Wie man Hacker austrickst
Beispiele aus der Praxis
Was Incident Response in der Praxis bedeutet oder auch nicht, zeigte Ljubicics Kollegin Sina Herbert auf, Senior Cyber Security Consultant, bei NTT Security. Herbert bescheinigte Unternehmen ein hohes Sicherheitsbewusstsein. Während Firmen sich früher eine Firewall ins Netzwerk gestellt und sich in Sicherheit gewähnt hätten, überlegten sich IT-Verantwortliche heute, was trotz aller Sicherheitsmassnahmen noch alles passieren könnte.
NTT bietet ,wie einige andere Anbieter auch, einen Threat-Detection-Service an. Dafür analysieren die Spezialisten des Unternehmens selbst Gefahren im Web und kooperieren zusätzlich mit weiteren Sicherheitsorganisationen. So ist NTT Security beispielsweise Mitglied der internationalen Cyber Threat Alliance, ein Verbund verschiedener Netzwerktechnik- und Sicherheitsanbieter.
Der Idealfall
Im ersten von Herbert präsentierten Fallbeispiel entdeckten die Spezialisten bei NTT Security, dass ein Angreifer in das Netzwerk eines Kunden eingedrungen war.
Durch eine Analyse wurde klar, dass eine Malware eine Zero-Day-Lücke ausnutzte und einige Tage vor ihrer Enttarnung via E-Mail in das Netzwerk eingedrungen war und dieses auskundschaftete. Allerdings konnte die Malware, zum Glück für das betroffene Unternehmen, daran gehindert werden, die gesammelten Informationen an den Angreifer zu senden.
Wie man es nicht machen sollte
Für einige Lacher sorgte der zweite Fall. In dem Beispiel zeigte ein britisches Unternehmen, was man bei der IT-Sicherheit alles falsch machen kann, obwohl man es eigentlich richtig machen will.
Bei einer Cyber-Sicherheitsuntersuchung wurden Server-Informationen eines NTT-Kunden entdeckt. Gefunden wurden neben der IP-Adresse und Funktion des Servers auch User Credentials, die dem Kunden eindeutig zugeordnet werden konnten. Nachdem die IT-Abteilung der Firma informiert wurde, zog man dort den Stecker des Servers. Leider gingen durch die Sofortmassnahme auch wertvolle Daten für die forensische Untersuchung verloren. Ausserdem zog viel Zeit ins Land.
Einsamer Schreibtisch, statt Rechenzentrum
Vier Monate nach dem Hinweis durch NTT Security kam das Unternehmen auf die Spezialisten zu mit dem Wunsch nach einer forensischen Untersuchung. Die verstrichene Zeit hatte verschiedene Gründe: Der Vorfall fand in Europa statt, der Hauptsitz der Firma liegt aber in den USA.
Da es keine Entscheidungsträger gab, fühlte sich auch lange niemand zuständig. Ausserdem fehlten standardisierte Prozesse für den Umgang mit Sicherheitsvorfällen.
Als Herbert beim Kunden eintraf, erwartete sie einen Server in einem Rechenzentrum. Stattdessen begrüsste sie ein Server in einem Büro unter einem Schreibtisch. Der ursprünglich Verantwortliche für den Server hatte das Unternehmen zwei Jahr zuvor verlassen.
Tipps für die Vorfallreaktion
Herbert nannte abschliessend Handlungsempfehlungen für eine proaktive Vorfallreaktion:
- Guidelines und Security Playbooks erstellen
- Alle beteiligten Gruppen einbeziehen, etwa Rechts-, HR, und Kommunikationsabteilung
- Feuerwehrübungen durchführen: Sicherheitsvorfälle durchspielen und trainieren, die Ergebnisse auswerten und Lehren daraus ziehen.
Manche Fragen bleiben offen
Im Anschluss an die Referate hatten die Gäste noch zahlreiche Fragen, wodurch sich eine ausführliche Diskussion entspann. Dabei wurden mehrere Dinge klar: Sicherheitsvorfälle müssen trainiert werden. Nur einen Feuerlöscher zu besitzen hilft nicht, man muss ihn auch bedienen können, wie Herberts Kollege Ljubicic verdeutlichte.
Eine weitere Erkenntnis war, dass staatliche Organisationen Unternehmen in Fällen von Cyber-Kriminalität stärker unterstützen sollten. In Ländern mit starken Geheimdiensten sei dies eher der Fall, als in Staaten mit schwächeren Institutionen deutete Ljubicic an.
Eine Kooperation aller europäischer Staaten könne etwa helfen, sich gegenüber grossen Nationen, die teilweise sogar staatliche Hacker beschäftigen, stärker aufzustellen. Vielleicht könnte eine intensivere europäische Zusammenarbeit auch auf juristischer Ebene helfen. Denn Unternehmen können zwar bei IT-Sicherheitsvorfällen Anzeige erstatten und sollten dies auch tun, doch was dann? Hacker sind international unterwegs und oft schwer greifbar.
Am Ende ist Ljubicics Ansatz der Deception vielleicht doch am besten: Tarnen, tricksen und täuschen, um Cyber-Kriminelle zu vergrätzen.