Hast du schon mal ein Security Operation Center, oder kurz: SOC, von innen gesehen?
Täglich sitzen und stehen Fachkräfte rund um die Uhr konzentriert vor einer Vielzahl von Bildschirmen und Monitoren und überwachen die Systeme ihrer Kunden. Zunächst keine Spur von Hektik oder gar Alarmstimmung. Doch die Straftaten der Hacker sind echt – und ihre Folgen auch.
Im SOC arbeiten ganz unterschiedliche Personen 365 Tage im Jahr, rund um die Uhr, für eine sicherere Cyberwelt und eine stärkere Cyber-Resilienz ihrer Auftraggebenden. Hier werden mit konzentriertem Blick 24/7 Warnmeldungen kategorisiert und priorisiert, Bedrohungen analysiert und Risiken minimiert, Anomalien erkannt und Cyberangriffe abgewehrt, Präventions- sowie Gegenmaßnahmen eingeleitet – und ab und zu auch einfach mal gequatscht.
Wir haben mit Jochen (Manager Analytics & Response bei der Com-Sys) und Mario (Senior Security Analyst bei der Com-Sys) über Cyberangriffe gesprochen und welche realen Gefahren von ihnen ausgehen.
Warum uns? Wir sind doch klein!
»Viele Unternehmen fühlen sich zu unwichtig, um sich über Threat Detection etc. den Kopf zu zerbrechen. Ist die Sorge vor Cyberangriffen bei kleinen Unternehmen wirklich so unberechtigt?«
CS: Nein, leider nicht. Tatsächlich hört man sehr oft „mir kann das doch nicht passieren“ oder „bei uns ist doch nichts zu holen”. Dabei ist es wichtig, zu verstehen, dass solche Angriffe selten zielgerichtet sind, sondern meistens automatisiert ablaufen. Das kann z.B. durch Bot-Netzwerke gelingen, die automatisiert Netzwerkbereiche durchscannen und versuchen, sich über Schwachstellen von außen in ein anfälliges System einzuklinken. Auch Verschlüsselungen und Datendiebstähle können praktisch automatisiert betrieben werden, ohne dass aktiv entschieden wird: „Bei dieser Firma ist etwas zu holen, die lege ich jetzt lahm”. Unabhängig von der Unternehmensgröße oder Branche sollte also jede Art von Unternehmen auf einen Cyberangriff vorbereitet sein – und seine Schwachstellen kennen.
Wenn beispielsweise die Daten einer kleinen Anwaltskanzlei gestohlen und veröffentlicht werden, gleicht dies natürlich – vorerst unabhängig von der Unternehmensgröße – für alle Beteiligten einer Katastrophe. Wenn zusätzlich, aufgrund begrenzter finanzieller Mittel, das Backup-Konzept nicht funktioniert und alle Daten auf dem Dateiserver (der oft nur eine kleine Synology oder etwas Ähnliches ist) beschädigt sind, kann dies einen erheblichen Reputationsschaden für die Kanzlei bedeuten, von dem sie sich nie wieder richtig erholen wird.
Wovon träumen Hacker? Was ist ihr Ziel, ihre größte Befriedigung?
CS: Die meisten möchten natürlich schnell und viel Geld ergaunern. Kreditkartennummern, Ausweisdaten, Adressen, Sozialversicherungsnummern etc. bringen ihnen dieses Geld im Darknet. Was der Customer, also der Aufkaufende, dann damit macht, lässt sich nur mutmaßen.
Beispielsweise ist es möglich, die auf dem Schwarzmarkt erworbenen Identitäten zur Herstellung gefälschter Ausweise oder das organisierte Bestellen von illegalen Waren zu nutzen. Diese personenbezogenen, allgemeinen Daten sind jedoch noch kein Jackpot für die Cyberkriminellen.
»Interessant. Was wären denn so richtige Jackpot-Daten für einen Hacker?«
CS: Jackpot-Daten sind eher Informationen über eine Firma oder eine Einzelperson, die nicht ans Licht gebracht werden sollten. Informationen über Firmengeheimnisse, Gehaltsdaten, Kunden-Korrespondenzen, Produktionsabläufe oder Patent-Definitionen. Mit diesen Daten können die Täter entweder beim bestohlenen Unternehmen Geld erpressen – oder sie an Konkurrenten verkaufen.
Heiß begehrt sind auch Login-Informationen jeglicher Art. Nehmen wir an, ein Internet-Portal wird gehackt und daraufhin werden die Benutzernamen mit ihren Mail-Adressen und dazugehörigen Passwörtern veröffentlicht. Nun ist die Wahrscheinlichkeit leider recht hoch, dass viele der geleakten User ihre Benutzername-Passwort-Kombination auch auf anderen Webseiten sowie in ihren Mail-Accounts nutzen. Der Super-Jackpot wäre nun, wenn es sich um die Login-Daten von Firmen handelt – da sich der angreifende somit ohne 2-Faktor-Authentifizierung beispielsweise bei Office 365 anmelden und das vollständige System ausspähen, angreifen und belagern kann, während er nicht mal als Eindringling wahrgenommen wird.
Gruselig. Wie findet man denn nun heraus, dass etwas passiert ist und wie genau es passiert ist?
Es gibt nicht DIE eine einfache Lösung. Die Cybersicherheit eines Unternehmens steht und fällt mit der Vorsorge, Planung, Absicherung, dem Monitoring, den Analysen und den daraus abgeleiteten Maßnahmen und Learnings. Genauer gesagt:
- Vorsorge: Mitarbeitende sollten in Security Awareness Workshops sensibilisiert und geschult werden, wie sie Bedrohungen erkennen und mit ihnen umgehen können. Zudem sollte jedes Unternehmen Schwachstellen- und Patchmanagement betreiben.
- Planung: Was will ich überhaupt absichern? Wie sensibel sind welche Daten und wo liegen sie? Wo sind die Herzstücke, die mein Unternehmen abbilden?
- Absicherung: Unternehmen benötigen Admin-Konzepte, Zugriffskontrollen, Netzwerk-Trennungen und die Abschottung bestimmter Bereiche vom Internet. Auch ein guter Spam-Schutz und Erkennungstools für beispielsweise Phishing-Mails gehören zu einem guten Absicherungskonzept.
- Monitoring: Der wichtigste Faktor bei IT-Sicherheitsvorfällen ist die Zeit. Je früher Anomalien oder Systemausfälle auffallen, desto schneller kann reagiert und der Schaden minimiert werden. Zugriffs-Monitoring, ein SIEM-Tool (Security Information and Event Management) mit automatisierter Angriffserkennungen und ein XDR-System sind hier empfehlenswert.
- Analysen: Die Erkennungen aus dem SIEM und XDR müssen zügig analysiert werden, damit schnell eine Reaktion erfolgen kann. Oft sind es nur Minuten, die darüber entscheiden, ob ein System oder ein ganzes Netz lahmgelegt wird.
- Maßnahmen: Was kann ich tun, um den Angriff einzudämmen? Welche Systeme können problemlos isoliert werden, welches System ist von welchem System abhängig, wenn ich alles abschalten muss? Was passiert, wenn ich das Internet trenne?
Letztendlich müssen alle diese genannten Punkte in einem sich wiederholenden Prozess eingegliedert werden, um die IT-Sicherheit kontinuierlich zu verbessern.
»Puh. Gar nicht so einfach, sicher zu arbeiten! Gibt es denn überhaupt die 100%ige Sicherheit vor Cyberangriffen am Arbeitsplatz?«
CS: Ja, wenn man auf die Schreibmaschine umsteigt 😊. Wer ohne Internet, ohne Mails und ohne Speichermedien mit externen Daten arbeitet, könnte sicher sein.
Das ist zwar in bestimmten Bereichen möglich, aber kaum umsetzbar.
Im zweiten Teil unserer Hacker & Helden Insights sprechen wir über weitere Erkennungs- und Abwehr-Technologien und schauen uns den SOC-Alltag mal etwas genauer an!
Coming soon: Hacker & Helden Teil 2: Ein Blick hinter die Kulissen unseres Security Operation Centers!