Wie werden Sicherheitsbedrohungen aufgespürt?

Unternehmen und Behörden sehen sich immer mehr und ausgefeilteren Bedrohungen in Sachen Cybersicherheit ausgesetzt. Angriffe sind längst nicht mehr offen erkennbar und die Angreifer sind relativ gut darin neue Technologien für ihre Zwecke zu adaptieren.

Daher sind Security-Verantwortliche in Unternehmen darauf angewiesen, zeitnah über aktuelle Bedrohungen informiert zu werden. Respektive, dass die im Unternehmen verwendeten Sicherheits-Tools immer auf dem aktuellen Bedrohungsstand sind. Und daher beschäftigen sich weltweit vielerorts Experten mit der Forschung und Analyse im weit gefächerten Bereich der Security-Bedrohungen.

Im Gespräch mit ComputerWeekly.de erläutert Christan Funk die Herausforderungen der Security-Forschung und -Analyse. Christian Funk ist Leiter des Forschungs- und Analyseteams in der Region DACH bei Kaspersky. Seine Spezialgebiete umfassen Malware-Trends, mobile Bedrohungen, IoT-Technologien, Soziale Netzwerke sowie die Beobachtung des Schwarzmarkts im Bereich Online-Gaming.

Welchen typischen Herausforderungen sieht man sich im Bereich Forschung und Analyse von Bedrohungen und Cybersicherheit gegenüber?

Christian Funk: Sowohl Malware als auch Angriffe an sich werden immer komplexer und auch die Anzahl nimmt immer weiter zu. Derzeit sehen wir über 400.000 neue Malware-Samples pro Tag, was die Bewältigung, also die Abwehr und Reaktion darauf, erschwert.

Hinzu kommen zielgerichtete Angriffe, die insbesondere Unternehmen und staatlichen Einrichtungen zu schaffen machen. Die Bedrohungsakteure werden immer besser darin, ihre Angriffe zu verschleiern – beispielsweise durch den Einsatz von Open-Source-Tools wie Admin-Tools.

Die Krux daran: diese Tools lassen selbst bei einem Fund auf Rechnern oder Servern nicht unbedingt auf einen Angriff schließen. Gleichzeitig erschweren diese Open-Source-Tools die Zuschreibung auf bekannte Akteure, da der Code frei verfügbar ist. Nur eine tiefgehende Analyse von Konfiguration, in Verbindung stehende Infrastruktur und Meta-Informationen lassen profunde Schlüsse zu, wer hinter einem Angriff steckt.

In welchen Bereichen sind entsprechende Spezialisten tätig?

Funk: Während es vor zehn Jahren noch möglich war, in mehreren Bereichen tiefgehendes Wissen anzueignen, ist das berufliche Feld heute stärker fragmentiert, da die Komplexität stark gestiegen ist; dementsprechend findet eine starke Spezialisierung in den Nischen statt.

Die klassischen Rollen findet man etwa im Pentesting, in der Threat Intelligence, im Reverse Engineering von Schadsoftware oder bei der forensischen Analyse. Durch eine heterogene Landschaft von Architekturen und Betriebssystemen gewinnen diese Rollen zusätzlich an Vielfalt.

Wie kann man sich die Einstufung oder Priorisierung einer Bedrohung oder eines Bedrohungstypus ab dem Zeitpunkt der Entdeckung bis zur Klassifizierung vorstellen?

Funk: Der Großteil neuer schädlicher Dateien ist Teil einer bereits bekannten Schadsoftwarefamilie. Es handelt sich dabei um neue Versionen mit ergänzten oder geänderten Funktionen oder generellen Verbesserungen.

Hier eine Einstufung vorzunehmen, ist daher eher einfach und schnell erledigt. Bei völlig neuen Schadsoftwarefamilien sieht das dagegen anders aus. Hier ist eine detailliertere Analyse nötig ist, um sich das Wissen um Aufbau, ausgeführte Prozesse und Methodik sowie Absichten zu erarbeiten. Eine möglichst schnelle Erkennung durch unsere Produkte hat hier oberste Priorität, dies geschieht beispielsweise über verhaltensbasierte Erkennung, Signaturen oder Cloud-Informationen.

„Sowohl Malware als auch Angriffe an sich werden immer komplexer und auch die Anzahl nimmt immer weiter zu. Derzeit sehen wir über 400.000 neue Malware-Samples pro Tag.“

Christan Funk, Kaspersky

Bei neuen, interessanten Angriffen laufen bei uns im Hintergrund die Analysen weiter. Denn gerade bei neuen Bedrohungstypen muss das große ganze Bild genau untersucht werden. Das dadurch gewonnene Know-How bringt uns selbst weiter, hilft uns bei zukünftigen Analysen und vor allem bei der Jagd nach weiteren Angriffen, insbesondere zielgerichteter Art, die weitaus schwerer zu erkennen und zudem seltener anzutreffen sind als klassische cyberkriminelle Aktivitäten.

Eine solche Suche erinnert manchmal an die Suche einer Nadel im Heuhaufen: Jedes Quäntchen Information ist hilfreich, um zu wissen, wonach man eigentlich suchen muss und welche Wege zielführend sind.

Welche Fähigkeiten sollten Mitarbeiter im Bereich Forschung und Analyse der Cybersicherheit mitbringen?

Funk: Immerwährender Wissensdurst, Durchhaltevermögen, Detailorientierung, Strukturierung im Arbeitsprozess sowie eine analytische Denkweise sind Grundvoraussetzungen, um im Bereich Cybersicherheit tätig zu sein. Bildlich gesprochen: Man benötigt eine Offenheit, Dinge immerwährend aus verschiedenen Blickwinkeln und Lichtverhältnissen betrachten zu können und wollen.

Insbesondere im Hinblick auf die Unternehmenslandschaft in der DACH-Region: Wie hat das Thema der Kombination IT- und OT-Sicherheit und weitgehende Vernetzung die Herausforderungen und Anforderungen verändert?

Funk: Durch die tiefe Durchdringung von IT und deren Vernetzung in allen Branchen und Abteilungen ergibt sich eine höhere Vielschichtigkeit – zumal unternehmensinterne Portale und Ressourcen nicht nur intern, sondern durch Home-Office vor allem in diesen Zeiten auch von außerhalb erreichbar sein müssen.

Dazu zählen nicht nur für klassische PCs jeglicher Couleur, sondern auch mobile Geräte und deren Betriebssysteme. Durch die starke Aufsplittung im produzierenden Gewerbe durch lange, mitunter internationale, Lieferketten ergibt sich hier eine weitere Multiplikation. Allein die Gewährleistung der Funktion dieser Infrastruktur ist eine Herkulesaufgabe.

Hinzu kommt, dass die Implementierung einen hohen Grad an Sicherheit vorweisen muss. Die kontinuierliche Pflege dieser Systeme bei immerwährend neuen gefunden Schwachstellen und modernerer Authentifizierungsmethoden und -prozessen ist daher eine große Herausforderung.

Zudem darf der Faktor Mensch nicht außer Acht gelassen werden. Mittels Schulungen im Bereich Security und vorbereiteter Notfallprozesse, was im Falle eines Angriffs zu tun ist, müssen sich Unternehmen für den Fall der Fälle rüsten.

Forschung lebt ja auch vom Informationsaustausch und dem Diskurs. Wie kann man sich dies übergreifend im Bereich Cybersicherheit vorstellen und wie findet dies statt?

Funk: Der Diskurs findet insbesondere in sozialen Netzwerken, persönlichen Bekanntschaften, veröffentlichten Analysen und natürlich branchenweiten Konferenzen statt. Grundsätzlich ist es eine recht offene Kultur, in der Wissen gerne geteilt wird; schließlich ziehen wir alle am gleichen Strang: Der Schutz unserer Daten.