Herausforderung “Angriffe auf die Systemlandschaft”

Ein Teilaspekt der Informations-Sicherheit ist wie sicher die IT-Systeme innerhalb und außerhalb des Unternehmens betrieben werden. Oder anders formuliert, wie schwer es einem potentiellen Angreifer fällt, solche Systeme zu übernehmen.

Diese Herausforderung wird zunehmend schwieriger, da Komplexität und Infrastruktur-Mix zunehmen.  Digitalisierung führt dazu, dass Systeme immer mehr Aufgaben übernehmen. Gleichzeitig werden diese nicht mehr nur innerhalb des Unternehmens betrieben, sondern auch in der Cloud. Ein Infrastruktur-Mix entsteht, der zunehmend um eine weitere Komponente, die Operative Technologie (OT), ergänzt wird. Dabei fasst OT Automatisierungstechnik, Industrieanlagen aber auch Steuertechnik für das eigene Bürogebäude zusammen.

Für einen sicheren Betrieb der Systemlandschaft ist es notwendig das Gesamtkunstwerk zu verstehen. Welche Systeme stehen mit welchen in Verbindung und welche Auswirkungen ergeben sich daraus?

Für solche Überlegungen ist es hilfreich, sich in die Angreifer-Perspektive hineinzuversetzen. Man verlagert seinen Standpunkt von innen nach außen und stellt sich die Frage: Wie würde ich als Angreifer versuchen in die Infrastruktur einzudringen? Welche Ziele hätte ich dabei? Welche Wege könnte ich  gehen?

Lösungsansatz “Angriffs-Simulation”

Bei der Angriffs-Simulation geht es genau darum, die Perspektive des Angreifers möglichst objektiv einzunehmen. Dabei werden bekannte Angriffsmethoden simuliert und zeigen potentielle Wege in die Infrastruktur auf. 

Der Ansatz der Angriffs-Simulation ist dabei nicht neu. Bereits 2013 hat ENISA (European Union Agency for Network and Information Security) Empfehlungen zum Risiko Assessment und Threat Modeling herausgeben. Ein Rückblick. Die damaligen Empfehlungen für ein nationales Risiko Assessment sind nach wie vor gültig und lassen sich auf Unternehmen herunterbrechen:

1. Es ist notwendig zugrundeliegende Cyber-Bedrohungen und -Risiken (besser) zu verstehen.
2. Es wird empfohlen, Risikobewertung als regelmäßigen Bestandteil in den Lebenszyklus einzubeziehen.
3. Der Informationsaustausch, beispielsweise über die aktuelle Bedrohungslage sowie neue Angriffsmethoden, wird empfohlen.
4. Eine praktische Schritt-für-Schritt Anleitung für die Durchführung von Risikobewertung bzw. ein Szenarien-Katalog sind notwendig.
5. Es wird eine Plattform benötigt, die den Austausch mit Praktikern und Experten zum Thema Cyber-Risikobewertung fördert.
6. Fachwissen muss interdisziplinär mit und aus anderen Bereichen geteilt werden, um ein bestmögliches Gesamtergebnis zu erhalten.

Gerade beim Thema Experten-Wissen unterstützt die Angriffs-Simulation, da aktuelle und neue Forschungsergebnisse permanent in die Angriffs-Simulation einfließen. Hierbei ist auch der Abgleich zu CVE-Datenbanken (Common Vulnerabilities and Exposures) notwendig, in denen neue Angriffs-Methodiken und Schwachstellen veröffentlicht werden.

Ein weiterer Aspekt von Angriffs-Simulation ist die Möglichkeit zur Automatisierung. Wird ein Ansatz implementiert, der die bestehende Systemlandschaft regelmäßigen Angriffs-Simulationen unterzieht, ist eine stets aktuelle Risikoableitung möglich. Aus dieser können tagesaktuelle Risiken abgleitet werden. Es ist jedoch darauf zu achten, dass die Angriffs-Simulation rückwirkungsfrei für den Betrieb stattfindet, um Prozesse und IT-Systeme nicht zu stören.