Laut einer kürzlich von HP und Forschern der Universität Surrey durchgeführten Studie war in den Jahren zwischen 2017 und 2020 ein hundertprozentiger Anstieg „signifikanter“ nationalstaatlicher Vorfälle zu verzeichnen.
Experten zufolge hat die Pandemie diesen Trend noch beschleunigt. Unternehmen waren zu einem schnellen Umstieg auf Remote Working gezwungen und vielfach nicht ausreichend vorbereitet, die derart verbreiterte Angriffsfläche abzusichern. Böswillige Angreifer entwickeln ständig neue Möglichkeiten, Sicherheitsvorkehrungen zu umgehen, und sie werden dabei immer kreativer. Angesichts dieser Tatsache bleiben die Anbieter von Sicherheitslösungen oft auf der Strecke oder sind mindestens überfordert.
Die exponentielle Zunahme gerade bei nationalstaatlichen Angriffen wirft jedoch ein Schlaglicht darauf, wie es um die derzeitigen Ansätze zur Cybersicherheit bestellt ist. Ein Ergebnis dieses Befunds: Cybersicherheit verlagert sich hin zu einer mehr aktiven Verteidigung. Albert Einstein beschrieb Wahnsinn einmal als „immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten“. Es lohnt sich darüber nachzudenken, warum wir offensichtlich bei Sicherheitskonzepten nach genau diesem Muster verfahren – und trotzdem andere, bessere Ergebnisse erwarten.
Dass Cyber-Gegner nur an sich selbst denken, dafür ist der jüngste Spionage-Hack gegen SolarWinds ein gutes Beispiel. Das gilt umso mehr für nationalstaatliche Angreifer. Der Angriff gegen SolarWinds ging weit über die Infiltrierung des Unternehmens selbst hinaus. Tatsächlich gaben 30 % der angegriffenen privaten und staatlichen Einrichtungen an, keinerlei Verbindung zu SolarWinds zu haben. Die Angreifer nutzten Lücken und Schwachstellen der Cloud-basierten Software aus und erbeuteten Passwörtern – so konnten sie sich Zugang verschaffen. Dies führte zu einem Angriff, dessen Ausmaß bis heute unklar ist. Wahrscheinlich haben die Angreifer unerkannt bereits in Organisationen Fuß gefasst und in aller Stille auf den richtigen Moment gewartet, um zuzuschlagen. An anderer Stelle werden sie das vielleicht noch tun.
Hier gilt es herauszufinden, was für ein Unternehmen kosteneffizienter ist: die Endpunkte gegen verschiedene Zugangsvektoren, verstreut über eine lange und unübersichtliche Lieferkette abzusichern – oder es Angreifern zu erschweren, sich durch das Netzwerk zu bewegen, um an sensible Ressourcen zu gelangen. Haben es die Angreifer erst einmal ins Netzwerk geschafft, ähnelt sich das Vorgehen in den allermeisten Fällen, und sie bewegen sich in der typischen lateralen Bewegung weiter fort.
Tatsächlich haben viele der großangelegten Cybervorfälle der letzten Zeit gezeigt, dass Endpoint Detection and Response (EDR) als alleinige Verteidigungstaktik an ihre Grenzen kommt. Das gilt insbesondere, wenn man finanziell gut ausgestattete und hoch motivierte nationalstaatliche Akteure von schädlichen Angriffen abhalten will. Die Aufmerksamkeit verlagert sich also nicht ohne Grund auf die Sicherheitsanbieter. Und alles deutet darauf hin, dass man sich von einer rein defensiven Taktik verabschiedet und zu einer aktiven Vorgehensweise übergeht.
Mit anderen Worten: Es geht ganz zentral darum, das bislang asymmetrische Paradigma umzudrehen, um Kosten und Belastung auf die Angreifer abzuwälzen. Dazu muss ein Unternehmen zwingend davon ausgehen, dass es einem Angreifer schon gelungen ist, die Sicherheitsvorkehrungen zu durchbrechen und er bereits dabei ist, die Systeme zu durchforsten. Mit dieser Perspektive ist es sehr viel leichter möglich, Zeit, Ressourcen und finanzielle Investitionen auf den Schutz kritischer Anlagen zu konzentrieren, als auf den wahrscheinlich nur mäßig erfolgreichen Versuch, Angreifer fernzuhalten.
Eine kürzlich mit der White-Hat-Hackerin Alissa Knight durchgeführte Machbarkeitsstudie hat gezeigt, dass das Blockieren von lateralen Bewegungen der effektivste Weg ist, um Angreifer zu stoppen. Ohne eine Möglichkeit, sich frei im Netz zu bewegen, war die Hackerin bereits unmittelbar nach dem Eindringen ins Netz außer Gefecht gesetzt, und es gelang ihr nicht, sich Zugang zu wertvollen Informationen zu verschaffen.
Empfehlenswerte Vorgehensweisen:
- Kritische Vermögenswerte identifizieren: Es ist ganz entscheidend, zu wissen, welche Systeme und Vermögenswerte am wichtigsten sind und diese zu identifizieren. Wie soll man etwas schützen, von dem man nicht weiß, dass es existiert? Selbst wenn dieses Wissen zunächst lückenhaft sein sollte, ist es besser, irgendwo anzufangen und darauf aufzubauen, als sich überrumpeln zu lassen und dabei Gefahr zu laufen, wichtige Werte zu gefährden.
- Minimieren Sie die Zugriffspunkte auf Vermögenswerte: Finden Sie heraus, wer auf wichtige Vermögenswerte zugreift und von wo aus. Stellen Sie sicher, dass nur diejenigen zugreifen, die es im Rahmen ihrer Tätigkeit müssen, und gewährleisten Sie, dass dies problemlos möglich ist. Alle anderen sperren Sie aus. Wenn Sie sich einen umfassenden Überblick verschaffen, wird es sehr viel einfacher, Unbefugte oder Bots ausfindig zu machen.
- Weiten Sie den Schutz aus: Auch wenn es Priorität hat, zunächst die kritischsten Vermögenswerte zu sichern, ist es wichtig, den Schutz auf sämtliche Punkte auszuweiten. Wenn sich ein Angreifer ohne Ihr Wissen frei im Netz bewegen kann, wird er immer einen Weg finden, sich Zugang zu wichtigen Vermögenswerten zu verschaffen. Sie müssen in der Lage sein, das Netz jederzeit vollständig zu überwachen, um verdächtiges Verhalten zu erkennen, bevor es zu spät ist.
- Cyberkriminalität ist unvermeidlich: Nationalstaatliche Akteure und andere böswillige Angreifer werden weiterhin die Grenzen von Sicherheitsvorkehrungen ausloten. Man sollte sich also vorsehen und besser davon ausgehen, dass es bereits eine Datenschutzverletzung gegeben hat – und sich entsprechend vorausschauend verhalten.
Angreifer gehen zunehmend raffinierter vor, ein Ende ist nicht abzusehen. Unternehmen sollten ihre bisherige Haltung überdenken und bei der Wahl ihrer Mittel eine aktive Taktik bevorzugen. Es ist wesentlich effizienter, sich darauf zu konzentrieren, die lateralen Bewegungen eines Angreifers innerhalb eines Netzwerks zu verhindern, als Grenzen zu schützen, die sowieso früher oder später fallen. Und, es ist eine Methode, gegenüber Angreifern klare Kante zu zeigen und nationalstaatliche Akteure letztendlich mit ihren eigenen Waffen zu schlagen.
Jochen Rummel, Regional Director Central & Eastern Europe, Illusive