Anzeichen für einen Cyber-Angriff: Woran Sie einen Angriff erkennen
Seit Jahrzehnten agieren die Medienmarken von IDG Germany, nämlich CIO Magazin, COMPUTERWOCHE und ChannelPartner, als Partner des IT-Managements mit einer klaren Zielsetzung: Wir wollen die IT-Community vernetzen, glaubwürdige Informationen liefern und Sichtbarkeit für spannende Projekte und ihre Macher:innen schaffen. Den CIOs oder CDOs, den IT-Manager:innen und natürlich den Entscheider:innen im Channel bieten wir mit unserem Eventportfolio 2021 eine Vielfalt an Vernetzungsplattformen, die teilweise schon viele Jahre im Markt etabliert sind und weiter stark wachsen. Aufgrund der weiter anhaltenden Situation rund um die Coronavirus-Pandemie legen wir im kommenden Jahr den Fokus primär auf digitale Veranstaltungsformate und wandeln viele unserer etablierten Veranstaltungen in Online-Events um, ohne jedoch das Ziel der Vernetzung und des fachlichen Austauschs aus den Augen zu verlieren. Einen Ausblick auf das, was Sie auf IDG-Events im Jahr 2021 erwartet, finden Sie hier in unserem neuen Veranstaltungskalender.
Zum Eventkalender
Cyberangriffe erkennen und abwehren
Von: André Tauber
Um Cyberattacken wirksam abwehren zu können, sollten Unternehmen Lösungen einsetzen, mit denen sich Schwachstellen aufdecken lassen, so dass sich Risiken ihrer Infrastruktur verringern lassen. Um sicherheitsrelevante Angriffe frühzeitig zu erkennen, sollten diese Ereignisse gesammelt und gegebenenfalls Gegenmaßnahmen ergriffen werden. Letztere, sogenannte SIEM-Lösungen (Security Information and Event Management), ermöglichen dies basierend auf den zusammengeführten Informationen von Log-Dateien.
Jedoch sind SIEM-Systeme meist sehr umfassend und komplex, weil sie für Anforderungen von sehr großen Unternehmen entwickelt wurden. Diese beschäftigen intern oder extern mehrere Dutzend Experten in Security Operation Centern. Gerade mittelständische Unternehmen stehen vor einem dreiseitigen Problem: eine hohe Bedrohungslage, strenge Vorschriften und knappe Ressourcen. Gesetzlich sind sie oftmals gezwungen, den Mindeststandard für Informationssicherheit zu erfüllen und ein System zur Erkennung und Protokollierung von Log-Einträgen einzusetzen; was implizit bedeutet, so etwas Ähnliches wie SIEM nutzen zu müssen. Zudem können die meisten Mittelständler schlichtweg weder die personellen noch die finanziellen Ressourcen aufbringen, um umfassende Lösungen zu installieren. Dabei ist es wichtig, dass die Unternehmen wissen, was überhaupt auf ihren Systemen passiert.
Zentrale Alarmanlage zum Aufspüren von Anomalien
Es gilt, Anomalien zu erkennen, diese Informationen zu komprimieren, und innerhalb von Sekunden auf verdächtige Ereignisse zu reagieren. Ein typisches Beispiel für sicherheitsrelevante Ereignisse, auf die ein Unternehmen aktiv reagieren muss, ist das Einloggen an einem Rechner um 22 Uhr, mit einer Anmeldung als Admin sowie zehn Versuche in weniger als 20 Sekunden, das Passwort einzugeben. Darauf kann das Herunterfahren des File-Servers eine geeignete Gegenmaßnahme sein, um etwa einen Verschlüsselungstrojaner zu verhindern.
In der Praxis bietet sich für mittelständische Unternehmen an, sofern der Ressourcenaufwand gering bleiben soll, schlanke SIEM-Lösungen zu nutzen und den Schwerpunkt der Abwehr zunächst auf die kritischen, geschäftsentscheidenden Systeme zu legen. Je nach Branche können dies beispielsweise ERP-, CRM- oder Produktionssysteme von Firmen sein oder etwa in Krankenhäusern die KIS- und daran angeschlossene Systeme. Ein Vorteil ist, dass die eigene IT-Abteilung solche Systeme einfacher bedienen kann, weil sie einzelne Events nicht zu überwachen braucht und somit nicht überlastet wird. Außerdem vermeiden die Unternehmen Betriebsunterbrechungen, die von Cyberangriffen verursacht werden. Diese sind meist sehr kostspielig und können weitere Folgekosten aufgrund von Produktionsausfällen, des Diebstahls geistigen Eigentums oder Reputationsverlusten nach sich ziehen.
Ein praktikabler Ansatz sind etwa Lösungen, mit dem sich Unternehmen auf der Basis von Standardvorlagen ein SIEM-System konfigurieren können, das sich um zusätzliche Regeln für die Anomalie-Erkennung ergänzen lässt. Die Vorgehensweise besteht darin, kritische Systeme (z.B. ERP) im Zusammenhang mit anderen Systemen zu verstehen und durch Mapping zusammenbringen und umfasst drei Schritte: Historische Daten ansehen, Standard-Templates nutzen, wie beispielsweise User Logon Failures und Regeln aufstellen, sofern kein Template existiert.
Zum Beispiel bietet ein Tool wie der Security Event Manager (SEM) – beispielsweise der Solarwinds SEM – eine Lösung. Mit vorgefertigten Log-Filter, Threat Detections und Templates für Active Response steht ein leistungsstarker Security Event Manager in kurzer Zeit zur Verfügung. Dabei bietet die Connectware Distributions GmbH Unterstützung remote oder vor Ort. Dank einer speziellen Protokollkomprimierungsrate können Unternehmen mehr Daten mit weniger Ressourcen speichern.
Bildquelle: Getty Images / iStock / Getty Images Plus
Cyberangriffe proaktiv erkennen und professionell abwehren
Die Vielzahl von Cyberbedrohungen macht den IT-Abteilungen in mittelständischen Unternehmen immer mehr zu schaffen. Es wird laufend schwieriger, den Überblick über alle Cybergefahren zu bewahren und gegen alle Cyberangriffe gewappnet zu sein. Mit immer neuen Cyberangriffen durch Malware, Ransomware oder Trojaner, Botnetzwerke, Remote Access Toolkits, etc. wird die Aufrechterhaltung der IT-Sicherheit im Unternehmen zur Mammutaufgabe. Gleichzeitig wird immer mehr digitalisiert – mit steigenden Anforderungen an IT-Security.
Eine der größten Bedrohungen stellen aktuell sogenannte Ransomware-Angriffe dar. D.h. ein Unternehmen wird gehackt, Ransomware wird ausgerollt und das Unternehmen muss Lösegeld zahlen, um wieder funktionsfähig zu werden.
„Game-Changer“ Ransomware
Spätestens seit den ersten Ransomware-Attacken wird die Einschätzung vieler Verantwortlicher, dass die unternehmenseigenen Daten ja „eigentlich“ für niemandem von Interesse sind und somit der Schutzbedarf für das Unternehmen gering ist, zur Makulatur. Denn die eigenen Daten und Systeme sind für die Opfer von Ransomware-Attacken immer von immenser Bedeutung. Somit sind die betroffenen Unternehmen in jedem Fall erpressbar. In sehr vielen Fällen werden die geforderten Summen gezahlt. Mit Bitcoin steht eine Zahlungsmethode zur Verfügung, die für Lösegeldzahlungen wie geschaffen ist.
Drastische Auswirkungen von Cyberangriffen
Welche Auswirkungen ein solcher Ransomware-Angriff haben kann, verdeutlicht beispielsweise der aktuelle Vorfall bei der Düsseldorfer Uniklinik. Dort wird ein Hacker-Angriff mit Ransomware dafür verantwortlich gemacht, dass für eine Patientin jede Hilfe zu spät kam, weil sie in ein weiter entferntes Krankenhaus gebracht werden musste. Die IT war weitgehend ausgefallen und 30 Server des Klinikums verschlüsselt worden.
