Freitag, 30. September 2016
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Sicherheit: Die Reaktion ist ebenso wichtig wie die Prävention

Mav Turner, Quelle: Solarwinds

Die Angreifer sind derzeit klar im Vorteil. Kaum ein Unternehmen hat noch einen Überblick über die Unmengen an benutzerfreundlichen Tools. Und kaum eines kann mit der Geschwindigkeit mithalten, mit der neue Sicherheitslücken in diese Tools eingebaut werden. Egal, wie gut Sie sich auch absichern, irgendwann wird es zu einem Angriff kommen. Sie können zwar Vieles tun, um das Risiko einer Sicherheitsverletzung zu minimieren, sollten aber immer davon ausgehen, dass es vielleicht schon passiert ist, ohne dass Sie es bemerkt haben. Doch was müssen Sie in diesem Fall tun?

 

Rechenzentren sind besonders interessante Angriffsziele für Hacker, denn dort sind viele verschiedene Systeme an einem Ort vereint. So können Angreifer ganz einfach von einem System zum nächsten übergehen. Glücklicherweise ist die physische Sicherheit von Rechenzentren in der Regel weitaus besser als die der Standardnetzwerke vieler Unternehmen. Betrachtet man jedoch die digitale Sicherheit von Rechenzentren, sieht es schon wesentlich düsterer aus. Deshalb ist es wichtig zu erkennen, dass digitale Umgebungen anders gesichert werden müssen als physische. Sie können nicht einfach den üblichen Perimeterschutz auch auf die Systeme eines Rechenzentrums anwenden.

Geht es aber um die Reaktion auf einen Angriff, dann können Sie vom Schutz physischer Systeme lernen. Bei einem versuchten Angriff werden in der Regel Maßnahmen zur stärkeren Absicherung des Systems, zum Festsetzen des Angreifers und zur Einbeziehung der örtlichen Strafverfolgungsbehörden eingeleitet. Aber greifen diese Maßnahmen auch nach einem entdeckten Cyber-Angriff? Für diesen Fall sollten Sie in erster Linie die technischen Aspekte Ihrer Abwehrmaßnahmen sowie Ihren Kommunikationsplan genau kennen.

Aus technischer Sicht geht es vor allem um die Frage: Setzen Sie den Angreifer außer Gefecht oder überwachen Sie seine Aktivitäten? Beide Ansätze haben ihre Vor- und Nachteile; Ihr Unternehmen sollte aber in jedem Fall bereits vor einem Angriff einen eindeutigen Plan ausarbeiten.

Nehmen wir einmal an, Sie bemerken, dass ein enormer Datenstrom aus Ihrem Rechenzentrum fließt – von einem Server, der eigentlich keine Daten über die Netzwerkgrenzen hinaus senden dürfte. Sie stellen fest, dass auf diesem Server ein nicht autorisierter FTP-Dienst ausgeführt wird. Beenden Sie den Dienst sofort? Wenn ja, können Sie dann noch das volle Ausmaß des Angriffs ermitteln? Wenn Sie unreflektiert davon ausgehen, dass nur diese eine Maschine betroffen ist und Sie nur dort die Schadsoftware entfernen, so hat der Angreifer möglicherweise immer noch Zugriff auf Ihre restliche Infrastruktur. Vielleicht taucht er für eine Weile unter und Sie glauben, die Bedrohung wäre beseitigt. Wenn Sie den Angreifer hingegen überwachen, wie lange tun Sie das und wie halten Sie ihn davon ab, auch andere Systeme anzugreifen?

Das sind grundlegende Fragen, die vor einem Angriff geklärt werden müssen und für die Sie Unterstützer in Ihrem Unternehmen benötigen. Erarbeiten Sie einen soliden Reaktionsplan, der auch dann noch effektiv ist, wenn der Angreifer davon Kenntnis erlangt. Soll heißen, können Sie den Angreifer immer noch erfolgreich abwehren, wenn er Ihren Plan kennt?

Zum Kommunikationsplan: Kennen Sie Ihre vertraglichen Pflichten, nach denen Sie Ihre Kunden bei einem Angriff informieren müssen? Ist es per Gesetz vorgeschrieben, die Strafverfolgungsbehörden einzuschalten? Dies sind Aspekte, die die Folgen eines schwerwiegenden Sicherheitsvorfalls noch verstärken können. Arbeiten Sie daher eng mit Ihrer Rechtsabteilung zusammen, damit Sie Ihre Pflichten gegenüber Ihren Kunden genau kennen und wissen, welche Gesetze Ihr Unternehmen einhalten muss. Oft werden die Strafverfolgungsbehörden nur zögerlich eingeschaltet, weil viele Unternehmen befürchten, dass dies den Geschäftsbetrieb beeinträchtigt. Rechenzentren bergen einen wahren Schatz an digitalen Daten. Deshalb ist ein gutes Verhältnis zu externen Einrichtungen wichtig, um die Daten zu schützen. Wenn Sie bereits im Voraus eine gute Beziehung zu den örtlichen Strafverfolgungsbehörden aufgebaut haben, können Sie nicht nur einfacher auf einen Angriff reagieren, sondern gemeinsam mit ihnen die Sicherheit Ihres Unternehmens verbessern.

Falls Sie aber noch überhaupt keinen Reaktionsplan für den Ernstfall aufgestellt haben, ist die ganze Mühe und Zeit, die Sie in die Prävention investiert haben, vergebens. Denn die Art und Weise, wie Sie auf einen Angriff reagieren, entscheidet über das Ausmaß der Folgen. Mit einem gut strukturierten Reaktionsplan können Sie einen Großteil des Schadens eindämmen. Dieser Plan sollte alle Abteilungen Ihres Unternehmens einbeziehen: Rechtsabteilung, Vertrieb, Marketing, Engineering etc. Sicherheitsvorfälle erzwingen die enge Zusammenarbeit zwischen dem IT-Team und der Geschäftsführung und haben unmittelbare und oft langfristige Auswirkungen auf den Geschäftsbetrieb. In allererster Linie sollten Sie davon ausgehen, dass Ihre gesamte Infrastruktur von dem Angriff betroffen ist, und unter diesen Voraussetzungen agieren.

Ihr Reaktionsplan sollte regelmäßig getestet und aktualisiert werden. Belassen Sie es nicht einfach dabei, nur ein Dokument zu erstellen, das dann in Vergessenheit gerät. Denn dies kann gefährlicher sein, als überhaupt keinen Plan zu erarbeiten. Denn so wähnen Sie sich schnell in falscher Sicherheit. Zudem bremst ein veralteter Plan Ihre Reaktion auf einen Angriff aus, weil bestimmte Ansprechpartner oder Systeme möglicherweise nicht mehr aktuell sind und Sie unter Zeitdruck neue Informationen beschaffen müssen. Führen Sie deshalb vierteljährlich theoretische Übungen durch, um sicherzustellen, dass Ihre Mitarbeiter wissen, wie sie reagieren müssen. So erkennen Sie auch mögliche Schwachstellen Ihres Plans. Im Idealfall sind diese Übungen ein kontinuierlicher Bestandteil Ihres regelmäßigen Änderungsmanagement-Prozesses.

Aber auch wenn Sie Ihren Notfallplan nicht in Ihre übrigen Prozesse integrieren wollen, sollten Sie sich wenigstens einmal im Monat als Team zusammensetzen und ihn kritisch überprüfen. Nur so können Sie immer angemessen auf die sich wandelnden Bedrohungen reagieren.

Investitionen in die Prävention sind notwendig, reichen aber allein nicht aus. Wenn Sie sich nur darauf konzentrieren, Angriffe zu verhindern, dann werden Sie im Ernstfall Schwierigkeiten haben, den Angreifer zu erkennen und angemessen zu reagieren. Die Zeit und Ressourcen, die Sie in die Absicherung Ihrer Umgebung investieren, vermitteln schnell ein trügerisches Sicherheitsgefühl. Wenn Sie aber neben diesen Präventionsmaßnahmen einen klar definierten Reaktionsplan haben, können Sie Ihre Rechenzentren und erfolgsentscheidenden Systeme deutlich besser schützen. Und zusätzlich lassen sich einige Best Practices Ihrer physischen Sicherheitsmaßnahmen auch auf die Abwehr von Angriffen auf die virtuellen Ressourcen anwenden, die auf Ihren physischen Systemen laufen. So profitieren alle Schutzmaßnahmen davon.

Mav Turner

Anmelden
Anmelden