Die Häufigkeit, Variabilität, Unverfrorenheit der Angreifer und die Machtlosigkeit der Strafermittlungsbehörden haben verschiedene Angriffsszenarien zum Alltag aller IT-Abteilungen und Verantwortlichen werden lassen. Eine besonders beliebte Variante sind Ransomware Angriffe.
Die Angreifer – meist gut organisierte. ausländische, kriminelle Banden erhalten durch Spam sukzessive ausgehend von einem Rechner/Device immer weiteren Zugriff auf Domänen und die Daten ganzer Organisation. Die Daten werden dann unauffällig entwendet, verschlüsselt oder beides.
Durch auf die Unternehmensgröße und Wirtschaftskraft taxierte Erpressungen wird das kriminelle Potenzial dann möglichst voll ausgeschöpft.
Entsprechende Tools dafür sind im Darknet leicht verfügbar. Man kann sich die Dienstleistung aber auch als Servicepaket bestellen und dabei die individuellen Anforderungen nach Persönlichkeitsprofilen, Kaufverhalten, Krankendaten, Kreditkartennummern oder Finanzdaten, Betriebs- oder Forschungsgeheimnissen, Kontozugängen, … beauftragen.
Während große Cloudanbieter oder dezidierte “Security as a Service”-Provider in der Lage sind, diesem Treiben mit personellen Ressourcen angemessener Kompetenz zu begegnen und ihm Werkzeuge gegen entsprechende Bezahlung entgegenzustellen, sind kleinere IT-Betreiber Cloud oder on-premise damit häufig technisch oder wirtschaftlich überfordert. Ermittlungsbehörden scheitern häufig an der Dynamik der gewöhnlich grenzüberschreitenden Angriffe, an denen Rechtssysteme enden und komplizierte internationale Zusammenarbeit beginnt.
Angriffserfolge vermeiden
Um weder den Cyberkriminellen, den IT-Sicherheitsberatern, den Schutzsoftwareherstellern noch den teuren Plattformanbietern ausgeliefert zu sein, kann jede Organisation sich gegen Angriffe wappnen, indem intelligente IT-Architekturen und Netzwerktopologien diese Angriffsvariante weitgehend scheitern lassen.
Das Vertrauen auf Front-End Security – also Virenscans auf Clients und Mailservern, Blacklists, Security-Awareness-Training für Endbenutzer greift offensichtlich zu kurz. Backendsysteme und Netzwerk müssen ebenfalls gehärtet werden. Jede Maßnahme hilft, denn sie erschwert den Angriff und/oder mindert das Erpressungspotenzial bzw. wirtschaftliche Schäden.
Die Organisation ertüchtigt man durch Stärkung ihrer Resilienz durch eingeübte, robuste Wiederanlaufverfahren und Unangreifbarkeit trotz Datenverlusts (Disaster Recovery Verfahren): Sind z.B. die erbeuteten Daten bereits verschlüsselt und damit für die Angreifer nicht weiter nutzbar, reduziert sich das „Schreckensszenario“ auf ein bereits geplantes und idealerweise erprobtes Überbrückungsszenario (gemäß Business Continuity Plan).
Vorbeugende IT-Strategie
Anwendungen feien Sie vor vielen Angriffsszenarien: Sie halten die Daten typischerweise in Datenbanksystemen, die ihre eigenen Sicherheitsmechanismen besitzen und vom sonstigen IT-Betrieb weitgehend isoliert betrieben werden können.
Angreifer müssen dann versuchen, das Datenmodell zu interpretieren oder die Anwendung selber in eigener Infrastruktur inkl. Datenbank und Anwendung (tunlichst ohne Lizenz) wiederherzustellen, um Datensätze zu extrahieren und daraus Erpressungspotenzial mit Nutzdaten zu erzeugen. Dieser Prozess ist sehr aufwendig, langwierig und fehleranfällig.
Flache Dateisysteme mit üblichen Datenformaten machen den Angreifern das Leben leicht. Sie finden die einzelnen Daten zu verwertbaren Informationen in Dokumenten oder Dateien bereits korrekt abgemischt und verknüpft vor.
Dokumentenmanagement spielt eine Schlüsselrolle
Um Wildwuchs insbesondere bei sensiblen Informationen zu vermeiden und damit das Erpressungspotenzial gegen die eigene Organisation zu reduzieren, sollten „freie Datenhaltungen“ auf Clients lokal oder auf Netzlaufwerken bzw. Fileservern vermieden werden. Dateien und Informationen, die die Organisation benötigt sollten getrost Dokumentenmanagementsystemen überlassen werden. Diese sorgen für eine strukturierte Ablage, effiziente Weiterverarbeitung sowie ausreichende Schutzmechanismen:
- Zusätzlicher logischer Zugriffsschutz mit Rollenkonzept,
- Begrenzte Aufbewahrungsdauer überwacht durch das DMS führt zu schlanker datenschutzkonformer Datenhaltung,
- Zentraler Virenschutz auf dem Anwendungsserver,
- Gekapselte Datenbank,
- Verschlüsselung der Inhalte, bestimmter Felder, Tabellen oder der gesamten Datenbank,
- Zugriffschutz auf Ebene des Datenbankserver-Betriebssystems und des Datenbankmanagementsystems – auch außerhalb der Netzwerkdomäne der Organisation
DMS mit Datenhaltungen außerhalb einer Datenbank haben demzufolge nicht nur das Konsistenzproblem bei Backup und Recovery sondern ihnen fehlen auch viele der Schutzmechanismen für die eigentlich wertvollen Inhalte. Demzufolge sind solche Architekturen unter Sicherheitsaspekten kritisch zu sehen.
Scheitern von Ransomware Angriffen im DMS
Die Barrieren eines modernen und sicheren DMS gegen einen solchen Cyberangriff seien hier noch einmal dargestellt:
- Die Daten befinden sich in der Datenbank. Auf dem Datenbankserver gibt es zu keinem Zeitpunkt infizierte Dateien. Er ist nicht aus dem Internet, sondern nur vom Anwendungsserver aus erreichbar. Kein Benutzer kann dort Dateien direkt also außerhalb der Datenbank des DMS ablegen. Der Zugriff auf OS und DBMS ist beschränkt und kann durch MFA weiter abgesichert werden.
- Der Angreifer muss sich Zugriff auf den Datenbankserver beschaffen.
- Wenn dieser nicht in der Netzwerkdomäne ist, kann das nur durch Social Engineering mit den DB-Administratoren oder Brute Force Angriffe aus der Netzwerkdomäne passieren, was sicher Intrusion-Detection-Systeme anschlagen lässt.
- Die einzelnen Inhalte (Dateien) sind verschlüsselt. Ohne zusätzliche Erbeutung des Schlüssels sind sie wertlos.
- Die Formate der Dokumente/Inhalte müssen rekonstruiert werden, um die Daten darstellbar und damit verwertbar zu machen. Das setzt wiederum erfolgreiche Entschlüsselung voraus.
- Die Verschlüsselung der Datenbankdateien gemäß Angriffsplan greift nicht, da hier einfach auf Backupmedien zurückgegriffen werden kann, sobald die Angreifer ihren Schlüssel angebracht haben. Dies setzt selbstredend eine sichere Lagerung der Medien in geeigneten Intervallen voraus.
Ausblick
Leider rüsten sowohl die „White Hackers“ zur Erkennung und Abwehr als auch die kriminellen Banden kontinuierlich weiter auf. Der nächste Schritt ist der Einsatz von künstlicher Intelligenz zur Verteidigung aber auch zum Angriff.
www.cos.de