Der Hacker-Angriff auf den Anbieter Kaseya bzw. dessen Produkt VSA hat hohe Wellen geschlagen. Ursache dafür ist, dass eine Vielzahl an Kunden in verschiedenen Ländern von diesem Angriff betroffen ist. In diesem Artikel wollen wir nicht der Frage nachgehen, wie es dazu kam. Wir wollen darüber nachdenken, welche Erkenntnisse uns dieser Angriff an die Hand gibt, um solche Auswirkungen in Zukunft abzuschwächen oder zu vermeiden.
Grundsätzlich
Informations-Sicherheit und Risiko-Evaluierer wissen, dass es keine 100-prozentige Sicherheit gibt. Passieren kann demnach immer etwas. Es gilt, früh zu identifizieren, welche Gefahren wie wahrscheinlich sind, sodass die Vorbereitung auf Vermeidung der „eher wahrscheinlichen“ Szenarien strategisch fortschreitet. Immer mit dem Ziel vor Augen, dass der GAU nicht eintrifft.
Sicherheit liegt in der Struktur
Um Informations-Sicherheit zu betreiben, haben wir einen großen Blumenstrauß an Möglichkeiten, die uns das jeweilige Endgerät, den Server oder eben das Netz absichern. Solche Sicherheits-Produkte führt man mit bestem Wissen und Gewissen erst ein und dann in den Regelbetrieb. Stets in der Hoffnung bzw. dem Glauben, dass sie ihre Aufgabe im Notfall gut erledigen.
Was jedoch kaum getan wird ist, die Infrastruktur mit all ihren Datenflüssen als „großes Ganzes“ zu betrachten und sich die Frage nach der strukturellen Sicherheit zu stellen.
- Welche Übergänge gibt es und wie gut sind diese geschützt?
- Welche Schnittstellen nach außen gibt es?
- Welche Abhängigkeiten kommen von „außen“ (Kunden, Partner, Cloud-Anbieter) und wie gut sind diese geschützt?
- Wie können etablierte Schnittstellen einem regelmäßigen CheckUp unterzogen werden?
- Wie kann ein Mindestmaß an Sicherheit auf allen Seiten garantiert werden?
- Welche Sicherheitsmaßnahmen greifen, wenn durch die Schnittstellen eine ungewollte Kommunikation etabliert wird?
Diese Fragen erzeugen häufig eine komplexe Antwort und die Komplexität steigt exponentiell zur Größe der Infrastruktur. Bei der Suche nach Antworten ist deshalb ein strukturiertes Vorgehen von Nöten, dass sich einerseits auf die konkreten Fragen konzentriert und andererseits diese lösungsorientiert beantwortet.
Struktur visualisieren
Wir empfehlen an dieser Stelle die Risiko-Evaluierung mit securiCAD als effizientes Mittel der Wahl. Wir stellen in unseren Projekten jedoch immer wieder fest, dass der erste Schritt eben NICHT eine ausgereifte Risiko-Betrachtung und Angriffs-Simulation mit klarem Ergebnis ist. Vernünftig ist, als ersten Schritt eine Visualisierung der Netzwerk-Landschaft vorzunehmen. Und mit Landschaft ist an dieser Stelle sowohl die interne des Kunden als auch alle Anbindungen/Schnittstellen gemeint, sodass ein grobes und großes Bild aller relevanten Akteure entsteht. In diesem Bild lässt sich weder granular über Systeme noch über deren Schutz-Niveau philosophieren. Aber es zeigt deutlich mögliche Einflussgrößen auf.
Häufig wird ein gewählter Ansatz zu granular und zu „weit unten“ in der Betrachtungsebene durchgeführt. Je gröber das Bild, desto gröber auch das evaluierte Risiko. Doch dieses grobe Risiko zeigt schon, über welche Wege Bedrohungen in die Infrastruktur gelangen könnten, welche potenziellen Wege welche Systeme bereithalten und deckt damit häufig auch Wege auf, die in einem granulareren Ansatz gefehlt hätten.
Fazit
Grundsätzlich ist jede Bestrebung für mehr Informations-Sicherheit und Resilienz (Widerstandsfähigkeit) ein guter Weg. Die Betrachtung sollte jedoch nicht zu weit unten ansetzen. Die Vogelperspektive auf die Netzlandschaft schafft neben Überblick auch eine Betrachtungsebene, die aufzeigt, welche Abhängigkeiten es von und nach außen in der Kommunikation gibt und eröffnet eine ganzheitliche Perspektive. Eine anschließende Risikoevaluierung schafft Gewissheit, die tatsächlich wichtigsten Einflussgrößen als potenzielle Gefahr identifiziert zu haben. So entsteht eine Sicherheits-Strategie die langfristig trägt.