Wie viel IT-Security ist genug?

Ende Juli legt eine Cyber-Attacke die IT-Infrastruktur des Haustechnik-Spezialisten Meier Tobler lahm. Vier Arbeitstage lang kann das Unternehmen keine Waren ausliefern. Vom Angriff betroffen sind das zentrale Warenbewirtschaftungssystem, die Festnetztelefonie, die Webseite sowie alle E-Mail-Konten. Meier Tobler rechnet für das Geschäftsjahr 2019 mit einer Umsatzeinbusse von 5 Millionen Franken, sowie Sonderkosten von 1-2 Millionen für die Bewältigung der Attacke.

Meier Tobler hat aufgrund des Schadenfalls seine Schutzmassnahmen deutlich verstärkt. Aber lassen sich solche Angriffe überhaupt verhindern? Welche zusätzlichen Massnahmen und Investitionen lohnen sich? Wie viel IT-Security ist genug?

Das Unternehmen Meier Tobler hat den Vorfall sehr transparent kommuniziert um auch andere Unternehmen zu sensibilisieren. Dafür gebührt den Verantwortlichen Anerkennung. Aber was ist Ende Juli genau passiert? Einen Tag nach einer Hotelbuchung auf einem Online-Portal erhält der entsprechende Mitarbeitende die Bestätigung per E-Mail. Diese scheinbar legitime Nachricht enthält eine gefährliche Ransomware. Der Mitarbeitende hatte keine Chance die gefälschte E-Mail zu erkennen und deshalb ahnungslos den Anhang geöffnet. In der Nacht vom 23. auf den 24. Juli nimmt das Schicksal seinen Lauf.

Dieses Beispiel zeigt, wie professionell Cyber-Kriminelle heute vorgehen. Die Kombination aus unbekannter Malware und einer klugen gezielten Vorgehensweise überwindet letztendlich jegliche technischen Schutzmassnahmen und Awareness-Programme. Und Meier Tobler war längst nicht das einzige Unternehmen, welches diesen Sommer von einer Cyber-Attacke betroffen war, wie MELANI, die Melde- und Analysestelle des Bundes, Ende Juli berichtet.

In diesem Zusammenhang haben wir bei AVANTEC mehrere Anfragen von Kunden erhalten, ob Ihre IT-Security ausreichend sei und welche zusätzliche Massnahmen in diesen Zeiten notwendig sind.

Ich konzentriere mich in diesem Blogartikel primär auf Perimeter-Sicherheit inklusive Sicherheit der Endpoints – wohlweisslich, dass echte Sicherheit nur dann existieren kann, wenn Technik, Organisation und Prozesse erfolgreich und auf gleichem Niveau zusammenspielen.

Der Ausdruck des Perimeters ist in Zeiten von Mobilität und Cloud natürlich langsam überholt, aber Sie verstehen sicher was ich damit meine 🙂

Bei AVANTEC verfolgen wir folgende Philosophie:

1. Mehrschichtiger Schutz: Es ist wichtig Schutzmassnahmen auf allen Stufen am Perimeter einzusetzen – bei der Firewall, auf dem Mail- und Web-Gateway und auf den Endpoints selbst (Clients und Server). Nur so kann sichergestellt werden, dass Angriffe auf jeder Stufe spezifisch und mit genügend Ressourcen analysiert und entdeckt werden können. Auch den User selbst dürfen wir nicht vergessen. Damit meine ich vor allem starke Authentisierung und die Awareness der Benutzer im Umgang mit Informatikmitteln.
2. Einsatz dedizierter Produkte: Ich bin überzeugt davon, dass die verschiedenen Stufen/Bereiche durch eigene dedizierte Produkte abgedeckt werden sollen. Vorteile gegenüber dem UTM-Ansatz sind die höhere Qualität, die bessere Leistungsfähigkeit und Skalierbarkeit der einzelnen Komponenten und der grössere Funktionsumfang.
3. Best-of-Breed: Konsolidierung von Herstellern bringt offensichtlich kommerzielle Vorteile und teilweise Synergien im Betrieb. Häufig sind die einzelnen Produkte jedoch nicht so stark integriert wie es die Datenblätter der Hersteller erhoffen lassen. Zudem halte ich das Argument, dass verschiedene Teilprodukte vom gleichen Hersteller miteinander kommunizieren und damit einen höheren Schutzlevel bieten, für überschätzt. Vielmehr sehe ich in der Verwendung des gleichen Herstellers für verschiedene Lösungsbereiche das grosse Risiko, dass jeweils auf die gleichen Schutzmassnahmen, Signaturen, IOCs und Reputationsdatenbanken zurückgegriffen wird. Mehrere Best-of-Breed Lösungen erhöhen die Robustheit des Gesamtsystems durch die Vielfalt an Schutztechnologien und Security Feeds.
4. Advanced Security ja – aber nicht auf jeder Stufe zwingend: Heute bieten praktisch alle Lösungen zusätzliche Funktionen an, welche die Sicherheit erhöhen, z.B. Sandboxing oder Isolation von potenziell gefährlichen Dateien und Webseiten – dazu später mehr. Ein Ausbau mittels dieser Technologien kann definitiv Sinn machen, muss aber nicht zwingend auf jeder Stufe erfolgen. Hier gilt es, IT-Security gesamthaft zu betrachten und Kosten/Nutzen abzuwägen. Beim Ausbau von Funktionen kann es sich lohnen jeweils bestehende Produkte einer zusätzlichen Best-of-Breed Lösung vorzuziehen – aus kommerziellen und betrieblichen Gründen.
5. User und Applikationen auch ausserhalb des Perimeters schützen: Unternehmen haben weltweit Niederlassungen und mobile User ausserhalb des ursprünglichen Perimeters. Immer häufiger werden auch Applikationen aus der Cloud bezogen oder in der Cloud zur Verfügung gestellt. Eine moderne und gute IT-Security Lösung muss diesen Umständen unbedingt Rechnung tragen und sowohl mobile User als auch Cloud-Applikationen zuverlässig schützen.
6. So viel Prävention wie sinnvoll, Detection für das Restrisiko: Prävention ist immer gut, denn damit können Infektionen und Schäden direkt verhindert werden. Präventive Massnahmen sind jedoch auch eingeschränkt in ihren Möglichkeiten einen Angriff zu erkennen. Nur zu oft müssen sie sich auf bekannte Signaturen und Pattern verlassen. Und irgendwann ist ein zusätzlicher präventiver Schutzlayer aus Kosten/Nutzen-Sicht einfach nicht mehr sinnvoll, da der Mehrwert zu klein. Detection kann durch die Analyse des Verhaltens auf dem Endpoint oder im Netzwerk Anomalien erkennen und im schlechtesten Fall zumindest auf eine Infektion aufmerksam machen. Damit kann ein langfristiger Befall durch Malware verhindert werden.

Die obengenannten Ansätze helfen die Sicherheit am «Perimeter» und auf den Endpoints bestmöglich zu gewährleisten. Aber 100% Sicherheit gibt es nicht. Deshalb ist es wichtig, dass sich Unternehmen auf einen Ernstfall vorbereiten. Unser Blogartikel Ihre Firma wurde angegriffen? Diese 8 Schritte müssen Sie kennen gibt dazu wertvolle Hinweise.

Aber zurück zur IT-Sicherheit und zusätzlichen technischen Massnahmen um sich vor gezielten Attacken, Ransomware und Phishing noch besser zu schützen. Welche Ansätze gibt es, und wann sind diese sinnvoll?

Wenn es darum geht die bestehende IT-Security Landschaft auszubauen um den Schutz-Level entscheidend zu erhöhen gibt es verschiedene Ansätze, auf die ich hier kurz eingehen möchte:

• Sandboxing: Unbekannte Dateien werden in einer Sandbox analysiert und im Detail auf ihr Verhalten bzw. bösartige Aktivitäten geprüft. Sandboxing hat das Potenzial Angriffe zu erkennen, für welche es noch keine Signaturen oder Patterns gibt. Aus unserer Erfahrung steigert bereits die initiale Prüfung von Hashwerten den bestehenden Sicherheitslevel.
  Sandboxing gibt es praktisch zu jedem Gateway-Produkt als Add-on oder als stand-alone Lösung. Cloud Sandboxing ist in der Regel günstiger, kann rasch und einfach in Betrieb genommen werden und schützt alle Benutzer weltweit in Niederlassungen oder mobil unterwegs. Mehr zum Thema Sandboxing finden Sie hier: Im Sandkasten mit den bösen Buben – ein Versuch einer Auslegeordnung zum Thema Sandboxing
• Isolation: Inhalte werden nicht direkt auf dem Rechner, sondern in einer isolierten Umgebung ausgeführt. Dadurch wird verhindert, dass bösartiger Code auf dem produktiven System Schaden verursacht. Was Isolation besonders attraktiv macht: Malware muss nicht erkannt werden, um den Benutzer bzw. dessen Endgerät zuverlässig zu schützen. Isolation gibt es im Netzwerk oder in der Cloud – üblicherweise als Ergänzung zum Web Proxy und damit auch auf sicheres Web-Surfen beschränkt. Spannender verhält es sich mit Isolation auf dem Endpoint. Dabei werden jegliche Inhalte (E-Mail Attachments, Webseiten, Files von Speichermedien) in einer Mikro-VM isoliert ausgeführt. Der Benutzer kann in Prinzip auf alles Klicken – ohne Risiko.
• Privilege Management: Das Schadensausmass vieler Angriffe kann massiv eingeschränkt werden, wenn die infizierten Rechner über keine oder minimale Privilegien verfügen. Privilege Management für Endpoints hat das Ziel, die administrativen Rechte für Clients zu eliminieren bzw. auf das absolute Minimum zu reduzieren. In diesem Sinne ist Privilege Management ein orthogonaler Ansatz, der meines Erachtens mehr zum Schutz beitragen kann, als zusätzliche Massnahmen die auf die Erkennung von Bedrohungen abzielen.
• Detection & Response: Zum einen sind präventive Massnahmen in der Erkennung von Malware eingeschränkt, zum anderen erreicht man irgendwann einen Grenzwert und die Kosten für eine weitere präventive Massnahme sind höher als der zu erwartende Nutzen. Detection kann hier echten Mehrwert schaffen. Letztendlich müssen wir akzeptieren, dass wir nicht alle Bedrohungen erkennen und blockieren können. Umso wichtiger, dass Unternehmen hier eine weitere Verteidigungslinie aufbauen, welche im laufenden Betrieb Infektionen und verdächtiges Verhalten erkennen kann. Zuverlässige Detection & Response Lösungen gibt es sowohl für das Netzwerk (NDR), als auch auf dem Endpoint (EDR). Wo Ressourcen fehlen, können auch Managed Detection & Repsonse Services (MDR) eingekauft werden.
• E-Mail-Authentisierung und Trust-Modelle gegen Phishing: Phishing-Attacken gehören aktuell zu den häufigsten und gefährlichsten Angriffen, insbesondere wenn sie in kleinem Volumen oder sogar sehr zielgerichtet eingesetzt werden. E-Mail Security Lösungen setzen dabei auf E-Mail Authentisierungsverfahren wie DMARC/DKIM/SPF oder die maschinelle Analyse von Vertrauensbeziehungen zwischen E-Mail Sendern und Empfängern. Damit können nicht-autorisierte Sender und Anomalien erkannt werden. Lösungen in diesem Bereich sind noch relativ jung, aber vielversprechend – insbesondere als Ergänzung zu den bestehenden Sicherheitsmassnahmen.

Wie viel IT-Security ist genug? Grundsätzlich werden wir immer wieder aufs Neue belehrt, dass es für diese Fragestellung nach oben keine Grenzen gibt. Aber der Einsatz von IT-Security muss letztendlich auch wirtschaftlich sinnvoll sein und ein Restrisiko bleibt zu akzeptieren. Wie viel IT-Security es braucht, ist abhängig von der Geschäftstätigkeit des Unternehmens, von den kritischen Geschäftsprozessen und Unternehmen-Assets und am Ende auch vom Risikoappetit der Firma. Wichtig scheint mir an dieser Stelle – und das zeigen auch die aktuellen Cyberattacken auf Schweizer Unternehmen – dass die Thematik IT-Security den Weg ins Management findet und strategische Entscheide dort bewusst gefällt werden.

Ich empfehle ganz klar mehrschichtige IT-Security vorwiegend basierend auf Best-of-Breed Produkten. Advanced Security Features sollen gezielt in einzelnen Bereichen eingesetzt werden, um den Schutzlevel des Gesamtsystems entscheidend zu erhöhen. Isolation am Endpoint ist vermutlich der beste Schutz überhaupt. Eine solche Lösung kommt aber zwingend mit etwas mehr Aufwand bei der Einführung und Einbussen beim Benutzerkomfort.

Welche Zusatzmassnahmen für welches Unternehmen Sinn machen ist definitiv Thema für eine spezifische Kundenberatung. Grundsätzlich kann man aber festhalten, dass Detection auf jeden Fall eine gute Ergänzung zu bestehenden präventiven Massnahmen ist. Eine passende Detection-Lösung kombiniert mit einem kompetenten Service-Partner kann zudem eine kostengünstige Alternative zu einem teuren SOC-Service sein.

Bei den ganzen Bewegungen nach Office 365, Azure und AWS dürfen wir das Themengebiet Cloud Security keinesfalls vergessen. Themen wie Visibilität, sicherer Zugriff, gleichwertiger Schutzlevel und Compliance können nur dann erfüllt werden, wenn Sicherheit von Anfang an in der Cloud-Strategie eines Unternehmens berücksichtig wird. Letztendlich bleibt aber auch die traurige Gewissheit, dass bei allen Investitionen in IT-Security ein Ernstfall nicht ausgeschlossen werden kann. Rechnen Sie damit und bereiten Sie sich vor.

www.avantec.ch/themen/advanced-threat-protection/

www.avantec.ch/themen/malware-isolation/

www.avantec.ch/loesungen/vectra/

www.avantec.ch/themen/cloud-security/

www.tec-bite.ch/8-schritte-bei-einem-cyber-angriff/