DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Den Maulwurf aus dem Netzwerk jagen

Wenn Unbe­fugte sich Zugang zum Fir­men­netzwerk ver­schaffen, sind die betrof­fenen Unter­nehmen ver­ständ­li­cher­weise höchst beunruhigt. 

 

Besonders Fälle von Cyber­spionage werden oftmals nicht von internen IT- und Security-Teams ent­deckt, sondern kommen durch Hin­weise Externer wie IT-Sicher­heits­­un­­­ter­­nehmen oder Behörden ans Licht. Zumeist ist der Schaden zum Zeit­punkt der Ent­de­ckung schon da und wichtige Daten sind längst in den Händen der Unbe­fugten. Deshalb heißt es in einem solchen Fall, die Ruhe zu bewahren, und struk­tu­riert vor­zu­gehen: Nur so lässt sich even­tuell klären, wer hinter dem Angriff steckt, welcher Schaden genau ent­standen ist und vor allem: wie das Netzwerk künftig besser geschützt werden.

Schotten dicht? Besser nicht!

Völlig natürlich ist die erste Reaktion, die Schotten dicht zu machen und den Maulwurf buch­stäblich aus­zu­räu­chern, indem befallene Systeme sofort bereinigt werden. Doch das ist der denkbar ungüns­tigste Weg. Besonders unan­genehm für Unter­nehmen und vor allem IT-Teams ist es, wenn externe Stellen sie auf das Leck hin­weisen. Denn die Täter agieren so geschickt, dass ein Spionage-Fall oft erst ent­deckt wird, wenn bei­spiels­weise IT-Sicher­heits­­un­­­ter­­nehmen große Angriffs­kam­pagnen unter­suchen und im Zuge dessen auf die Kon­troll­server der Täter stoßen – wo sie die IP-Adressen der Opfer finden.

Wer den Schaden hat …

Nach dem Motto „Wer den Schaden hat, braucht für den Spott nicht zu sorgen“ kann die externe Infor­mation über Daten­dieb­stahl eine fatale Ket­ten­re­aktion aus­lösen: Nämlich dann, wenn IT-Teams eilig über­fällige Updates und Sicher­heits­me­cha­nismen instal­lieren, um nicht als Sün­denbock dazu­stehen. Doch damit helfen sie unge­wollt den Tätern dabei, ihre Spuren zu verwischen.

Tat­sache ist, dass kaum ein Unter­nehmen aus Bord­mitteln die Folgen eines Cyber­­spionage-Vor­­­falls berei­nigen kann. Dazu müssen externe Experten ins Haus geholt werden, die das Netzwerk in der Tiefe ana­ly­sieren. Zu diesem Zeit­punkt sind die begehrten Daten schon gestohlen.

Nur noch Scha­dens­be­grenzung und Prävention

Auch lässt sich zumeist nicht mehr nach­voll­ziehen, an welcher Stelle der Zutritt gelang: ob Social Engi­neering, Watering-Hole oder klas­si­sches Hacking. Wesentlich ist, dass sich Täter – haben sie sich erst den Zugang ver­schafft – intern wei­ter­hangeln, bis sie sich in den letzten Winkel vor­ge­ar­beitet haben bezie­hungs­weise dorthin, wo sie die Daten, auf die sie es abge­sehen hatten, endlich finden. Auch deshalb ist es anfangs schwer ein­zu­schätzen, wie viele Rechner eines Netz­werks betroffen sind.

Es geht also in erster Linie um Scha­dens­be­grenzung und Prä­vention. Und diese kann viel Zeit in Anspruch nehmen. Beginnend mit der Arbeit der Ana­lysten über die Berei­nigung und ein Neu­auf­setzen des Netz­werks bis hin zur Imple­men­tierung eines Schutz­kon­zepts können Monate vergehen.

Risiken redu­zieren

Einen guten Weg, um Risiken künftig zu mini­mieren, bietet das Auf­setzen eines ESAE (Enhanced Secure Admi­nis­trator Envi­ronment), wodurch ver­hindert wird, dass die Täter Admin-Zugangs­­­daten erlangen, mit denen sie sich unge­hindert im Netzwerk bewegen können. Zudem ist wichtig, ein Security-Moni­­toring auf­zu­setzen, bei dem Log- und Sen­sor­daten kon­ti­nu­ierlich aus­ge­wertet werden. Und last but not least sollten auch die Anwender im Unter­nehmen geschult werden, um Angriffe bei­spiels­weise über Social Engi­neering besser erkennen zu können. 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Timo Steffens, Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI)

Dr. Timo Steffens ist Referent im CERT-Bund des Bun­desamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI). Er stu­dierte Com­pu­ter­lin­gu­istik und Künst­liche Intel­ligenz an der Uni­ver­sität Osna­brück und pro­mo­vierte am dor­tigen Institut für Kogni­ti­ons­wis­sen­schaft zu Themen der Geg­ner­mo­del­lierung und ähn­lich­keits­ba­siertem maschi­nellen Lernen. Seine Schwer­punkte sind die Vor­falls­be­wäl­tigung und die Analyse gezielter Angriffe.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.