Bei «Tatort» oder anderen Fernsehkrimis geht es immer um die Aufklärung von Straftaten wie Mord, Einbruch oder Erpressung. Dies ist in unserem Cyber Defence Center nicht viel anders. Allerdings geht es dabei weniger um Mord, aber Einbruch und Erpressung sind leider auch hier an der Tagesordnung. Doch was der Fernsehkommissar meistens in eineinhalb Stunden aufdeckt, ist in der Wirklichkeit oft ein langer, aufreibender Prozess, der viel Geduld und Achtsamkeit erfordert. Wie klären unsere Analysten und Forensiker einen Cyberangriff auf? Genau das erfahren Sie in diesem Blogartikel.
Incident Response beginnt bei der Spurensicherung
Zunächst ist der Tatort der Ausgangspunkt für die detaillierte Analyse einer Cyberattacke und gleichzeitig der Startpunkt für die Incident Response. Hier stellt sich zunächst die Frage: Ist der Täter noch im Netzwerk des Kunden? Allenfalls muss auch schon erste Hilfe geleistet werden, damit nicht noch grösserer Schaden entstehen kann. Erst dann kommt die Spurensicherung. Nichts darf vorher verändert oder ohne «Handschuhe» angefasst werden. Der Tatort wird dabei grossräumig abgeriegelt. Alle möglichen Zugänge, Systeme oder «Fluchtwege» werden untersucht – vielleicht hat sich der Täter ja in der Nähe versteckt.
Bei der ersten Analyse geht es primär darum abzuklären, ob es tatsächlich ein gezielter Cyberangriff war oder allenfalls eine eher harmlose Attacke. So ist beispielsweise eine kaputte Glasscheibe nicht zwangsläufig ein Hinweis auf einen Einbruch. Es könnte ja auch einfach ein Missgeschick von spielenden Kindern sein. Genauso verhält es sich auch in der Cyberwelt. Ein gelöschtes Logfile ist nicht immer von einem Angreifer, der seine Spuren verwischen wollte. Womöglich hat einfach ein Systemadministrator das File (un)absichtlich gelöscht.
Cyber-Analysten – die Kommissare der Cyber Defence
Wenn es sich dann wirklich um eine Cyberattacke handelt geht es darum, den Sicherheitsvorfall so schnell wie möglich zu analysieren und keine voreiligen Aktionen zu tätigen. Hier kommen unsere Cyber-Analysten zum Einsatz. Sie suchen Spuren, Indizien und digitale «Fingerabdrücke». Dabei wird wie in einem Mordfall versucht, den Tathergang zu rekonstruieren: Wer könnte der Täter sein? Wie ging er vor? Ist der an die sensiblen Daten – die Kronjuwelen Ihres Unternehmens – gekommen? Was waren die Werkzeuge, also im übertragenen Sinn die Tatwaffen? (Denn daraus lassen sich die Fähigkeiten des Angreifers ableiten.) Und vor allem, wurde bereits etwas gestohlen, verändert oder gar zerstört? Hoffentlich nicht! Denn die eingesetzten Detektionslösungen sollten den Angriff schliesslich rechtzeitig erkannt haben.
Aus all diesen Informationen erstellen die Cyber-Analysten ein Täterprofil:
- Kannte der Täter das Opfer?
- Kannte der Angreifer den «Tatort» resp. handelt es sich somit um einen Insider?
- Hat er das Ziel bewusst gewählt?
- Steht die Tat im Zusammenhang mit anderen Vorkommnissen wie Geschäftsaktivitäten, aktuellen Projekten, politischen oder juristischen Streitigkeiten?
- Handelt es sich um einen Wiederholungstäter?
- Und so weiter…
Alle diese Fakten helfen dabei festzustellen, ob es sich bei dem Gesuchten um einen schon bekannten Angreifer handelt oder nicht. Oder zumindest lässt sich daraus abschätzen, mit welcher Art von Angreifer wir es zu tun haben und welche weiteren Angriffsschritte zu erwarten sind.
Danach geht es darum zu eruieren, wo der Angriff stattgefunden hat und wie der Weg des Hackers im Unternehmensnetzwerk war. Anhand dieser Angaben versuchen unsere Analysten im Cyber Defence Center herauszufinden, was das Ziel der Cyberattacke sein könnte. Deshalb ist es wichtig, dass bekannt ist, welches die Kronjuwelen des Unternehmens sind – denn darauf haben es die meisten Angreifer abgesehen. Glücklicherweise machen auch professionelle Angreifer irgendwann einen Fehler und hinterlassen Spuren. Diese noch so kleinen Hinweise helfen nun den Cyber Defence-Spezialisten bei der «Festnahme» des Täters.
Warnsensoren zur Erkennung von Hackeraktivitäten
Hierbei geht es nicht um Handschellen und Gefängniszellen – auch wenn ein Cyberangriff dies durchaus rechtfertigen würde. Nein, vielmehr geht es darum, den Angreifer auf frischer Tat zu ertappen. Da die meisten Angriffe über eine längere Zeit ablaufen (und sich der Angreifer dabei ruhig verhält), geht es nun darum, den Täter im Glauben zu lassen, dass er noch nicht erkannt wurde. Da wir anhand der Analyse das effektive Ziel des Angriffs kennen – Sie erinnern sich an die Kronjuwelen –, können wir nun abschätzen, wie sich der Angreifer im nächsten Schritt weiterbewegen würde. Bingo! Unsere Cyber-Experten können nun dort, wo Ihre Kronjuwelen liegen, zusätzliche Sensoren einbauen. Diese lösen dann in unserem Cyber Defence Center einen Alarm aus, wenn sich der Angreifer dort «vorbeibewegt». Allenfalls werden auch Honey-Tokens als Fallen aufgestellt, um das vermeintliche Ziel vorzutäuschen.
Das endgültige Ziel ist es, den Angreifer aus dem Unternehmen zu verbannen und ihn so lange wie möglich draussen zu halten – denn eines ist klar: Hat ein Angreifer sein Ziel nicht erreicht, kommt er meistens mit noch besseren Methoden zurück.
Wie lange die Auflösung einer Cyberattacke dauert, hängt also – wie Sie oben lesen konnten – von vielen Dingen ab. Sicher ist, dass unsere Cyber-Analysten immer äusserst genau arbeiten müssen, damit erstens keine Spuren übersehen oder vernichtet werden und zweitens der Angreifer nicht erkennt, dass wir ihm auf der Spur sind. Das könnte sein Verhalten verändern und damit die Untersuchung erschweren. Deshalb sind Incident Response und digitale Forensik keine Tätigkeiten, die man schnell nebenbei machen kann. Dazu braucht es Experten wie unsere Analysten im Cyber Defence Center, die sich voll und ganz dieser wichtigen Aufgabe widmen.
Wenn Sie bei einem Sicherheitsvorfall auch von diesem Know-how und unserem CSIRT profitieren wollen, dann schauen Sich doch unseren Incident Response Service näher an.
Incident Response ist mehr als Spurensuche und Festnahme des Täters
Beim Incident Response geht es aber nicht nur darum, den Angreifer zu fassen. Am Ende des Tages müssen die betroffenen Systeme bereinigt und der ordentliche Betrieb wiederhergestellt werden. Damit ist es aber nicht getan. Ein wichtiger und aus unseren Augen unerlässlicher Punkt ist die Optimierung der Cyber Security. Die gewonnenen Erkenntnisse aus dem Sicherheitsvorfall müssen also zwingend in die Umsetzung neuer Massnahmen einfliessen und so sicherstellen, dass die Cyber Resilience nachhaltig gestärkt werden kann.
Aber was, wenn es – wie wir natürlich nicht hoffen – zu einem datenschutzrelevanten Verstoss gekommen ist? Tja dann haben Sie noch genau 72 Stunden Zeit…
Detection & Response – aber bitte innerhalb von 72 Stunden
Ja, genau, vielleicht ahnen Sie es schon – wegen der GDPR-Meldepflicht. Wenn personenbezogene Daten betroffen sind, dann müssen Sie in dieser Frist die betroffenen Personen und die zuständigen Stellen informieren. Und glauben Sie uns, diese Zeit mag auf den ersten Blick ausreichend erscheinen, doch in der Praxis ist dies extrem knapp und klappt nur, wenn entsprechende Prozesse bereits etabliert sind.
Effektive Cyber Resilience mit Detection & Response
Detection & Response sollte Bestandteil jeder Cyber Security-Strategie sein, denn nur so kann eine nachhaltige, effektive Cyber Resilience gewährleistet werden. Sie denken, einfacher gesagt als getan? Genau deshalb haben unsere Experten eine Checkliste mit umfangreichen Informationen zum Thema Cyber Resilience erstellt. Dank der Checkliste erhalten Sie genau die Informationen, die zur Beurteilung und Optimierung Ihrer Cyber Resilience notwendig sind. Worauf warten Sie noch? Jetzt kostenlos downloaden!
