peterzayda - stock.adobe.com
Hacken offensiv trainieren und defensiv nutzen
Abwehrstrategien sind dann wirksam, wenn man Bedrohungen und Angreifer realistisch einschätzen kann. Da kann es sinnvoll sein, die eigenen Mitarbeiter als gute Hacker auszubilden.
Der Bedarf an IT-Sicherheit wächst mit dem Grad der Digitalisierung. Eine Situation, die viele Unternehmen vor Herausforderungen stellt. Denn Hacker bleiben nicht stehen: Sie bilden sich ständig fort – und sie forschen: an neuen Mitteln und Wegen, in digitale Infrastrukturen einzudringen. Ob die unternehmensintern eingerichteten IT-Sicherheitsmaßnahmen im Ernstfall wirklich erfolgreich wären, lässt sich im Tagesgeschäft nur schwer verifizieren.
Penetrationstests sind zwar eine Alternative, um Lücken in Systemen zu identifizieren, sind aber in der Regel kostspielig und müssen zu konkreten Zeitpunkten geplant werden. Gleichzeitig bieten sie wenig Mehrwert in puncto Fortbildung von eigenen Mitarbeitern sowie dem internen Wissensaufbau.
Gute Hacker (bisweilen auch White Hat Hacker genannt), die die Systeme vor bösen Hackern schützen, sind inzwischen aber bedeutende und für viele Unternehmen strategisch notwendige Positionen. Sie greifen ausschließlich hypothetisch an – und decken so Sicherheitslücken auf.
Die Tricks der Bösen lernen
Wenn ein Unternehmen die Sicherheit seiner Anwendungen, Plattformen und Projekte selbst testen möchte, muss es natürlich möglichst realitätsnah vorgehen. Schon der chinesische Militärstratege Sunzi schrieb in „Die Kunst des Krieges“: „Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten.“
Dieses Zitat wird in der IT-Sicherheit oft und gerne wiedergegeben und hat auch nach über 2.500 Jahren Gültigkeit: Wenn wir unsere eigene Infrastruktur kennen und einschätzen können, wie Angreifer wahrscheinlich vorgehen werden, können wir reagieren, planen und uns auf mögliche Angriffe wirklich vorbereiten. Wenn wir hingegen davon ausgehen, dass das Thema IT-Sicherheit uns nicht tangiert, wird uns das früher oder später teuer zu stehen kommen.
Um die unternehmenseigene Cybersicherheit zu prüfen und zu verbessern, ist also neben dem Wissen über die eigene IT auch das Wissen über mögliche Angreifer wichtig. Auch die Qualität der Bewertung von geplanten und durchgeführten Maßnahmen steigt mit dem konkreten Wissen über mögliche Angriffe.
Mitarbeiter in verschiedenen Umgebungen Angriffe üben lassen
Der Schlüssel zum Erfahrungs- und Wissensaufbau im Bereich Cybersecurity ist die Möglichkeit, sich in der Praxis die Rolle eines Angreifers hineinzuversetzen. In der IT ist der beste Weg hierzu, den eigenen Mitarbeitern in verschiedenen Umgebungen und Zeit zur Verfügung zu stellen, um sowohl mit manuellen als auch automatisierten Tools Scanner, Netzwerke, Software und Infrastruktur anzugreifen. Dabei gibt es grundsätzlich drei Sorten von Umgebungen: Simulierte, Test- oder Produktivumgebungen.
Simulierte Umgebungen haben keinen direkten Projektbezug, sondern stellen ein System bereit, das eine möglichst breite Angriffsfläche bietet und häufig noch über zahlreiche existierende Sicherheitslücken verfügt. Ein bekanntes Beispiel ist der OWASP Juice Shop, ein Webshop, der eine Reihe von Sicherheitslücken enthält, die es zu finden gilt. Es gibt diverse spezialisierte Versionen für Web-Applikationen, Linux Umgebungen, etc.
Testumgebungen sind Staging-Systeme der aktuellen Projekte. Hier können Mitarbeiter direkt am aktuellen Projekt testen und echte Sicherheitslücken finden. Ein solcher Test kann destruktiv sein, es werden also unter Umständen die Datenintegrität sowie die Stabilität der Systeme gefährdet.
Produktivumgebungen sind eine weitere Möglichkeit zur Durchführung von Sicherheitstests. Die destruktive Natur solcher Tests ist aber ein hohes Risiko für Produktivumgebungen, es sollten also mögliche Sicherheitslücken im Vorfeld validiert werden. Produktivumgebungen zum Lernen oder Testen sind nicht empfehlenswert.
Vermitteln von praktischem Wissen über Cybersicherheit
Um selbst Penetrationstests durchzuführen, ist es nötig, bei den eigenen Mitarbeitern vorab ein gewisses Grundwissen aufzubauen. Organisatorisch gibt es hier verschiedenste Möglichkeiten: von Personengruppen, denen explizit Zeit eingeräumt wird, über Hackathon-ähnliche Zeitabschnitte bis hin zu einzelnen Mitarbeitern, die sich aufgrund von Eigeninteresse mit diesen Themen auseinandersetzen.
Wenn kein ausreichendes Wissen im Unternehmen vorhanden ist, lohnt es sich auf externe Trainings, wie zum Beispiel OWASP-Top-10-Trainings zurückzugreifen, um einen Ausgangspunkt für Mitarbeiter zu schaffen. Danach müssen Ressourcen in Form von Zeit und Testsystemen zur Verfügung gestellt werden, um die Motivation mitzunehmen und zu fördern. Eine kleine Gruppe von Mitarbeitern hat so die Möglichkeit, einen großen Impact zu erreichen und weiteres Wissen sowohl zu erarbeiten als auch ins Unternehmen zu tragen.
Erfahrungen zur Verbesserung der Sicherheit nutzen
Die Erfahrungen der Kolleginnen und Kollegen beim Lernen an simulierten- und Test-Umgebungen können ein direkter Input für Teams sein, sowohl in Form von konkreten Handlungsempfehlungen, die sich aus möglichen Schwachstellen ergeben als auch in Form von Wissen über Best Practices, welches in Institutionen wie täglichen Besprechungen, Communities of Practices und Reviews getragen werden kann.
„Die Hauptmotivation, die das Hands-On-Hacking den eigenen Mitarbeitern gibt, ist maßgeblich durch Erfolg und Feedback bestimmt, der geteilt werden kann.“
Bastian Ike, AOE
Der Bezug von einer simulierten Umgebung hin zum echten Projekt ist nur begrenzt machbar. Die simulierten Umgebungen helfen in der Regel beim Wissensaufbau, woraufhin in konkreten Projekten nach genau diesen Schwachstellen gesucht werden kann.
Hands-On-Hacking-Übungen bringen mehr Motivation als nur der reine Austausch
Die Hauptmotivation, die das Hands-On-Hacking den eigenen Mitarbeitern gibt, ist maßgeblich durch Erfolg und Feedback bestimmt, der geteilt werden kann.
Eine reine IT-Sicherheitsschulung einmal im Jahr für 4 Stunden wird oft eher als lästig empfunden und bietet wenig Ansatzpunkte, die unternehmensinterne Sicherheit wirklich zu verbessern. Schulungen werden oft durch bestimmte Richtlinien und Zertifizierungen vorausgesetzt, bieten aber in der Form nur maximal das Erfüllen der Sorgfaltspflicht. Ziel sollte es sein, Räume zu schaffen, in denen IT-Sicherheitswissen aktiv entwickelt und angewendet werden kann, damit ein Mehrwert erzeugt wird und Unternehmen sich künftig potenziellen Risiken besser entgegenstellen können.
Fazit
Jeder, der seine IT-Infrastruktur schützen will, muss sowohl die Schwachstellen vor Ort als auch die potenziellen Angreifer kennen. Abwehrstrategien können deshalb nur dann wirksam sein, wenn man die Bedrohungen realistisch einschätzen kann und die Methoden und Vorgehensweisen der Angreifer kennt.
Eine gute Möglichkeit ist, eigene Mitarbeiter als „gute“ Hacker an der eigenen Anwendung oder dem eigenen System auszubilden. Gerade in Teams macht das legale Hacken viel Spaß und weckt schnell sportlichen Ehrgeiz. Ziel dabei ist, die Messlatte so hochzulegen, dass Angriffe unökonomisch werden, weil Kriminelle zu viel Geld einsetzen müssten, um die Sicherheitsbarrieren zu überwinden.
Über den Autor:
Bastian Ike ist Technical Director of Cyber Security bei AOE. Er ist federführend beteiligt an der Konzeption, Entwicklung und Sicherheitsarchitektur von Enterprise-Projekten wie zum Beispiel für den London Heathrow Airport, und die Deutsche Telekom, sowie der AOE Marktplatzlösung OM³.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
