Data Loss Prevention und Incident Response: Schutz vor Hackerangriffen

Von Mathias Fuchs und Carsten Eilers

In einer digitalen Welt sind es wohl Daten und Informationen, die eines der höchsten Güter darstellen. Sei es ein Bauplan oder eine Kundenliste – jedes marktfähige Unternehmen hat etwas, das es ungern hergibt. Während jedoch ein Zaun vor dem Diebstahl real existierender Gegenstände schützen kann, sind Hackerangriffe sehr viel schwerer zu verhindern oder aufzudecken. Dieser shortcut beschäftigt sich deshalb mit ungewollten Zugriffen durch Dritte und stellt Methoden vor, mit diesen umzugehen.
Wie ein Hackerangriff sich aus Unternehmenssicht abspielt, zeigt Mathias Fuchs in seinem Protokoll einer Cyberattacke und beleuchtet eingängig, wie zu reagieren ist und welche Lehren für die Zukunft gezogen werden können. Der naheliegendste Weg ist natürlich die Abwehr solcher Angriffe. Unter dem Stichwort Data Loss Prevention erläutert Carsten Eilers Methoden, die Ihre Daten vor unbefugten Zugriffen schützen. Doch angesichts der heutigen IT-Landschaft ist ein kompletter Schutz sehr unrealistisch, weshalb er auch über Incident Response informiert – was zu tun ist, wenn doch ein Angriff stattgefunden hat. Dabei zeigt er auch, wie wichtig es ist, wirksames Logging und Monitoring zu betreiben, um Angriffsversuche direkt zu erkennen.

• Sprache: Deutsch
• Herausgeber: entwickler.press
• Erscheinungsdatum: 27. Juni 2018
• ISBN: 9783868028416

Buchvorschau

GmbH

1 Protokoll einer Cyberattacke

Ein warmer Sommertag, es ist gerade Mittag in Shanghai. In einem dunklen Raum in einem unauffälligen Gebäude sitzt ein Hacker und durchforstet das Netzwerk eines Konzerns, der eine sechsstellige Zahl an Endpunkten betreibt. Die Ziele hat der Angreifer von „oben erhalten, es ist nicht sein einziges „Projekt, an dem er gerade arbeitet, aber sein delikatestes. Schauen wir uns das Protokoll eines Cyberangriffs auf einen internationalen Großkonzern vom initialen Einbruch über eine bereits damals bekannte Struts-2-Lücke bis zur Entfernung des Angreifers aus dem Unternehmensnetz an.

„The breach is inevitable – Ein Sicherheitsvorfall ist unvermeidbar", ist ein geeigneter Satz, um die aktuelle Situation der IT-Sicherheit zu beschreiben. Lapidar zusammengefasst kann man davon ausgehen, dass jedes Unternehmen, das marktfähig ist, auch über Informationen verfügt, die interessant für Dritte sind. In logischer Konsequenz steht damit auch jedes Unternehmen im Fadenkreuz von Cyberkriminellen und ausgeklügelten Angriffen.

Jahrelang lag der Hauptfokus im Bereich IT-Security auf Protect, also darauf, die eigenen Assets zu beschützen und Sicherheitsvorfälle zu verhindern. Ein vollständiger Schutz ist in Anbetracht der heutigen IT-Nutzung unrealistisch, wodurch vor einigen Jahren ein Paradigmenwechsel von Protect zu Detect begonnen hat. Auch wenn sich nach wie vor viele Unternehmen erst in einer Umbauphase befinden, wird immer klarer, dass die Frage nicht mehr die ist, ob es einen Sicherheitsvorfall gibt, sondern wann. Wie groß der Schaden für die Angriffsopfer ist, ergibt sich meist aus der Zeit zwischen initialem Einbruch und dessen Entdeckung und Bereinigung. Nach aktuellen Untersuchungen verschiedener Unternehmen dauert das immer noch wesentlich länger als die Zeit, die Angreifer benötigen, um signifikant Schaden zu verursachen [1].

Üblicherweise verlaufen Angriffe in verschiedenen Phasen, die die von Lockheed Martin postulierte Cyber Kill Chain beschreibt. Kurz zusammengefasst deckt die Cyber Kill Chain alle Schritte von der Aufklärung vor dem Angriff (Reconnaissance) bis zur Exfiltration von Daten aus dem Zielnetzwerk (Actions on Objectives) ab [2].

From China with love – der Angriffsvektor

Im hier beschriebenen Fall handelte es sich höchstwahrscheinlich um eine chinesische Hackergruppe, weil sehr spezielle Backdoors eingesetzt wurden (z. B. PlugX/SOGU). Selbstverständlich ist China nicht die einzige Nation, die auf militärischem Level Hacker einsetzt, um ihre Ziele zu erreichen, aber eine der aktiveren. Gut trainierte Angreifergruppen zeichnen sich unter anderem dadurch aus, dass sie sich perfekt auf Angriffe vorbereiten. Dabei ist es nicht unüblich, dass die vorbereitenden Phasen wie Reconnaissance und Weaponization Wochen oder sogar Monate in Anspruch nehmen. Das resultiert dann darin, dass die Angreifer tendenziell die Netze der Opfer wesentlich besser kennen als die Betreiber selbst. Auch in diesem Fall verzichtete der Angreifer darauf, die gut geschützte Eingangstür aufzubrechen, vielmehr entdeckte er eine Seitentür, die dem Betreiber des Netzes zum Zeitpunkt des Angriffs wohl nicht bekannt war.

Beim Ziel handelt es sich um ein gut