Am 6. Juli 2021 fiel der Landkreis Anhalt-Bitterfeld einem Angriff mit sogenannter „Ransomware“ zum Opfer. Die Hacker boten an, die durch sie manipulierten Systeme gegen Zahlung eines Lösegeldes wieder freizugeben. Der Kreis lehnte ab, der erste Cyber-Katastrophenfall in Deutschland wurde ausgelöst. Die komplette Wiederherstellung der Handlungsfähigkeit dauerte trotz des Einsatzes von Spezialisten der Bundeswehr lange an.

Das Beispiel macht deutlich, wie wichtig es ist, die eigenen Schwachstellen zu kennen und permanent an deren Ausgleich zu arbeiten. Auf Basis einer strukturierten Schwachstellenanalyse lassen sich geeignete Abwehrmaßnahmen planen, implementieren und aktuell halten: Ein notwendiger Kordon um die Geschäftswerte von Unternehmen, Verwaltungen oder Non-Profit-Organisationen wird damit geschaffen.

Die Schwachstellenanalyse be­ginnt damit, zu schützende Bereiche zu identifizieren, den Grad der Gefährdung und das Ausmaß einer In- sowie Exfiltrierung zu bemessen und daraus resultierende Abwehrmaßnahmen festzulegen. Wir erleben jedoch in zahlreichen Kundensituationen, dass diese ersten wichtigen Schritte oft nur wenig strukturiert vorgenommen werden. Fehlallokationen von wichtigen Ressourcen und zeitliche Nachteile sind die Folgen.

Um dies zu vermeiden, wird eine systematische Bestandsaufnahme empfohlen. Diese umfasst im Wesentlichen die Prüfung der internen Zugangsberechtigungen, der logischen und physikalischen Strukturen der IT-Landschaft, interner Prozesse, um Datenflüsse und Betriebsstrukturen unter IT-Sicherheitskriterien bewerten zu können. Auch ist zu prüfen, ob Änderungen in der IT-Landschaft und Berechtigungsänderungen strukturiert und nachvollziehbar durchgeführt sowie durch eine Instanz validiert werden, die die IT-Gesamtsicherheit im Fokus hat. Eine vollständige und gepflegte Dokumentation aller relevanten Bereiche für Regelbetrieb und Notfallpläne ist ebenso Teil der Bestandsaufnahme.

Im nächsten Schritt wird ein Soll-Ist-Abgleich durchgeführt, der in der Regel bereits Diskrepanzen aufdeckt, die sich über einen längeren Zeitraum gebildet haben. Primäre Ursache ist sehr oft eine fehlende Koordination aller sicherheitsrelevanten Aktivitäten.

Schnell führen diese Erkenntnisse zu ersten Maßnahmen, beispielsweise durch eine Straffung der Berechtigungen auf den notwendigen Personenkreis und die Reduktion auf wirklich notwendige und gewünschte Kommunikationswege zwischen Bereichen. Mit der Qualitätsverbesserung im Berechtigungsmanagement reduziert sich die exponierte Angriffsfläche erheblich.

Anleitungen zur Durchführung einer solchen Statusaufnahme und Maßnahmen finden sich unter anderem in den Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Kompakte Erst-Assessments werden effizient von qualifizierten Beratungsunternehmen erstellt.

Erfahrungsgemäß bietet der Mensch das größte Angriffspotenzial. Daher ist die allgemeine Schärfung des Bewusstseins aller Mitarbeiter in Bezug auf IT-Sicherheit eine erste Maßnahme, die bereits parallel zur Schwachstellenanalyse ergriffen wird. Inhaltliche und methodische Schulungen der IT-Nutzer mit dem Ziel, Prozessabläufe abzusichern und Strukturen besser zu verstehen, erhöhen die Aufmerksamkeit. Zusammen mit der Aufklärung über die möglichen Angriffsvektoren wird so der Mensch als erste Abwehrschicht gegen einen Cyberangriff sensibilisiert. Prüfende Maßnahmen sichern, dass die Schulungsmaßnahmen von den Teilnehmern verinnerlicht wurden.

Kennt jeder Mitarbeiter die relevanten Gefahren, so ist er handlungsfähig und kann Angriffe erfolgreich abwehren. Als Beispiele seien E-Mails mit schädlichem Inhalt genannt, die in den meisten Fällen von Angreifern als Einfallstor genutzt werden. Gefälschte E-Mails, die auf vermeintlich echte Anmeldeseiten von zum Beispiel Zahlungsverkehrsdienstleistern, Zustellern oder auch Geschäftspartnern führen, sind nicht ungewöhnlich: Die erbeuteten Zugangsdaten sind die Eintrittskarte in die IT der eigenen Organisation. Ein anderer, als völlig absurd und aussichtslos anmutender Weg ist der sogenannte „CEO-Fraud“ (CEO steht für Chief Executive Officer): Hier wird dem Mitarbeiter via E-Mail vorgegaukelt, dass dem Vorgesetzten diskret für ein geheimes Projekt Geld überwiesen werden muss. Das Vorgehen folgt wirtschaftlichen Grundregeln. Ohne finanziellen Erfolg würde die Masche nicht immer noch praktiziert.

Nur durch die Kenntnis solcher Vorgehensweisen allein wird ein angemessenes Schutzniveau noch nicht erreicht werden können. Hierzu bedarf es einer weiteren Analytik, basierend auf technisch-organisatorischen Einrichtungen, wie beispielsweise der eines Security Operation Centers (SOC) in Verbindung mit einem Security Information and Eventmanagement System (SIEM).

Organisatorisch ist das SIEM in einem SOC verankert. Die dort tätigen Experten sind zum Teil 7×24 Stunden im Schichtdienst im Einsatz, um Sicherheitsvorfälle (Security Incidents) zu antizipieren, sie festzustellen und ihnen im Eintrittsfall geregelt durch Ablaufpläne angemessen zu begegnen. Die Behandlung eines Security Incidents ist hoch strukturiert und beruht zu weiten Teilen auf vordefinierten Schritten, die in einem sogenannten „Playbook“ niedergelegt sind.

In einem SIEM-System werden die Meldungen aller IT-Komponenten, also sowohl von Geräten als auch von Programmen, zentral in Echtzeit gesammelt, aufbereitet und in einem besonders gesicherten Ablagesystem für einen längeren Zeitraum gespeichert. Parallel erfolgt die automatisierte Auswertung der gewonnenen Informationen auf Abnormalitäten, einerseits über festgelegte Regeln, andererseits mittels künstlicher Intelligenz (KI). Beide Analyseverfahren helfen, Sicherheitsbedrohungen zu erkennen.

Hier einige Beispiele: Melden sich Mitarbeiter einer Abteilung gewöhnlich nur in den Kernarbeitszeiten an, so warnt eine KI bei einer Anmeldung zu Nachtzeiten. Gleiches gilt bei dem Öffnen elektronisch geschützter Türen mit berechtigten Zugangskarten. Betritt ein Mitarbeiter das Firmengelände gewöhnlich durch den Haupteingang, kann der Zutritt durch den Nebeneingang im Zusammenhang mit dem noch unbemerkten Verlust einer Zugangskarte stehen.

Zur frühzeitigen SIEM-basierten Erkennung von möglichen Gefahren tritt ein weiterer Nutzen: die umfassende und durchgängige Eliminierung der Ursachen. Mit den im SIEM-System gespeicherten Informationen lassen sich Infektionsketten nachvollziehen und somit alle betroffenen Systeme identifizieren. Würden nicht alle infizierten Systeme bereinigt und in einen virenfreien Zustand versetzt, so wäre eine erneute Infektion durch übersehene kompromittierte Systeme die direkte Folge.

Ein bekanntes Beispiel, bei dem solche Informationen fehlten und somit nicht nachvollzogen werden konnte, welche IT-Komponenten befallen waren, ist das Berliner Kammergericht. Hier wurde im September 2019 über einen PC der Verschlüsselungstrojaner „Emotet“ eingeschleust, der die IT unbrauchbar machte. Infolgedessen musste die gesamte IT neu eingerichtet werden, was bis weit in das Jahr 2020 dauerte und hohe Kosten verur­sachte.

Ein regelbasiertes SIEM dient der Erkennung von potenziellen Bedrohungen und einer erhöhten Abwehrfähigkeit der IT. Zusätzlich werden der IT-Betrieb und die Geschäftsprozesse durch die stärkere Strukturierung und Transparenz maßgeblich verbessert.

Mit einer selbstkritischen Standortbestimmung, der Sensibilisierung der Mitarbeiter und der Eta­blierung technisch-analytischer Ins­trumente, wird die Rolle des Getriebenen zwar nicht vollends abgelegt, aber Organisationen haben eine deutlich verbesserte Chance, einen Angriff zu verhindern, ihn früher zu bemerken sowie angemessen zu reagieren. Dabei werden stetige Prozessverbesserungen erreicht, die sich in erhöhter Qualität und gesteigerter Widerstandskraft spiegeln. Die vordergründigen Sicherheitsaufwände stellen also keine „Versicherungsprämie“, sondern auch eine strategische Investition in die Leistungsfähigkeit der Organisation dar. Begreift man die geschilderten Maßnahmen dann noch als Daueraufgabe, wird ein „Krieg“ sehr wahrscheinlich zu verhindern sein.