Welche Lehren ziehen die Experten von POST Cyberforce aus dem Jahr 2021?
„Der bedeutendste Vorfall war 2021 sicherlich die Meldung der log4j-Schwachstelle und ihre Ausnutzung durch böswillige Akteure“, erläutert Jean-Marie Bourbon, Head of Cyberforce Offensive Security bei POST Luxembourg. Diese Sicherheitslücke ähnelt in vielerlei Hinsicht dem Cyberangriff auf SolarWinds, der eine riesige Bedrohung darstellte, mit der sich Akteure rund um den Globus ein Jahr zuvor auseinandersetzen mussten.
Log4j ist ein Open-Source-Framework zum Loggen von Anwendungsmeldungen in Java. Da er sehr weit verbreitet und in vielen Softwareprodukten enthalten ist, war die damit verbundene Sicherheitslücke eine enorme Bedrohung für zahlreiche Akteure. „Das mit dieser Art von Bedrohung verbundene Muster ist oft ähnlich. Hacker nutzen die Erkenntnisse eines IT-Sicherheitsexperten, der eine Schwachstelle aufgedeckt hat“, erklärt Olivier Antoine, Head of Information Security Management bei POST Luxembourg. „Meistens werden diese Schwachstellen freitags gemeldet und ausgenutzt, wenn kurz vor dem Wochenende alle mit ihren Gedanken woanders sind.“
Zero-Day-Sicherheitslücken: Vorbereitet sein
Die Teams von POST müssen aufgrund der beträchtlichen Marktpräsenz des Unternehmens schnell auf neu entdeckte Sicherheitslücken reagieren. Dabei handelt es sich um so genannte „Zero-Day-Sicherheitslücken“. Diese bisher nicht bekannten Schwachstellen müssen behoben werden, bevor Hacker sie ausnutzen können. „Die Herausforderung besteht darin, so schnell wie möglich auf solche Angriffe reagieren zu können“, erläutert Alain Hirtzig, Head of Telecom Security bei POST Luxembourg. „Die Zeit zwischen der Entdeckung der Schwachstelle und ihrer Behebung durch einen Patch muss so kurz wie möglich sein. Außerdem muss man wissen, ob sie ein Risiko für das Unternehmen ist oder nicht, ob die Systeme Elemente nutzen, die diese Schwachstelle aufweisen. Häufig verfügen die Akteure nicht über Listen der verschiedenen Elemente, auf denen ihre Software basiert. Und selbst wenn sie über ein Inventar verfügen würden, kann es nicht alles abdecken.“
Die Schwachstellen können nämlich ganz unterschiedlicher Natur sein. Außerdem entwickeln sich die Technologien ständig weiter, was zu neuen Sicherheitslücken führen kann. „Jeder muss sich darüber im Klaren sein, dass früher oder später eine Schwachstelle auftreten kann, die seine Systeme betrifft. Bei der Cybersicherheit kommt es auf die Fähigkeit an, einen Vorfall zu erkennen und angemessen darauf zu reagieren", so Olivier Antoine.
Einen neuen Ansatz wählen
Einerseits muss man sich auf ein Team verlassen können, das Fehler und Risiken erkennen kann, so wie es ein Security Operations Center tut. Andererseits muss man sich auf jegliche Art von Angriff vorbereiten. Jean-Marie Bourbon, Head of CyberForce Offensive Security bei POST Luxembourg: „Eine Firewall, die das Rechnernetz durch ein Sicherungssystem schützt, so wie bisher vielfach geschehen, funktioniert nicht. Heute müssen wir uns andere Ansätze überlegen und uns zunächst einmal fragen, ob wir tatsächlich auf alle Eventualitäten vorbereitet sind. Sind geeignete Prozesse vorhanden, um den Angriff abzuwehren, den Schaden zu begrenzen oder ggf. Systeme oder Daten wiederherzustellen?"
Die Angreifer werden immer raffinierter. Daher müssen sich die Unternehmen vorbereiten, denn früher oder später wird es auch sie treffen. Die Experten von POST Cyberforce sind sich sicher, dass jeder, der fest entschlossen ist, eine Infrastruktur anzugreifen, sein Ziel auf die eine oder andere Weise erreichen wird. Daneben sind Unternehmen ständig im Visier eher opportunistischer, aber dennoch sorgfältig durchdachter Angriffe. So werden beispielweise beim Phishing zunehmend ausgefeilte Methoden genutzt, um den Nutzer zu täuschen und Informationen zu erlangen.
Der Mensch als bedeutender Angriffsvektor
„Die Hauptangriffsvektoren sind derzeit einerseits Zero-Day-Sicherheitslücken und andererseits der menschliche Faktor durch Phishing-Versuche“, erklärt Régis Jeandin, Head of CyberDefense bei POST Luxembourg. Zwischen 2020 und 2021 gab es immer mehr Angriffe, die neue Schwachstellen ausnutzten, Insgesamt ein Anstieg von über 200 %. Angesichts der Bedeutung des menschlichen Faktors ist es extrem wichtig, alle Teams zu schulen und zu sensibilisieren. Da menschliches Versagen jedoch nicht auszuschließen ist, besteht ein hohes Risiko, dass ein Angriff über diesen Vektor durchgeführt wird. Das Risiko eines Angriffs ist hoch, weil Menschen Fehler machen." Das werden regelmäßige Übungen zeigen, die in Unternehmen durchgeführt werden, um Mitarbeiter zu testen und sie zu sensibilisieren. In einem Team gibt es immer mindestens einen Nutzer, der auf einen Link klickt, der mit einer betrügerischen E-Mail verschickt wurde.
Üben und sich selbst testen
Jedes Unternehmen muss angesichts potenzieller Angriffe anhand realistischer Szenarien trainieren und seine Systeme testen. Ein RED TEAM ist zum Beispiel dafür zuständig, die Unternehmen auf Herz und Nieren zu prüfen, indem es die reale Angriffsfläche betrachtet (und nicht eine fest definierte Umgebung wie bei einem Pentest). Dahinter steckt die Idee, regelmäßig realitätsnahe Übungen im Unternehmen durchzuführen, bei denen realistische Cyberangriffe simuliert werden, die auf Lücken in der physischen Sicherheit von Gebäuden und den IT-Systemen abzielen und auch den menschlichen Faktor durch Phishing oder Social-Engineering ausnutzen können. „Angriffe können generell koordiniert sein und mehrere Zugangspunkte und Kanäle nutzen, um ein Ziel zu erreichen“, erklärt Jean-Marie Bourbon. „Mit solchen Übungen lässt sich die Reaktion testen und prüfen, wie wirksam die bestehenden Verfahren sind und wie man sie verbessern kann. Das ist ähnlich wie bei einer Brandschutzübung. Man muss alle Eventualitäten bedenken, um im Krisenfall effektiv und koordiniert reagieren zu können."
Mitarbeitende im Homeoffice sensibilisieren
2021 war noch stark von COVID-19 geprägt. Viele Mitarbeitende sind nach wie vor im Homeoffice. „Telearbeit ist ein Nährboden für Phishing-Attacken“, so Régis Jeandin. „Zu Hause verschwimmen die Grenzen zwischen beruflichem und privatem Umfeld und dort ist die Wachsamkeit gegenüber Bedrohungen tendenziell geringer. Man ist weniger vorsichtig. Die für Cybersicherheit zuständigen Teams können kaum die Sicherheit bis in die Wohnungen jedes einzelnen Mitarbeitenden gewährleisten.“ Vor diesem Hintergrund ist die Zahl der Phishing-Angriffe gestiegen. Daher ist es wichtig, dass die Kommunikation gepflegt und das Bewusstsein geschärft wird, indem an bewährte Praktiken und Sicherheitsregeln erinnert wird.
Vermehrte Angriffe auf mobile Geräte
„Die Zahl der Angriffsversuche auf Handys ist ebenfalls gestiegen", berichtet Jean-Marie Bourbon. „Hier sind es oft Links, die als private Nachricht über LinkedIn oder Twitter verschickt werden und über die der Angreifer an vertrauliche Informationen auf dem Handy gelangt. Handys enthalten heute sehr viele und wertvolle Daten und sind zunehmend ein bevorzugtes Ziel der Angreifer."
Auch Telekommunikationsnetze geraten ins Visier
Telekommunikationsnetze sind ebenfalls potenzielle Angriffsziele. POST ergreift deshalb als etablierter Betreiber, dessen Aktivitäten als kritisch eingestuft werden, geeignete Maßnahmen. „Dazu werden moderne Instrumente zur Erkennung eingesetzt, mit denen nicht konforme Nutzungen der von uns bereitgestellten SIM-Karten erkannt werden können, um beispielsweise einen Phishing-Angriff auf andere Nutzer zu starten“, erklärt Alain Hirtzig. „Die Betrugstechniken entwickeln sich in diesem Bereich immer weiter. Wir müssen daher wachsam bleiben, um jeden Versuch abzuwehren, unsere Infrastruktur oder unsere Dienste für bösartige Zwecke zu missbrauchen.“ Die Teams von POST Cyberforce haben sich intensiv mit der Einführung von 5G befasst, das neue Herausforderungen in puncto Sicherheit mit sich bringt. „Uns ging es darum, eine sichere Umgebung für die Nutzer des Netzes der nächsten Generation zu schaffen", so Alain Hirtzig weiter. „Dazu muss es möglich sein, bereits bei der Entwicklung des Netzes Erkennungs- und Sicherheitsfunktionen zu verankern. Die technologischen Entwicklungen drängen uns, mehr zu tun. Hierzu führen wir beispielsweise vom Wirtschaftsministerium finanzierte Forschungsprojekte zu den Herausforderungen in Bezug auf 5G und Sicherheit durch, in erster Linie über das Projekt LIST.“
Unablässige Bemühungen
Ein weiteres Projekt wird in Zusammenarbeit mit der ESA durchgeführt. Es soll Vertrauen in den Austausch von Informationen schaffen, indem es die Authentizität der geteilten Inhalte und der Gesprächspartner bestätigt (siehe unseren Artikel über Proofile auf Seite 26). „Unser Team bemüht sich ständig, fortschrittliche Sicherheitslösungen und Dienstleistungen anzubieten, um unsere Kunden bei Angriffen zu unterstützen oder sie darauf vorzubereiten", erklärt Olivier Antoine. „Dazu werden hochmoderne Technologien zur Erkennung von Anomalien eingesetzt, insbesondere auf Ebene des ‚Defensive Security‘-Teams, oder auch umfangreiche Angriffssimulationen durchgeführt, die auf mehrere Schwachstellen eingehen können, um die Widerstandsfähigkeit im Einzelfall zu bewerten. Diese Ansätze sind das Resultat einer sogenannten ‚Fukushima-Logik‘. Zum anderen zielen die Forschungsprojekte auf langfristige Wertschöpfung ab, sollen uns weiterbringen und unseren Lösungskatalog erweitern." Da POST ein kritischer Akteur in Luxemburg ist, beteiligt sich das POST Cyberforce-Team an Kooperationsmaßnahmen auf nationaler und europäischer Ebene, um die Reaktion auf koordinierte Angriffe auf unsere Gesellschaft zu verstärken und die internationalen Vorschriften im Bereich Cybersicherheit zu verbessern.
