Sicherheitssysteme schlagen täglich hundertfach Alarm. Doch nicht immer bedeutet ein Alarm auch, dass eine tatsächliche Bedrohung vorliegt. IT-Entscheider müssen in solchen Fällen in der Lage sein, Ernstfälle von sogenannten False Positives unterscheiden zu können.
Angesichts einer wahren Flut an Warnmeldungen hilft ein neuer Ansatz dabei, der Alarmflut Herr zu werden und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Vor Jahren begannen Sicherheitsexperten weltweit damit, die Effektivität der von ihnen genutzten Sicherheitstechnologien messbar machen zu vollen. Diese Überlegung hat dazu geführt, entsprechende Tools an der Zahl der von ihnen erkannten Bedrohungen zu messen. Je öfter eine Technologie Alarm schlägt, desto besser scheint sie zu arbeiten.
Nicht hinter jedem Systemalarm muss ein Cyberangriff stecken. Foto: Andrea Danti - shutterstock.com
In der Realität bedeutet eine möglichst große Zahl von Warnmeldungen jedoch keineswegs mehr Sicherheit - im Gegenteil: Der Trend, immer mehr Warnmeldungen als Zeichen gut funktionierender Sicherheitssysteme zu betrachten, hat dazu geführt, dass CIOs heute vor einer nur schwer zu überblickenden Flut dieser Meldungen stehen. Zeitnahe Reaktion auf kritische Sicherheitsverletzungen sind so kaum möglich.
False Positives trüben den Blick für ernste Bedrohungen
Die überwältigende Mehrheit der von heutigen Sicherheitstechnologien erzeugten Meldungen sind False Positives - also Fehlalarme. Dennoch müssen sich Sicherheitsverantwortlich mit jeder einzelnen Warnmeldung manuell befassen, um ihrem Ursprung auf den Grund zu gehen. Bei gleichzeitigen personellen Engpässen, die in vielen IT-Abteilungen und Sicherheitsteams herrscht, ergibt sich daraus ein Dilemma mit schwerwiegenden Folgen für den Arbeitsalltag der Verantwortlichen für die Cybersicherheit eines Unternehmens.
In vielen Fällen hat sich schnell eine Art "Alarmmüdigkeit" eingestellt. Bei der großen Zahl von Meldungen geht der Blick für die wirklich wichtigen unter ihnen verloren und kritische Zwischenfälle werden nicht oder viel zu spät bemerkt. Zudem bedeuten mehr Meldungen, dass weniger Zeit bleibt, um jeden Vorfall genau zu untersuchen.
Durch die größere Gefahr, entscheidende Meldungen zu übersehen oder zu lange warten lassen zu müssen, wächst auch die Gefahr enormer Kosten durch Sicherheitsverletzungen. Wird ein erfolgreich auf das eigene Netzwerk durchgeführter Angriff nicht oder zu spät bemerkt, räumt dies den Angreifern Zeit ein, sich unbemerkt im Unternehmensnetzwerk zu bewegen, Daten zu stehlen und großen wirtschaftlichen Schaden anzurichten. Laut dem diesjährigen M-Trends-Report von Mandiant vergehen zwischen einer Sicherheitsverletzung und ihrer Feststellung durchschnittlich 205 Tage, in denen Angreifer unbemerkt ihre Ziele verfolgen und Informationen sammeln können.
CIOs aufgepasst: Fünf Tipps zu Cybersecurity-Versicherungen
Versicherung gegen Hacker? Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten.
1. Kronjuwelen schützen Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern.
2. Marktunterschiede Europa / USA: Marktunterschiede Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet.
03. Auf den Wortlaut achten Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist.
4. Schaden trotz Versicherung? Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt.
5. Raum für Verbesserungen Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.
Zeitnahe Reaktion wird unmöglich
Moderne Sicherheitstechnologien sind nach wie vor auf die Expertise und Detailanalyse von Experten angewiesen, die sich mit den automatisch generierten Warnmeldungen beschäftigen. Dennoch können selbst große Sicherheitsabteilungen das hohe Tempo der hereinkommenden Meldungen kaum halten. Eine von IDC 2014 durchgeführte Studie zu diesem Thema hat gezeigt, dass in 37 Prozent der Unternehmen weltweit je mehr als 10.000 Warnmeldungen pro Monat von den eingesetzten Sicherheitssystemen erzeugt werden. Besonders in Deutschland hält der Trend laut Studie an: Innerhalb von zwei Jahren war die Anzahl der Warnmeldungen um 53 Prozent gestiegen.
Das zeitnahe Entdecken von Sicherheitsverletzungen ist von großer Wichtigkeit für den Schutz vor Cyberangriffen. Wenn in Zukunft jedoch nicht ganze Armadas von Sicherheitsexperten tagaus tagein mit der Bearbeitung von Warnmeldungsfluten mit hoher Fehlerquote beschäftigt sein sollen, so muss die Zahl der Meldungen sinken. Zeitnahe Reaktion wird andernfalls unmöglich und weicht einer Suche nach der Nadel im Heuhaufen.
Letztlich zählt die Zuverlässigkeit
Immer mehr Unternehmen - auch in Deutschland - werden von Cyberkriminellen angegriffen. Dadurch entstehen Schäden in Milliardenhöhe und auch die Reputation eines Unternehmens wird langfristig in Mitleidenschaft gezogen, wenn ein erfolgreicher Angriff auf das Firmennetzwerk bekannt wird. CIOs sind gefordert, neue Ansätze auszuprobieren, um die gezielten Angriffe zu erkennen und Sicherheitsrisiken zu verringern.
So bekämpfen Sie DDoS-Attacken wirksam
Schützen Sie Ihr Unternehmen gegen DDoS-Attacken Die Frequenz und der Umfang von DDoS-Attacken nehmen täglich zu. Aufgrund der steigenden Popularität dieser Angriffe sollten Unternehmen frühzeitig Abwehrmaßnahmen in Stellung bringen. Denn schlechte Netzwerkperformance sowie Ausfälle der Website und der Applikationen verursachen nicht nur hohe Kosten, sondern auch einen nicht zu unterschätzenden Reputationsverlust. Die gute Nachricht: Es gibt Maßnahmen, um den negativen Effekt zu minimieren. Markus Härtner, Senior Director Sales bei <a href="https://f5.com/">F5 Networks</a> gibt Ihnen zehn Tipps zur Hand, wie Sie die Auswirkungen einer Attacke auf Ihr Unternehmen gering halten.
1. Angriff verifizieren Zunächst gilt es, Gründe wie DNS-Fehlkonfiguration, Probleme beim Upstream-Routing oder menschliches Versagen definitiv auszuschließen.
2. Teamleiter informieren Die für Betriebsabläufe und Applikationen zuständigen Teamleiter müssen die angegriffenen Bereiche identifizieren und die Attacke "offiziell" bestätigen. Dabei ist es wichtig, dass sich alle Beteiligten einig sind und kein Bereich übersehen wird.
3. Ressourcen bündeln Ist ein Unternehmen einer massiven DDoS-Attacke ausgesetzt, müssen zügig die wichtigsten Anwendungen bestimmt und am Laufen gehalten werden. Bei begrenzten Ressourcen sollten sich Unternehmen auf die Applikationen konzentrieren, die den meisten Umsatz generieren.
4. Remote-User schützen Durch Whitelisting der IP-Adressen von berechtigten Nutzern haben diese weiterhin Zugriff auf die Systeme, und die Geschäftskontinuität wird aufrechterhalten. Diese Liste sollte im Netzwerk und gegebenenfalls an den Service Provider weitergereicht werden.
5. Attacke klassifizieren Um welche Art von Angriff handelt es sich? Volumetrisch oder langsam und unauffällig? Ein Service Provider informiert seinen Kunden gewöhnlich, wenn es sich um eine volumetrische Attacke handelt, und hat dann bestenfalls schon Gegenmaßnahmen eingeleitet.
6. Bestimmte IP-Adressenbereiche blockieren Bei komplexen Angriffen kann es sein, dass der Service Provider die Quellenanzahl nicht bestimmen und die Attacke nicht abwehren kann. Dann empfiehlt es sich, identifizierte IP-Adressen von Angreifern direkt an der Firewall zu blockieren. Größere Angriffe lassen sich per Geolocation – dem Verbot des Zugriffs auf die Unternehmensserver aus bestimmten Regionen – bekämpfen.
7. Angriffe auf Applikationslayer abwehren Zunächst gilt es, den bösartigen Traffic zu identifizieren und festzustellen, ob dieser von einem bekannten Angriffstool stammt. Spezifische Attacken auf Applikationsebene lassen sich auf Fall-zu-Fall-Basis mit gezielten Gegenmaßnahmen abwehren – dazu sind möglicherweise die schon vorhandenen Security-Lösungen in der Lage.
8. Sicherheitsperimeter richtig einsetzen Sollte es immer noch Probleme geben, liegt das potenziell an einer asymmetrischen Layer-7-DDoS-Flut. In diesem Fall ist es sinnvoll, sich auf die Verteidigung der Applikationen zu konzentrieren, und zwar mittels Login-Walls, Human Detection und Real Browser Enforcement.
9. Ressourcen einschränken Sollten sich alle vorherigen Schritte als unwirksam herausstellen, ist die Begrenzung von Ressourcen, wie die Übertragungsrate und die Verbindungskapazitäten, eine letzte – radikale – Möglichkeit. Eine solche Maßnahme hält den schlechten, aber auch den guten Traffic ab. Stattdessen können Applikationen auch deaktiviert oder in den Blackhole-Modus geschaltet werden – dann läuft der Angriff ins Leere.
10. Kommunikation planen Gelangen Informationen über den Angriff an die Öffentlichkeit, sollten die Mitarbeiter informiert und eine offizielle Stellungnahme vorbereitet werden. Sofern es die Unternehmensrichtlinien erlauben, empfiehlt es sich, die Attacke zuzugeben. Andernfalls können „technische Probleme“ kommuniziert werden. Mitarbeiter sollten auf jeden Fall die Anweisung bekommen, sämtliche Anfragen an die PR-Abteilung weiterzuleiten.
Warnmeldungen sind und bleiben ein elementarer Bestandteil der Cybersicherheit. Doch sie müssen ein zuverlässiger Teil sein, um effektiven Schutz zu ermöglichen. Um die Zuverlässigkeit von Technologien verlässlich einzuschätzen und Tools zu bewerten, sollten sich Sicherheitsverantwortliche Zeit nehmen und einen genaueren Blick auf die erzeugten Warnmeldungen werfen. Am Ende des Tages entscheidet nicht, wie viele Meldungen generiert wurden, sondern ob die Angriffe erkannt und eingedämmt werden konnten, die eine Gefahr für die Geschäftigkeit des Unternehmens darstellen. (bw)