DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Viel­leicht ein bisschen Honig dazu?

Security Thinking

Viel­leicht ein bisschen Honig dazu? Security Thinking baut auf drei Säulen auf: Pro­tection, Detection und Reaction. Viele Unter­nehmen haben ihr Schutz­modell gegen Cyber­an­griffe vor allem auf die Säule “Pro­tection” gestützt; Fire­walls, Viren­scanner, generell der ganze Wall an Schutz­me­cha­nismen rund um den Peri­meter. Als Peri­meter bezeichnet man den vir­tu­ellen Grenzzaun des Unter­nehmens, also dort, wo sich fremde und eigene Netze treffen.

Das war vor einigen Jahren auch noch relativ leicht zu defi­nieren: viele Unter­nehmen hatten eine Handvoll Server hinter einer Firewall in einer DMZ (einer de-mili­ta­ri­sierten Zone; Cyber­se­curity über­nimmt viele Begriffe aus dem Militär). Der Peri­meter war damit an der Firewall mit dem Inter­net­an­schluss, recht punk­tuell und damit einfach zu über­wachen.

Solche Über­gänge sind dann etwas sel­tener geworden; bei manchen Firmen ist “BYOD”, also “Bring your own device” ein Nor­mal­zu­stand, andere Firmen wie­derum lagern Dienste an Cloud­ser­vices aus, und nicht zuletzt ver­netzt man sich ins­gesamt stärker mit Partnern. Wenn nun aber jemand defi­nieren soll, wo der Peri­meter des Unter­nehmens ist, also wo es Inter­net­über­gänge gibt, die man schützen möchte, dann steht man vor einem Problem.

Eine Mit­ar­bei­terin mit eigenem Tablet, die mal daheim und mal in ihrer Firma online ist, erweitert den Unter­neh­mens­pe­ri­meter auf das Netzwerk bei sich daheim; denn auch dort geht das Gerät online. Eine Firma, die einen Cloud­dienst zur Ver­ar­beitung bestimmter Daten nutzt, übergibt die Ver­ant­wortung für diese Daten eben jenem Cloud­dienst. Wer sich mit einem Partner direkt ver­bindet, erweitert den eigenen Peri­meter auf die Netz­werk­grenzen des Partners.

So oder so ver­viel­fäl­tigen sich die Tore ins Unter­nehmen; und eine zen­trale Über­wa­chung wird schwer bis unmöglich. Wenn das Tor beim Partner steht, oder in der Cloud, oder bei einem Mit­ar­beiter daheim, muss man sich mit neuen Methoden für den Schutz des Unter­nehmens aus­ein­an­der­setzen.

Wenn man schon weiß, dass man mit dem Schutz an Grenzen stößt, dann ist es sinnvoll die anderen Säulen des Security Thinking zu stärken.

Detection”, also Erkennung, geht davon aus, dass es einen Ein­bruch ins Netzwerk (oder auf einen Server etc.) gegeben hat, und ver­sucht, diesen im Anfangs­stadium zu erkennen. Je früher man weiß, dass man ange­griffen wird, umso mehr Mög­lich­keiten hat man für eine Abwehr — und auch umso mehr Erfolgs­chancen. Wie aber erkennt man einen Angreifer, der bereits ins Netz ein­ge­drungen ist und nun ver­sucht, sich weiter aus­zu­breiten?

Hierfür gibt es mehrere Mög­lich­keiten. Viele Her­steller setzen auf künst­liche Intel­ligenz und bieten unter dem Schlagwort “machine learning” Pro­dukte an, die genau das tun sollen. Meist ist wenig trans­parent, was genau ana­ly­siert wird. Es gibt aber auch Tech­niken zur Erkennung, die mög­lichst wenig Aufwand bei einer mög­lichst hohen Erfolgs­quote ver­sprechen.

Hier kommt der Honig ins Spiel.

Die Idee, Systeme ins Netz zu stellen, deren einzige Aufgabe das Anlocken von Kri­mi­nellen ist, stammt aus den frühen 90er Jahren; zumindest finden sich aus dieser Zeit die ersten kon­kreten Pro­jekte.

Warum sollte man sowas aber tun? Ganz einfach: solche Systeme dienen als Alarm­anlage. Da sie keinen echten Zweck erfüllen, wird jede Ver­bindung mit einem Honeypot (so nennt man diese Maschinen) als Angriff gewertet, und man bekommt erste Infor­ma­tionen über den Angreifer.

In der IT ist das Konzept tech­no­lo­gie­be­dingt noch nicht so alt, aber Täusch- und Ablen­kungs­ma­növer gehören seit jeher zum Inventar von Mili­tär­stra­tegen. Honigzeug, denn die Technik funk­tio­niert nicht nur für Server, ist nur die Umsetzung dieser Stra­tegien in der Cyber­se­curity.

So kann man zum Bei­spiel Honig­per­sonen ins Unter­nehmen bringen, vir­tuelle Mit­ar­beiter mit Auf­tritt in XING, einer eigenen Mail­adresse und Tele­fon­nummer, deren ein­ziger Zweck es ist, Opfer eines Social Engi­neering Angriffs zu werden. Oder Honig-Web­sites: Seiten im eigenen Inter­net­auf­tritt, die nicht ver­linkt sind oder bekannt gemacht werden. Wenn jemand die Seite aufruft, ist der­jenige in die Falle getappt — und ein ent­spre­chender Alarm geht an die interne IT.

Ein bisschen Krea­ti­vität ist natürlich gefragt, damit ein Angreifer oder eine Angrei­ferin nicht sofort miss­trauisch wird bzw. das Honigzeug auch findet; also kann man zum Bei­spiel Links auf eine Honigseite prima in der robots.txt ver­stecken (mit der Datei sagt man Google und anderen Crawlern, welche Seiten sie besuchen und inde­xieren dürfen und welche nicht).

Der Vorteil von Honigzeug liegt darin, dass man als Ver­tei­diger kaum Arbeit damit hat. Einmal auf­ge­setzt wartet man auf Alarme, die viel­leicht kommen — viel­leicht auch nicht. Der Nachteil ist natürlich, dass Honigzeug nichts ver­hindert und nur alar­miert; aber als Ver­tei­diger ist selbst diese Infor­mation (man wird ange­griffen) schon sehr wertvoll.

Dabei bleibt wie bei jedem Thema auch immer die Frage, ob der Einsatz von Honig­tech­no­logie für das eigene Unter­nehmen inter­essant ist, und wo man es plat­ziert. Sicherlich will man keinen offen­sichtlich schlecht abge­si­cherten Server (bzw. einen Honeypot, der vor­täuscht, schlecht abge­si­chert zu sein) in einem öffentlich erreich­baren Netz betreiben. Hier wird kein Mehrwert gene­riert, denn der Honeypot wird beständig durch Auto­ma­tismen ange­griffen werden.

Fazit:

Grund­sätzlich ist es aber eine gute Idee, auch innerhalb der Netz­werk­grenzen nach Ano­malien zu schauen und Honigzeug zu ver­wenden; das ändert zwar nichts an der Schwie­rigkeit bei der Defi­nition des Peri­meters, aber es hilft — wie ein Bewe­gungs­sensor — zu erkennen, ob jemand genau diesen Peri­meter über­wunden hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.