Resilienz in der Informations-Sicherheit

Aktuelles

Nicht nur Unternehmen, sondern auch deren Informations-Systeme, sind gewissen Bedrohungen ausgesetzt. Nicht zuletzt deshalb, weil heute die wenigstens Unternehmen ohne digitale Prozesse und Systeme arbeiten können, ist Informations-Sicherheit ein Aspekt der Unternehmens-Resilienz. Auch dort helfen uns die Erkenntnisse aus der Resilienz anderer Bereiche.

  • Prävention und aktive Erkennung von Gefahren und Angriffen
  • Definierte Prozesse zur Reaktion auf detektierte Angriffe
  • zielgerichtete strategische Maßnahmen zur Auflösung der Angriffs-Situation
  • Kontinuierlicher Verbesserungs-Prozess inkl. Lessons Learned

Innerhalb der Informations-Sicherheit gehen wir mit den Anforderungen und der unterschiedlichen Komplexität – in der Regel ebenfalls mit einem Management-System bzw. im Schritt davor mit abgestimmten Prozessen – um. Das Risiko-Management des Unternehmens gibt es auch im Hinblick auf die IT, also als IT-Risiko-Management. Der Umgang mit diesem Risiko ist Teil des Informations-Sicherheits-Management-Systems (ISMS), in dem alle Bemühungen um die Informations-Sicherheit mit den Facetten Authentizität, Integrität, Vertraulichkeit und Datenschutz koordiniert werden. Das ISMS ist ein strategisches Mittel. Wir können uns damit unter anderem auf bestimmte Szenarien vorbereiten.

Bezogen auf die Resilienz der IT-Systeme ist das ISMS eine Präventions-Maßnahme, ebenso wie die Prozesse, die daraus entstehen. Es geht darum, einen bestimmten Zustand möglichst zu vermeiden (passiv).

Der nächste, logische Schritt in Richtung der Resilienz ist damit, die Komponente ISMS um eine aktive Maßnahmen zu ergänzen, die dazu in der Lage ist, zu erkennen, dass gerade bereits ein Angriff stattfindet und entsprechend reagiert. Dieser Aufgabe kommt das Security Operation Center (SOC) nach. Das SOC beinhaltet unter anderem die strategische Zuarbeit in Richtung ISMS und sorgt damit für einen dauerhaften Verbesserungs-Grad. Doch es ist vor allem dafür da, Angriffe und Anomalien zu detektieren und darauf zu reagieren.

Quelle: pixabay

Ein Beispiel dafür ist ein Netzwerk-Übergang des Unternehmens vom Internet in die internen Netzwerke. Diesen Netzwerkübergang schützen wir präventiv mit einer Firewall, weil wir nicht möchten, dass unbefugte Zugriff auf unsere internen Systemen erhalten. Die Firewall definiert verschiedene Netzwerk-Bereiche, in denen wir verschiedene Arten von Daten verarbeiten und beispielsweise Client- und Server-Systeme voneinander separieren. Weil die Firewall ausfallen kann, haben wir in der Regel mehr als eine Firewall; am besten noch von unterschiedlichen Herstellern. Die Firewall ist jedoch eine Präventions-Maßnahme, die darauf abzielt, den Angreifer “draußen” zu lassen.
Hat der Angreifer es geschafft, durch die Firewall zu kommen, sucht er sich Systeme, die er als Sprungpunkte nach innen nutzen kann. Auch wenn die Firewall das Eindringen des Angreifers nicht verhindern konnte, geben uns Protokolle ggfs. Aufschluss darüber, welche Wege der Angreifer genutzt hat. Ist er einmal in unserem Netzwerk, sind wir darauf angewiesen, das frühzeitig zu bemerken.

Angriffe lassen sich dadurch erkennen, dass vom Normalzustand abgewichen wird. Datenflüsse in Richtungen fließen, in denen normalerweise keine Daten fließen. Logins ausprobiert werden oder Systeme “plötzlich verrückt” spielen. Wir erkennen Angriffe also an der Wirkung, die sie in unserer Infrastruktur verursachen. Diese Auswirkungen lassen sich durch Anomalieerkennung detektieren. Dabei geht es darum, diese Anomalien möglichst frühzeitig zu erkennen und verfolgen zu können. Die Anomaliedetektion ist vergleichbar mit der menschlichen Haut. Je mehr Sensoren verbaut sind, mindestens an allen neuralgischen Punkten, desto besser funktioniert die Aufklärung, wenn der Angreifer bereits in unserer Netzwerk eingedrungen ist.

In der Informations-Sicherheit sind wir an vielen Stellen in der Prävention tätig und versuchen möglichst viel dafür zu tun, dass dieser Fall gar nicht eintritt. Und das ist auch sinnvoll. Doch es ist eben auch nur die eine Seite der Medaille, denn es besteht grundsätzlich das Risiko, dass dem Angreifer gelingt, unsere Präventions-Schichten zu überlisten. Für diesen Fall haben wir innerhalb des SOC Mechanismen für den Sicherheitsvorfall (Incident Response Management) geschaffen.

Incident Responce: Erkennung

Wir haben darin definiert, wie es zu Meldungen kommt und wie diese Meldungen ausgewertet werden. Die verbauten Sensoren im Netzwerk (“die Haut”) meldet beispielsweise eine Anomalie, der wir nachgehen können. Zu diesem Zeitpunkt ist noch gar nicht klar, ob es sich überhaupt um einen böswilligen Angriff oder um eine intern gewollte, seltene Abweichung vom “Standard” handelt; wir haben also noch keine gesicherten Informationen. Deshalb analysieren wir den Vorfall. Je mehr Informationen wir über den Sachverhalt haben, desto besser können wir auf den Vorfall reagieren. Ist klar, dass es ein Angriff ist und wie der Angreifer eingedrungen ist, welche Wege er genommen hat, können wir den Angreifer ggfs. auch dort detektieren, wo er sich gerade eingenistet hat. Wir versuchen in dieser Zeit alle Wege nachzuvollziehen und dabei gleichzeitig die bestehende Infrastruktur bestmöglich vor weiterer Infektion zu schützen.

Quelle: pixabay

Je gründlicher die Phase der Erkennung trainiert ist, desto besser gelingt sie uns. Eine Facette, die in der Erkennung immer wieder unterschätzt wird, ist die grafische Aufbereitung. Der Mensch neigt dazu in Grafiken zu denken und gerade, wenn die Komplexität der Infrastruktur größer wird, haben wir Schwierigkeiten damit, dem zu folgen. Einfache Mittel wie ein Whiteboard oder eine Software zum Zeichen wie Microsoft Visio oder DrawIO können uns dabei unterstützen, den aktuellen Sachverhalt darzustellen.

Die grafische Aufbereitung kann ebenfalls eine Komponente der dauerhaften Messung der Infrastruktur sein, um Angriffe strategisch bzw. akut zu erkennen. Es gibt beispielsweise Software, die in der Lage ist, aus der aktuellen Infrastruktur einen digitalen Zwilling zu erstellen, Angriffswege abzuleiten und zu visualisieren. Jede Vorbereitung hilft uns im Ernstfall schneller und zielgerichteter zu agieren. Weitere Informationen finden Sie unter Angriffspfade erkennen.

Incident Responce: Ausrottung und Wiederherstellung

Haben wir alle infizierten Systeme aufgespürt, gilt es den Angreifer zu bekämpfen. Wir tun das mit verschiedensten Mitteln, über unterschiedliche Zeiträume. Doch vor allem tun wir es in einem abgestimmten Prozess. Erst wenn die Aufklärung soweit abgeschlossen ist, dass wir uns ein Bild gemacht haben, können wir zielgerichtet reagieren. Bis dahin reagiert die allgemeine Abwehr unserer Infrastruktur grundsätzlich im Rahmen ihrer Möglichkeiten. Der Angreifer ist jedoch ggfs. in der Lage, diese zu überlisten. In der Ausrottung kümmern wir uns deshalb sehr zielgerichtet um unseren Angreifer, nachdem wir dessen Fähigkeiten analysiert haben. Systeme werden jedoch nicht nur verteidigt, in dem man den Angreifer ausrottet, sie werden auch zeitnah wiederherstellt, um den Betrieb aufrecht zu erhalten. Je nachdem, wie gut wir im Bereich Business Continuity Management aufgestellt sind, sind wir nicht nur in der Lage ein System kurzfristig wiederherzustellen, sondern ggfs. auch,einen Datenverlust auszugleichen; beispielsweise durch redundante Systeme. Weitere Informationen finden Sie unter Der Ernstfall will geübt werden.

Incident Responce: Nachbereitung

Haben wir es erfolgreich geschafft, den Angreifer aus unserem Netzwerk zu verbannen, gehen wir umgehend in die Nachbereitung, sichern die Daten, holen ggfs. externe Experten hinzu und gehen vorrangig der Frage nach, wie der Angreifer es geschafft hat, unsere Sicherheits-Maßnahmen zu überwinden. Auch in dieser Phase helfen uns aktuelle Daten und Protokolle, auf die wir bereits in der Detektion angewiesen waren. Aus den Erkenntnissen der Datenanalyse lässt sich häufig schon ableiten, welche Zustände dazu geführt haben, dass der Angreifer in der Lage war, unsere Verteidigungslinien zu unterwandern. Daraus ergeben sich konkrete Maßnahmen, die zeitnah abgearbeitet werden. Es ergeben sich aber auch Maßnahmen, die wir für die Zukunft nutzen können.

Münzen wir die Nachbereitungs-Phase wieder auf die Resilienz unseres Körpers, dann bedeutet es, dass das Wissen um den Angriff und unsere Fähigkeit zur Analyse und Verteidigung in ein langfristiges Abwehr-Gedächtnis fließen, sodass wir zukünftig effektiver auf diese oder ähnliche Situationen reagieren können.

Incident Responce: Vorbereitung

“Nach dem Spiel ist vor dem Spiel” könnte man sagen. Deshalb ist die Vorbereitung streng genommen nicht der letzte, sondern der erste Schritt im Incident Response Management. Es geht darum, dafür zu sorgen, dass Geschehenes nicht wieder passiert und wir gleichzeitig frühzeitiger erkennen, falls doch. Die Vorbereitung mündet also wieder in unseren ISM-Prozess, in dem wir präventiv tätig sind, um die Widerstandsfähigkeit der Systeme nachhaltig zu verbessern.

Für die IT-Administration gibt es den Spruch “ein guter Admin, ist ein fauler Admin”. Er zielt darauf ab, dass man bestimmte Dinge nicht regelmäßig händisch tun sollte, sondern dafür sorgt, dass sie automatisiert und damit dauerhaft in gleichbleibender Qualität nebst Protokollierung stattfinden. Ein Ansatz, der uns auch in der Informations-Sicherheit hilft. Weitere Informationen finden Sie unter Security-Prozesse automatisieren, am Beispiel von Updates.

Was ist Resilienz

Im Übersichts-Artikel Was ist Resilienz erhalten Sie die Einführung in die Resilienz sowie Übersicht darüber, in welchen Bereichen sich die Methode der Resilienz anwenden lässt.

Vorheriger Beitrag
Resilienz des Unternehmens
Nächster Beitrag
Resilienz in Branchen

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien