\“Wie oft der Einsatz der IT-Sicherheitsfeuerwehr gefragt ist, hängt von der Größe des Unternehmens, der Leistungsfähigkeit des IT-Personals wie von der Branche ab\“, so Olaf Siemens von TÜV Rheinland. Branchen wie Finanzen, Infrastruktur, Engineering, Verteidigung usw. werden in gewissen Zeiträumen verstärkt angegriffen. Die jeweils aktuelle Bedrohungslage kann sich auch schlagartig verschärfen, wenn etwa ein Unternehmen für Angreifer interessant wird, z.B. aufgrund von Übernahmegerüchten. \“Die Dienste des SIRT-Teams von TÜV Rheinland ermöglichen es, blitzschnell auf solche Bedrohungslagen zu antworten bzw. sich rechtzeitig auf eine Abwehr einzustellen\“, so Olaf Siemens.
SIRT: In Dax-Unternehmen wie im Mittelstand im Einsatz
Die SIRT-Teams von TÜV Rheinland werden inzwischen von Dax-Unternehmen ebenso in Anspruch genommen wie von Mittelständlern. Denn die Abwehr gezielter Cyber-Attacken ist stets ein Fall für Spezialisten mit Erfahrung in Sicherheitsanalysen und Schwachstellen-Tests. Da die Angreifer erfahrungsgemäß unterhalb \’des Radars\‘ ins Unternehmensnetzwerk eindringen und unbemerkt großen Schaden anrichten können, sollte die Zeitspanne zwischen dem Erkennen eines Angriffs und der Behebung des Problems möglichst kurz sein: Keine Zeit also für Try & Error. Der Kern eines SIRT von TÜV Rheinland besteht aus fünf permanent verfügbaren IT-Sicherheits-Spezialisten, die darauf trainiert sind, komplexe Vorgänge, die sich aus vielen unterschiedlichen Ereignissen zusammensetzen, in Zusammenhang zu bringen und logische Schlussfolgerungen daraus zu ziehen. Nach Bedarf greift das Kernteam auf weitere interne Fachleute aus den verschiedenen sich mit IT-Sicherheit befassenden Bereichen zurück. Zusammengenommen beläuft sich die Zahl der Einsatzkräfte auf derzeit rund 15 Personen – Tendenz stark steigend. Je nach Art der Herausforderung lassen sich so Teams mit speziellen Kenntnissen etwa in Kryptografie, unterschiedlicher IT-Security-Systeme wie Firewalls, Proxies, SIEM (Security Information & Event Management) sowie IDS/IPS und AntiVirus-Systemen zusammenstellen. Die Fachleute kennen sich mit Sicherheitskonzepten ebenso aus wie mit den Interna der Betriebssysteme, die im Mittelpunkt der Angriffe stehen.
Das Angriffsszenario genau verstehen, um die richtige Strategie zu entwickeln
Grundlage für einen SIRT-Einsatz ist der Abschluss eines \’Threat Qualification SLA\‘ (Service Level Agreement) mit TÜV Rheinland. Nimmt die Organisation Hinweise auf einen sicherheitsrelevanten Vorfall wahr, meldet sie dies dem Support Center von TÜV Rheinland, das den Vorfall qualifiziert und den IT-Fachkräften vor Ort erste Anweisungen zum weiteren Vorgehen gibt. Oft genügt es, wenn die SIRT-Experten z.B. via Online-Konferenz zusammen mit dem Kunden auf die betroffenen Systeme schauen. Ein Vor-Ort-Einsatz ist dann notwendig, wenn noch kein SIRT-Sensorsystem in der Infrastruktur integriert ist oder wenn eine weiterführende Analyse betroffener Systeme gewünscht oder angemessen erscheint. Stets geht es darum, das Angriffsszenario möglichst genau zu verstehen, um die richtigen Gegenmaßnahmen festzulegen und auch umzusetzen. Das Sensorsystem analysiert den Netzwerkverkehr und bringt, basierend auf einer sogenannten \’Multi-flow\‘-Analysemethode, verdächtige Dokumente und ausführbare Dateien in unterschiedlichen Betriebssystemen bzw. Anwendungen zur Ausführung. Aus deren Verhalten lässt sich ermitteln, welche Systeme im Unternehmensnetzwerk betroffen sind, wie sie attackiert wurden, mit welchen Malware-Servern (Command & Control Servern) sie kommunizieren und welche Daten übermittelt werden. Auf der Basis dieser Erkenntnisse und unter Einbeziehung weiterer, meist beim Kunden vorhandener Sicherheitskomponenten entwickelt das SIRT-Team dann Strategien und Aktionen, um den Angriff einzudämmen und zu bekämpfen. Es schafft eine isolierte Umgebung, um mit möglichem Schadcode zu arbeiten. Virtuelle Umgebungen sind dafür nicht immer sinnvoll, denn für Malware-Entwickler ist es eine Kleinigkeit, solche Umgebungen oder die Präsenz von Debuggern zu erkennen, um dann dementsprechend \’nichts\‘ zu tun oder den Analysten \’zu beschäftigen\‘. Je nach Tiefe der Analysen bringt das SIRT-Team auch Disassembler und andere Reverse-Engineering-Tools zum Einsatz.
Schon kompromittiert? Assessment gibt Aufschluss
Um auf alles vorbereitet zu sein, sollte dem SIRT-Einsatz ein Assessment vorgeschaltet sein. Mittels einer BlackBox von FireEye überwacht TÜV Rheinland vier Wochen lang die ein- und ausgehenden Datenströme des Unternehmens. Anschließend können die Spezialisten genau sagen, ob und wo die Organisation bereits angegriffen wurde und was dagegen zu tun ist.
