Myst - stock.adobe.com
Mit Managed Detection and Response Cyberangriffen begegnen
Mit Managed Detection and Response können Unternehmen auch ohne eigene Ressourcen auf ausgefeilte Cyberangriffe reagieren. Das zeigt insbesondere die aktuelle Emotet-Malware.
Mitte des Jahres 2019 geht eine Malware-Welle durch Europa, von der auch Deutschland nicht verschont bleibt. Das Angriffswerkzeug Emotet trifft zahlreiche Firmen, darunter auch viele durchaus sicherheitsbewusste Unternehmen. Was den Angriff gefährlich macht, ist jedoch nicht seine Häufigkeit, sondern seine Spezialisierung: Die Infektion geschieht in der Regel per Mail, in der auf tatsächlich stattgefundene Kommunikation mit Dritten Bezug genommen wird, beispielsweise echte Aufträge. Die Angreifer treiben dabei das sogenannte Spear Phishing auf die Spitze, so dass trotz guter Schulungsmaßnahmen und Sicherheitslösungen eine Infektion nicht ausgeschlossen werden kann. Ist der Angriff erfolgreich, verbreitet sich die Malware zunächst unentdeckt im Netzwerk bis ein kritischer Punkt erreicht ist und löst dann erst den Payload aus. Dieser beinhaltet üblicherweise die Erpressung durch Ransomware, aber auch Passwort- und Datendiebstahl. So maximieren die Angreifer ihren Profit.
Um mit dieser Art von Angriff Schritt zu halten, sind zwei Dinge nötig: Erstens Technologie, um den Angriff frühzeitig zu entdecken und darauf zu reagieren. Diese Technologien werden als „Breach Detection“ sowie „Detection & Response“-Lösungen bezeichnet. Die Tools sollen derartige Angriffe erkennen und dabei helfen, Gegenmaßnahmen zu ergreifen. Zweitens benötigen Unternehmen Fachkräfte, die diese Technologie managen und betreiben können. In vielen großen Unternehmen gibt es dafür dedizierte SOCs (Security Operation Center).
Menschliches Wissen und Fähigkeiten unabdingbar
Die Technologie ist dabei nur bis zu einem gewissen Grad in der Lage, Unregelmäßigkeiten zu erkennen und zu behandeln. Darüber hinaus sind menschliches Wissen und Fähigkeiten nötig. Bei einem Emotet-Angriff ist eine der notwendigen Maßnahmen, die betroffenen Segmente zu isolieren und unter Umständen neu aufzusetzen. Da davon in der Regel neben Clients auch Server-Betriebssysteme betroffen sind, müssen spätestens an dieser Stelle Menschen involviert werden. Schließlich kann das Abschalten von Teilbereichen der IT für ein Unternehmen dramatische Folgen haben.
Was also haben diese Mitarbeiter zu tun? Sie müssen schnell reagieren und einschätzen, wie gefährlich die Situation wirklich ist. Zudem müssen sie die Kommunikation im Unternehmen führen und klären, wer, wie involviert sein muss, beispielsweise, um die Informationspflicht des Unternehmens nach EU-DSGVO zu erfüllen.
Diese Personen sind im Idealfall Spezialisten in ihrem Gebiet, die nicht erst im Prozesshandbuch nachlesen müssen, welche weiteren Schritte vorgeschrieben sind. Doch genau darin liegt das Problem: Solche Spezialisten sind rar und teuer. In einer Studie aus dem Jahr 2018 gaben 51 Prozent der befragten IT-Experten an, dass in ihrer Organisation ein Mangel an qualifiziertem Sicherheitspersonal besteht und nicht alle Unternehmen sind willens und fähig, die hierfür benötigten Ressourcen bereitzustellen. Bei vielen Unternehmen stellt die IT-Sicherheit zudem nur einen Teil der Aufgaben des IT-Teams dar. Dieses muss dann einen Großteil der Arbeitszeit für Tagesgeschäft aufwenden, während für Bedrohungsabwehr nur wenig Zeit verbleibt. Speziell der Mittelstand kann diesen Personen damit kaum einen spannenden Arbeitsplatz bieten, selbst wenn das Unternehmen geeignete Fachkräfte fände und gewillt wäre, den Preis zu zahlen.
Hersteller und Systemhäuser reagieren darauf mit dem Angebot von Dienstleistungen. Seitens der Partner wird vor allem Unterstützung beim Aufbau und Betrieb von SOCs angeboten. Die Nachfrage nach diesen Services hat Konjunktur: Gerade mittelständische Betreiber kritischer Infrastrukturen (KRITIS) müssen, angestoßen durch das IT-Sicherheitsgesetz, das Problem des Fachkräftemangels in den Griff kriegen.
Managed Detection and Response
Hersteller von Sicherheitslösungen bieten vor allem Dienste für Managed Detection and Response (MDR) an. Dabei werden die Daten der eigenen Lösungen durch Fachkräfte ausgewertet und über möglichst viele Endpunkte und Netzwerke hinweg korreliert. MDR-Teams verfügen über langjährige Erfahrungen und können jederzeit auf das gesammelte Wissen des Sicherheitsanbieters zurückgreifen.
Im Falle moderner, komplexer Bedrohungen bringt dies einen entscheidenden Vorteil: Durch die Korrelation verschiedener Indikatoren entsteht ein klares Gesamtbild der Bedrohung. Dies ermöglicht schnellere Reaktionen und die Bekämpfung potenzieller Bedrohungen, noch bevor diese Schäden im Unternehmen anrichten können. Dadurch helfen diese Dienste dabei, den Mangel an Sicherheitsfachkräften zu lindern. Zudem ermöglichen MDR-Dienste in der Regel Kosteneinsparungen im Vergleich zum Aufbau eines eigenen Expertenteams.
„Die Technologie ist nur bis zu einem gewissen Grad in der Lage, Unregelmäßigkeiten zu erkennen und zu behandeln. Darüber hinaus sind menschliches Wissen und Fähigkeiten nötig.“
Richard Werner, Trend Micro
Die Leistungsfähigkeit dieser Services verdeutlicht der Fall Emotet: Durch umfassende Analysedaten aus fortschrittlichen Tools können erfahrene Spezialisten eine Infektion frühzeitig erkennen. Dann kann sogar bei ausgefeilter Malware wie Emotet genügend Zeit bleiben, um den Angriff rechtzeitig einzudämmen und den Ausfall von Systemen zu verhindern.
Über den Autor:
Richard Werner ist Business Consultant bei Trend Micro.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
