgreich war, werden vertrauliche Daten entwendet oder kritische Zielsysteme sabotiert. Die Angreifer versuchen dabei, möglichst lange unerkannt im Netzwerk des Opfers zu agieren und nach und nach immer mehr Systeme unter ihre Kontrolle zu bringen. Professionell ausgeführte Advanced Persistent Threats bleiben oft über Monate oder sogar Jahre unentdeckt. Um die Nachverfolgung zu erschweren, versuchen die Angreifer schließlich, ihre Spuren so gut wie möglich zu verwischen.

 

Konservative Security-Strategien sind mit Advanced Persistent Threats meist überfordert: Im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland des BSI heißt es etwa, dass im Jahr 2014 täglich etwa 15 bis 20 Angriffe auf das Regierungsnetz registriert wurden, die von normale Schutzmaßnahmen nicht erkannt worden waren. Bei durchschnittlich einem Angriff pro Tag handelte es sich um einen gezielten Angriff mit nachrichtendienstlichem Hintergrund.

 

Der Schaden von Advanced Persistent Threats kann enorm sein: Im vergangenen Jahr gelang es Cyber-Kriminellen mit Hilfe von Spear-Phishing und Social Engineering Zugang zum Büronetz eines deutschen Stahlwerks erhalten. Schritt für Schritt arbeiteten sich die Angreifer bis zu den Produktionsnetzen vor und verursachten dort Ausfälle einzelner Steuerungskomponenten oder sogar ganzer Anlagen. Ein Hochofen des Stahlwerks wurde schließlich in einen undefinierten Betriebszustand versetzt, der massive Beschädigungen nach sich zog.

 

Wie können Unternehmen derart professionell durchgeführte Angriffe wirksam abwehren? Security-Hersteller wie unser Technologiepartner Fortinet empfehlen den Aufbau eines mehrstufigen Frameworks zur Advanced Threat Protection. Dieses besteht aus drei grundlegenden Ansätzen, die eng ineinandergreifen.

 

Bild: (c) Fortinet

Bild: (c) Fortinet

 

Prevent / Verhindern: Der erste wichtige Baustein ist die Abwehr von bekannten Bedrohungen durch klassische Security-Technologien wie Next Generation Firewalls, Lösungen für Endpoint-Security, sichere Zugriffs-Gateways und Intrusion Prevention Systeme. Universelle Sicherheitslösungen wie die FortiGate-Plattform von Fortinet sind in der Lage, eine Vielzahl unterschiedlicher Gefährdungen zu blockieren – ohne die Netzwerk-Performance zu beeinträchtigen.

 

Detect / Erkennen: Was ist jedoch mit Bedrohungen, die den vorhandenen Security-Systemen noch nicht bekannt sind – so genannten „Zero Day Exploits“ und individuell entwickelten Angriffsmechanismen? Diese Gefährdungen adressiert die zweite Stufe des Frameworks. Fortschrittliche Advanced Threat Detection Technologies durchleuchten permanent das Verhalten von Netzwerkströmen, Anwendern und IT-Ressourcen, um neue Arten von Bedrohungen zu identifizieren. Potentiell gefährliche Inhalte oder Anwendungen werden dann in eine geschützte Umgebung übergeben, die komplett vom übrigen Netwzerk isoliert ist. In dieser „Sandbox“ können die verdächtigen Elemente ohne Risiken für den Produktivbetrieb näher untersucht werden.

 

Mitigate / Entschärfen: Der dritte wichtige Baustein des Advanced Threat Protection Frameworks sind die angemessenen Reaktionen auf potentielle Sicherheitsvorfälle. Sobald eine neuartige Bedrohung identifiziert wurde, muss die Organisation diese validieren und den möglichen Schaden begrenzen. Dazu gehört es, die betroffenen Anwender, Endgeräte oder Inhalte unter Quarantäne zu stellen – und gleichzeitig die gewonnenen Informationen über die neue Bedrohung an die zuständigen Stellen weiterzuleiten. So können zeitnah entsprechende Security-Maßnahmen entwickelt werden, die dann auch anderen Organisationen zugutekommen.

 

Unsere Security-Experten beraten sie gerne dazu, wie ein Advanced Threat Protection Framework in Ihrer Organisation geplant und umgesetzt werden kann. Als Einstieg in das Thema empfehlen wir Ihnen, die Aufzeichnung unseres Webinars mit Fortinet anzusehen. Frank Barthel, System Engineer bei Fortinet, erklärt darin, wie sich neue intelligente Angriffe mit FortiSandbox identifizieren lassen.

 

 

Auch die beiden kommenden Webinare mit unserem Partner Zscaler am 30.09. und 12.11. beschäftigen sich mit dem Schutz vor Advanced Persistent Threats. Melden Sie sich jetzt für die beiden Termine an!

Grimm-Michael

Mit freundlichen Grüßen
Michael Grimm