25.09.2015 | Adrian Bachmann
Prevention, Detection and Response: Wieso reine Prävention nicht (mehr) reicht
Viren, Würmer, Trojaner, Phishing, Drive-by Attacken und Social Engineering sind nur eine kleine Auswahl de möglichen Angriffsmittel, welche von kriminellen Kreisen eingesetzt werden um gewinnbringende Angriffe au Informationssysteme vorzunehmen. Die Professionalisierung der kriminellen Seite hat dabei erschreckende Ausmass angenommen. Längst sind es nicht mehr (nur) gelangweilte Computernerds in dunkeln Kellern, welche Systeme hacken sondern vielmehr ist es ein florierender (Schwarz-)Markt mit ausgeklügelten Standardwerkzeugen für den Bau vo massgeschneiderter Schadsoftware [1] bis hin zur Denial of Service Attacke as a Service. Kundensupport, Service Leve Agreements sowie Erfolgsgarantien und erfolgsabhängige Vergütungsmodelle sind dabei längst Realität. Kann der Websho des Konkurrenten nicht genügend lange vom Netz genommen werden, so wird der Auftrag wiederholt – kostenlos. Trojane attackieren mit einer vom Verkäufer garantierten Erfolgsrate Computersysteme, verschlüsseln sämtliche Daten und forder vom Benutzer ein Lösegeld um wieder an die Daten zu kommen. Wird nicht bezahlt, wird das Schlüsselmateria unwiderruflich vernichtet und ein Zugriff auf die Daten ist nicht mehr möglich. Teilweise schlummern solche Trojane über Wochen unbemerkt auf den Systemen, so dass auch das letzte Datenbackup ebenfalls nur verschlüsselte Daten enthält Zahlen und auf die Ehrlichkeit des Angreifers hoffen oder aber den Datenverlust hinnehmen sind dabei vielfach di einzigen Optionen die einem Opfer bleiben.
Dabei sind diese Businessmodelle nicht ganz neu. Blicken wir in die physische Welt, so entdecken wir diverse Parallele sowie jahrhundertlange Erfahrung. Gleiches gilt wenn es darum geht sich vor solchen Angriffen zu schützen. In de physischen wie auch der virtuellen Welt wird dabei gerne von den Disziplinen Prevention, Detection und Respons gesprochen. Am Beispiel eines Juweliers lassen sich diese gut veranschaulichen: Gehärtetes Schaufensterglas sowie ein ausgeklügelte Schliessanlage sollen Einbrüche verhindern (Prevention). Sollte dennoch eine Diebesbande eindringe können, so wird dies dank Sensoren und einer Alarmanlage erkannt (Detection) und sofort die Polizei alarmiert, welch ausrückt und versucht die Diebesbande noch vor der Flucht zu fassen (Response). Zurück in der virtuellen Welt möchte ic Sie dazu einladen, kurz darüber nachzudenken, welche Massnahmen Sie zum Schutz vor Angriffen umgesetzt haben. Sponta werden Sie möglicherweise an Virenscanner, Firewalls, starke Passwörter, aktuell gehaltene Software und eventuell gar a Verschlüsselung denken. Dabei handelt es sich jedoch fast ausschliesslich um Massnahmen der Prävention – spric Massnahmen die einen Angriff verhindern sollen. Gerade in Zeiten von Zero-Day Exploits und massgeschneiderten sowi ausgeklügelten Phishing Attacken reicht jedoch die reine Prävention definitiv nicht mehr, denn es besteht di Möglichkeit, dass jemand ohne unser Wissen einen Generalschlüssel zu unserem Juweliergeschäft gefunden hat und diese jederzeit einsetzen kann.
In der physischen Welt haben wir uns längst daran gewöhnt, dass es keine unüberwindbaren Verhinderungsmassnahmen gib und vielfach erst die Kombination mit Detektion und Reaktion zum gewünschten Schutzniveau führt. Interessanterweise is diese Erkenntnis in der virtuellen Welt jedoch noch nicht überall angekommen und wir konzentrieren und nach wie vo hauptsächlich um präventive Massnahmen. Wikipedia listet in seinem Artikel „Informationssicherheit“ [2] derzeit 1 operative Sicherheitsmassnahmen. Nur gerade zwei dieser Massnahmen weisen im Gesamtkontext einen detektiven Charakte auf. Die restlichen Massnahmen gelten der reinen Prävention. Zugegebenermassen sind Massnahmen der Detektion un Reaktion bezüglich Komplexität meist auf einem anderen Niveau als dies Massnahmen der reinen Prävention sind. Zude erfordert die Identifikation von geeigneten Massnahmen der Detektion und Reaktion eine intensivere Auseinandersetzun mit der Risikoexposition. Dennoch sollen wir uns zur Erreichung eines angemessenen Schutzniveaus auch mit diesen Theme auseinandersetzen und die Frage stellen, wie erfolgreiche Angriffe erkannt und auf solche reagiert werden kann. Im Foku sollte dabei ein geeignetes Zusammenspiel von Massnahmen stehen, mit welchem nicht nur klassische Angriffe auf di Infrastruktur von aussen, sondern auch Angriffe von innen oder über Mitarbeitende erfolgreich bewältigt werden können Sie werden rasch feststellen, dass dabei nicht nur technische Massnahmen gefragt sind.
In Fachkreisen gehen die Diskussionen und Fragestellungen derweilen etwas weiter: Wie soll damit umgegangen werden, das ein Angriff möglicherweise gar nicht erkannt und somit gar keine Reaktion eingeleitet wird? Oder wie kann nach eine verpassten oder fehlgeschlagenen Response möglichst schnell ein Recovery – spricht das wieder Erreichen de Normalzustands – durchgeführt werden?
Es ist an der Zeit, uns mit geeigneten und angemessenen Massnahmen zum Schutz von Angriffen auf di Informationssicherheit auseinander zu setzen.
[1] Siehe z.B „Einbruch mit Komfort“, c’t Ausgabe 18/2015 [2] Siehe https://de.wikipedia.org/wiki/Informationssicherheit
Hinweis: Dieser Artikel wurde auch in der Zeitschrift Alumni Readme publiziert.
Cybersecurity Information Security Management System (ISMS)
Adrian Bachmann ist ein erfahrener Security Experte und Risk Manager. Er berät seine Kunden vornehmlich in den Schlüsselbereichen Identity und Access Management (IAM), Authentication, Federation, Risk Management und Internes Kontrollsystem (IKS). Zudem ist er ein ausgewiesener Sicherheitsarchitekt.
Adrian Bachmann, Partner, Geschäftsführer