TalkAbout

Cyber Resilienz – den Fokus erweitern

Von Stefan Fleckenstein

3. März 2021

Cybersecurity wird typischerweise mit dem Schutz von Systemen vor Angriffen in Verbindung gebracht. Schutz ist zwar wichtig, aber es reicht nicht aus, unsere Bemühungen nur auf dieses Ziel zu konzentrieren. Wir können niemals einen vollständigen Schutz unseres Systems erreichen, selbst der Versuch, diesem Ziel nahe zu kommen, würde unendlich viele Ressourcen kosten.

Warum ist das so?

  • Das schwächste Glied zählt. Unsere Systeme sind komplex, wir müssten jede Zeile unseres Quellcodes und jede Konfiguration unserer Infrastruktur überprüfen, sicherstellen, dass jede Sicherheitsmaßnahme zu 100 % getestet ist und alles in Echtzeit auf dem neuesten Stand halten. Das ist nicht realisierbar - der Aufwand würde jeden Business Case ruinieren.
  • Wir können mit unseren Gegnern nicht mithalten. Die technischen Möglichkeiten von Hackern sind vielfältig und mächtig und sie entwickeln sich ständig weiter. Selbst sogenannte "Script-Kiddies" können mit automatisierten Toolsets Systeme auf Schwachstellen scannen und diese ausnutzen. Es gibt einen professionellen Markt für Zero-Day-Exploits (mehr), so dass wir Löcher in unserem System schließen müssten, von denen wir noch nicht einmal wissen.

Dieses Dilemma lässt sich überwinden, wenn wir unsere Betrachtung von Cybersecurity auf Cyber Resilience erweitern. Der Begriff Resilienz wird in verschiedenen Bereichen wie der Psychologie oder dem Ingenieurwesen schon lange verwendet und bedeutet "in der Lage sein, mit katastrophalen Ereignissen fertig zu werden, indem man die Auswirkungen begrenzt und sich schnell erholt". Mit Cyber Resilience streben wir Folgendes an:

  • Sicherstellen, dass der Betrieb wesentlicher Geschäftsprozesse auch im Falle eines erfolgreichen Cyber-Angriffs weiterlaufen kann.
  • Die Unterbrechung durch einen Sicherheitsverstoß minimal halten. Unterbrechungen können Bemühungen zur Bewältigung der Sicherheitsverletzung, finanzielle Verluste oder Vertrauensverluste bei Kunden oder Geschäftspartnern sein.

Um dies zu erreichen, müssen wir unseren Fokus ändern. Anstatt uns allein auf den Schutz unserer Systeme zu konzentrieren, brauchen wir eine Balance aus sieben Disziplinen:

  • Wir identifizieren Faktoren, die die Cybersicherheit beeinflussen, und leiten daraus die Risiken und geeignete Abhilfemaßnahmen ab, um ein widerstandsfähiges System aufzubauen.
  • Wir schützen das System und machen es Angreifern schwer, in das System einzudringen.
  • Das System ist so konzipiert, dass es den Angriff innerhalb definierter Grenzen eindämmt und seine Auswirkungen begrenzt, falls es kompromittiert werden sollte.
  • Die Protokollierung und Überwachung hilft uns, Angriffe und Penetrationen so früh wie möglich zu erkennen, idealerweise durch aktive Benachrichtigung.
  • Die Reaktion auf Sicherheitsvorfälle besteht aus Analyse, Maßnahmen zur Schadensbegrenzung und Kommunikation mit den Beteiligten.
  • Die Planung für eine schnelle Wiederherstellung ermöglicht eine Geschäftskontinuität, z.B. physisch verteilte Standorte und Datensicherungen.
  • Wir sammeln Wissen über Schwachstellen, von Angriffen und Entwicklungen in der Sicherheitsszene, um unsere Sicherheitsmaßnahmen weiterzuentwickeln.

Cyber Resilienz braucht umfassenden Block

Die ersten beiden oben genannten Säulen, Identifikation und Schutz, sind bekannt und es gibt viele Informationen dazu. Um den Wandel von Cybersecurity zu Cyber Resilience deutlicher zu machen, konzentriere ich mich in diesem Artikels auf die fünf weniger bekannten Bereiche

Stoppen Sie Angreifer an der Einbruchsstelle

Angreifer können die kleinste Lücke nutzen, um in ein System einzudringen, z.B. eine kleine Fehlkonfiguration oder ein Zero-Day-Exploit. Oft sind sie nicht nur an dem System interessiert, das sie ursprünglich gehackt haben, sondern nutzen es als Sprungbrett, um Zugang zu anderen Systemen im Netzwerk zu erhalten, wo sie weitere Daten sammeln können.

Es gibt zwei Architekturprinzipien, die uns helfen, das Ausmaß eines Angriffs einzudämmen. Sie können sowohl auf Software als auch auf die Infrastruktur angewendet werden:

  • Defence in Depth: Bauen Sie Systeme wie eine mittelalterliche Burg. Verteidigen Sie es auf verschiedenen Ebenen und mit unterschiedlichen Methoden. Das zwingt einen Angreifer, mehrere Hürden zu überwinden.
  • Least Privilege: Ein modularisiertes System erlaubt es, den einzelnen Komponenten so wenige Berechtigungen wie möglich so zu geben. Geben Sie den Benutzern auch nur die Rechte, die für ihre Rolle unbedingt notwendig sind.

Verletzungen sofort erkennen

Viele Hacks werden erst Tage, Wochen oder sogar Monate nach dem ersten Einbruch eines Angreifers in das System entdeckt. Eine lange Zeit, in der Schaden angerichtet werden kann. Das Konzept "Observability" aus der Devops-Welt hilft, Sicherheitsverletzungen schnell zu erkennen. Es arbeitet mit aussagekräftiger Protokollierung und Überwachung und einem Mechanismus zur genauen Erkennung von Anomalien.

Auf Clients, insbesondere auf mobilen Geräten, können wir Manipulationen gut erkennen, z. B. wenn die Software auf einem gerooteten oder Gerät mit "jailbroken" Software läuft, wenn ein Debugger installiert wurde oder wenn die Software in einem Emulator läuft.

Auch die organisatorische Ebene ist wichtig. Mitarbeiter oder Anwender können von ihnen beobachtete Sicherheitsvorfälle bemerken und melden, wenn sie die entsprechenden Meldewege kennen.

Bereiten Sie Ihre Reaktion auf Cyber-Angriffe vor

Die Reaktion auf Cyber-Attacken ist vor allem ein organisatorisches Thema:

  • Prozesse, wie auf Sicherheitsereignisse reagiert werden kann, müssen vorhanden sein. Im Falle eines Angriffs kommt es auf Schnelligkeit an. Daher sollten Sie geplant haben, wer beispielsweise die Analyse des Ereignisses übernimmt, wer für die Kommunikation mit den relevanten Stakeholdern oder die Behebung des Problems ist, um die Kontrolle über die Situation wiederzuerlangen.
  • Zusätzlich sollten Sie über einen Business-Continuity-Plan verfügen, der Verfahren und Anweisungen enthält, wie die Organisation auf Störungen reagiert; er umfasst Geschäftsprozesse, Vermögenswerte, Personal, Geschäftspartner und mehr.

Haben Sie Ihre Wiederherstellungsmaßnahmen vorbereitet?

Nach einem Angriff ist es oft nicht einfach, alles wieder aufzuräumen. Wenn Systeme oder Daten manipuliert wurden, ist es schwierig und zeitaufwendig, herauszufinden, was verändert wurde und die "Infektion" vollständig zu entfernen. Das Zurücksetzen auf einen sicheren Zustand ist meist die beste Lösung. Dazu benötigen Sie Backups von Systemen und Daten, sowie Backups Ihrer Websites. Verfahren zum Wiederherstellen von Backups und zum Umschalten zwischen Sites müssen gut getestet werden, damit im Fall des Falles alle Vorgänge reibungslos ablaufen.

Verbessern Sie Ihre Maßnahmen, um Schritt zu halten

Cyber Resilienz ist ein nie endender Prozess:

  • Sie ändern Ihre Systeme und müssen neu bewerten, was diese Änderungen für die Sicherheit bedeuten.
  • Die allgemeine Sicherheitslage ändert sich mit neuen Bedrohungen, gegen die Sie sich schützen müssen.
  • Neue Sicherheitslücken in Bibliotheken oder Dienstprogrammen werden bekannt, die Sie aktualisieren müssen.
  • Sie lernen aus Sicherheitsvorfällen oder versuchten Angriffen.

Sie müssen Ihr Wissen und Ihre Sicherheitsmaßnahmen ständig weiterentwickeln, damit Ihre Verteidigungsmaßnahmen immer auf dem neuesten Stand der Bedrohungen sind.

Cyber Resilienz braucht einen umfassenden Ansatz

Cyber Resilience lässt sich nicht allein durch Technik lösen. Nur das enge Zusammenspiel von Maßnahmen auf technischer, organisatorischer und menschlicher Ebene (siehe dieser Blog) kann sicherstellen, dass die Ziele der Cyber Resilience erreicht werden, damit kritische Geschäftsprozesse auch bei erfolgreichen Angriffen weiter funktionieren und die Folgen von Störungen minimiert werden.


Zero-Day-Exploits sind Sicherheitslücken, die nicht öffentlich bekannt sind und von Hackern ausgenutzt werden können, bevor sie von Entwicklern behoben werden können.