Angreifer ist nicht gleich Angreifer. Es gibt Unterschiede!

Angreifer, Angreifer und Angreifer: Drei ver­schiedene Typen

Wenn man sich unterhält über Schutz­bedarf oder über Schutz­maß­nahmen in der IT, dann ist auch häufig von dem Angreifer (oder von der Angrei­ferin) die Rede. Dieser fiktive Gegen­spieler bzw. diese fiktive Gegen­spie­lerin ist schließlich der Grund, warum Teile des Budgets in Cyber­abwehr fließen und Spe­zia­listen damit beauf­tragt werden, die ver­schie­denen Unter­nehmen best­möglich zu schützen.

Aus den ermit­telten Sze­narien, eigener vor­han­dener Schutz­leistung und Budget lassen sich dann Maß­nahmen ableiten, die als ziel­führend erachtet werden. Zumindest gegen den “Angreifer”. Die Frage, die unbe­ant­wortet bleibt, ist die nach dem Sinn. Es gibt schliesslich ver­schiedene Arten von Angreifern, mit sehr unter­schied­lichen Ansätzen und Zielen; mit unter­schied­licher Häu­figkeit des Auf­tretens und unter­schied­lichen darauf pas­senden Abwehr­me­thoden. Werden all diese Hin­ter­grund­in­for­ma­tionen der Ein­fachheit halber igno­riert, wird der Schutz in Summe schwerer und ineffizienter.

Man kann die erste Unter­scheidung treffen, indem man sich die Frage stellt, ob die Angrei­ferin es spe­zi­fisch auf das eigene Unter­nehmen abge­sehen hat oder nicht. Nehmen wir Ran­somware, auch Crypto-Tro­­janer genannt: Schadcode, der Daten ver­schlüsselt und gegen Zahlung von Geld (häufig in der Form von digi­talen Wäh­rungen wie Bitcoin) angeblich wieder freigibt. Wen genau der Schadcode infi­ziert, ist der Angrei­ferin egal; hier geht es um Masse. Je mehr Rechner infi­ziert werden — egal wem diese gehören -, desto höher ist die Chance, dass wirklich jemand zahlt.

Als Rand­notiz: über­legen Sie sich bitte gut, ob Sie einen Erpresser bezahlen. Zum einen ist es nicht gesagt, dass Ihre Daten tat­sächlich wie­der­her­ge­stellt werden, zum anderen sind Erpres­sungs­opfer selten nach der ersten Zahlung vom Haken.

Gegen die Sorte Angreifer, die es auf die Masse abge­sehen hat, genügen häufig die “üblichen” Schutz­me­cha­nismen; also das, was von den meisten als Indus­trie­standard ange­sehen wird: Fire­walls, Patch­ma­nagement, Viren­schutz, etc. Plus natürlich den Mit­ein­bezug der Ange­stellten und die Sen­si­bi­li­sierung für Security-Themen. Manchmal genügt ja ein Klick auf den fal­schen Link (und unzu­rei­chende tech­nische Maß­nahmen) für eine umfas­sende Infektion des Fir­men­netz­werks. Diese Schutz­maß­nahmen gene­rieren natürlich auch Kosten, aber nachdem das meiste schon vor­handen sein sollte, geht es hier meist um Auf­recht­erhaltung und Betrieb.

Die zweite Art der Angrei­fer­klasse sind die Akteure, die es sehr spe­zi­fisch auf genau Ihr Unter­nehmen oder Ihren Indus­trie­zweig abge­sehen haben und von außen an Ihre Daten kommen möchten, oder auch Ihre Online-Präsenz stören und beein­träch­tigen wollen. Diese Klasse ist um Längen gefähr­licher als die vor­her­ge­hende, und ihr Erfolg hängt wei­test­gehend vom Budget ab, dass den Angreifern zur Ver­fügung steht. Sollen z.B. Daten ent­wendet werden, so muss deren poten­ti­eller Wert höher liegen als der Aufwand, diese zu stehlen — eine stark ver­ein­fachte Return of Invest (ROI)-Rechnung. Für diese Angreifer muss man die Latte höher legen; hier ren­tieren sich dann Intrusion Detection Systeme, Honeypots oder andere Appli­ances zum Erkennen von Anomalien und Angriffen. Das alles kommt aber nicht ohne Kosten: jede neue Security-Appliance gene­riert Events, Alarme und Logs, und wenn sich das niemand anschaut, könnten die Appli­ances genauso gut stromlos sein.

Die dritte Klasse wird häufig über­sehen, und das sind die Angreifer von innen. Nicht unbe­dingt die Dop­pel­agenten, die sich in Ihr Unter­nehmen schleusen lassen, sondern vielmehr die Per­sonen, die aus guter Absicht heraus gra­vie­rende Fehler machen. Ohne Secu­ri­ty­brille macht es viel­leicht Sinn, sich das ver­trau­liche Word-Dokument zur wei­teren Bear­beitung per Mail nach Hause zu schicken, per Pas­tebin oder einem anderen Dienst. Oder es macht wie bei der Betrugs­stra­tegie “Chef­masche” Sinn, die Über­weisung in signi­fi­kanter Höhe durch­zu­führen, welche der angeb­liche Geschäfts­führer ver­an­lasst hat. Dagegen helfen neue Appli­ances nur bedingt; Pro­zesse und vor Allem Mit­ein­bezug der Men­schen und Stärkung der Awa­reness jen­seits von Angst, Unsi­cherheit und Zweifel sind hier ziel­füh­rende Methoden.

Fazit:

Keine Methode oder tech­nische Lösung wird für sich alleine all die Pro­bleme und Sze­narien adres­sieren. Wenn Sie das Beste aus Ihrem Budget machen möchten, sollten Sie ana­ly­sieren, vor wem Sie sich schützen möchten und wie der Schutz­bedarf für ver­schiedene Angreifer in Ihrem Netzwerk aus­sieht. Wenn Sie sich gegen alles schützen möchten, inves­tieren Sie mög­li­cher­weise mehr, als Sie müssten, für zwei­fel­hafte Vorteile.