Das ConSecur Cyber Defense Center im Einsatz – maximale Verteidigungsbereitschaft vor, während und nach der Bedrohung

Gelegenheit macht Diebe

Am Anfang vieler Cyber-Attacken steht nicht selten eine klassische Straftat. Ein gestohlener Laptop erwies sich so rückblickend auch als Grundlage für einen Sicherheitsvorfall in einem inzwischen von ConSecur betreuten Unternehmen. Der EDR-Alarm, der im Unternehmen auftrat, ließ auf einen Script Interpreter schließen. Ausgelöst wurde er durch eine als Browserupdate getarnte Datei auf einem an den Laptop angeschlossenen USB-Stick. Zudem konnten Downloads über Torrent Websites festgestellt werden, die mit dem Endgerät ausgeführt wurden. Neben der Gefahr, dass über den gestohlenen Laptop auf die Azure-Ressourcen des Hosts zugegriffen wird, befanden sich auf dem Gerät neben Kundenapps auch sensible Kundendaten, sodass bereits durch den Diebstahl signifikanter Schaden zu befürchten war. Der initiale EDR-Alarm erfolgte nach zwei Monaten. Erst als zu diesem Zeitpunkt der Laptop erstmals nach dem Diebstahl online ging, konnten Incident Response, Management und Forensik hinzugezogen werden, um geeignete Maßnahmen zu ergreifen. Die Lehre, die aus dem Vorfall gezogen werden konnte, ist allem voran, dass hinter einem einzelnen Alarm mehr stecken kann, als im ersten Moment angenommen wird. Insofern sollte jeder Verdachtsfall zum Anlass genommen werden, das gesamte System auf Unregelmäßigkeiten zu prüfen.

„Leider rufen Sie außerhalb unserer Geschäftszeiten an …“

Mehr als nur einen Fuß in der Tür hatten die Angreifer in unserem zweiten Beispiel für Cyber-Risiken, von denen sich Unternehmen jederzeit bedroht sehen sollten. Zwar wurden die in diesem Fall festgestellten verdächtigen Aktivitäten in Gestalt beim Server eingehender API-Calls vom Provider des betroffenen Unternehmens festgestellt, da dies in einer Freitagnacht geschah, wurde auf den Alarm nicht umgehend und angemessen reagiert, da der Incident Response des Kunden durch dessen Compliance-Regeln die erforderlichen Rechte fehlten, den Angriff im System einzudämmen. Festgestellt wurde schließlich, dass ein Angreifer sich Zugriff verschafft hatte und das System mit einem Kryptominer kompromittierte. Auch hier stellt sich vor allen Dingen die Frage nach dem Erkenntnisgewinn. Das Beispiel verdeutlicht, dass nicht eine Instanz allein Sicherheit garantieren kann, sondern nach Möglichkeit die interne Security, Partner und Kunden in eine Sicherheitsstrategie einbezogen werden sollten. Dies schließ auch ein, dass Cybersicherheit immer als 24/7/365-Konzept gedacht und geplant werden muss.

Schuld und Verantwortung – die Dialektik der IT-Sicherheit

Dass Schwachpunkte nicht immer im eigenen Einflussbereich zu finden sind, verdeutlicht unser drittes Praxisbeispiel. Auffällige SPAM-E-Mails waren in diesem Fall der Auslöser. Im Gegensatz zu „klassischem“ SPAM enthielten diese Mails tatsächlich aus dem Unternehmen stammende Mailverläufe, wodurch dem Empfänger, einem Kunden des betroffenen Unternehmens, Authentizität vorgegaukelt wurde. Der erste nachvollziehbare Verdacht ging deshalb davon aus, dass Daten aus dem Unternehmen abgeschöpft wurden. Trotz intensiver Suche konnten jedoch keine illegalen Zugriffe auf Mails & Exchange Server festgestellt werden. Erschwert wurde die Suche dabei durch die Compliance-Richtlinie des Unternehmens, nach der Logs nach Ablauf von 24 Stunden gelöscht werden. Im Ergebnis stellte sich schließlich heraus, dass die illegal genutzten Mailverläufe nicht beim Unternehmen selbst abgegriffen wurden, sondern ein Kommunikationspartner Opfer eines Angriffs geworden war, bei dem die Daten gestohlen wurden. Als Erkenntnisgewinn konnte in diesem Fall festgestellt werden, dass zum einen interne Regelungen immer auch Aspekt der Cybersicherheit berücksichtigen sollten und zum anderen der Blick nicht nur auf die eigene Infrastruktur gerichtet bleiben sollte, sondern auch alle Stakeholder berücksichtigt werden müssen.

ConSecur als Schildmacher der Cyber Security

Alle drei Beispiele verdeutlichen die Komplexität des Themas Cyber Security. Umfassende Sicherheit ist nur mit einer umfassenden Strategie und vor allen Dingen durch eine intelligente Kombination aus Resilienz und kontinuierlich engmaschiger Überwachung möglich. Mit dem Cyber Defense Center und den darin zusammengefassten Managed Services bietet ConSecur ein Schutzschild, das modernste Technologie und qualifizierte Security-Experten mit einer rund um die Uhr aktiven Überwachung vereint.

So wie ein Schild das Ergebnis einer Kombination aus handwerklicher Expertise, hochwertigen Materialien und Werkzeugen sowie einer alles vereinenden Planung ist, setzt auch ConSecur beim Aufbau einer individuellen Managed Cyber Defense auf eine bewährte Systematik: Am Anfang steht hierbei eine sorgfältige Bestandsaufnahme. IT- und Netzwerkinfrastruktur, Prozesse und Tools werden genau analysiert, um vorhandene Schwächen frühzeitig zu identifizieren und geeignete Mechanismen zu installieren, die das Gesamtsystem absichern. Dabei endet die Betrachtung nicht an den Bürowänden des Unternehmens, sondern betrachtet auch Schnittstellen zu Stakeholdern und von diesen ausgehenden Gefahren. Bei allen Maßnahmen werden Mitarbeitende als „Faktor Mensch“ einbezogen und Erwartungen sowie individuelle Vorgaben berücksichtigt. Die Vorbereitungsphase umfasst auch eine sorgfältige „Einarbeitung“ in Form von Workshops, die sowohl den Kunden sensibilisieren als auch ConSecur mit der IT-Landschaft umfassend vertraut machen. Alle Aufgaben des Cyber Defense Centers werden anschließend in Runbooks dokumentiert und die erforderlichen Schnittstellen zwischen der IT-Infrastruktur und der Cyber Defense eingerichtet. In der Folgezeit werden alle Prozesse kontinuierlich überwacht und geprüft, um die Schutzwirkung langfristig immer weiter auszubauen.

Dabei setzt ConSecur nicht allein auf Reaktionsfähigkeit. Im Bereich der Threat Intelligence versetzen sich die Experten des Cyber Defense Centers gezielt in die Rolle potenzieller Angreifer und nutzen ihr Know-how, um sogar bisher unbekannte Bedrohungen vorauszusehen.