Cyberangriffe sind auch deshalb so gefährlich, weil sie nicht nur Betriebe lahmlegen können, sondern auch Panik und Ängste schüren. Was ist zu tun? Was bewirkt der Angriff? Wer steckt dahinter? Stratos Komotoglou, Head of Security, Compliance & Identity bei Microsoft Deutschland, plädiert für eine Modernisierung der Cybersicherheitsarchitekturen der privatwirtschaftlichen und staatlichen Einrichtungen.
Herr Stratos Komotoglou, viele Mitarbeitende und auch Geschäftsführende geraten bei Cyberattacken in Panik, was auch ein zusätzliches Ziel von Angriffen sein kann. Was raten Sie Unternehmen?
Auch wenn es im ersten Moment etwas trivial klingt, sollten Unternehmen Ruhe bewahren. Und dafür Sorge tragen, dass die betroffenen Systeme, sofern man sie alle identifizieren kann, vom Netz genommen werden. Gleichzeitig sollte man einen Partner zur Hilfe rufen, der im Bereich Incident Response und Compromise Recovery tätig werden kann. Und: Lösegeldforderungen nicht nachkommen.
Die richtige Prävention setzt in einer vernetzten Welt eine cloudbasierte Verteidigung voraus. Stratos Komotoglou
Mitarbeitende im IT-Bereich brauchen einen kühlen Kopf. Ist bei einem Cyberangriff, wie er beispielsweise durch Ransomware erfolgen kann, ein strukturiertes Vorgehen überhaupt möglich?
Ein strukturiertes Vorgehen ist möglich und vor allem auch notwendig. Unser hauseigenes DART (Detection & Response Team) geht in diesem Fall nach einem festgelegten Muster vor: Zuerst muss die aktuelle Situation bewertet werden. Was hat das Unternehmen zunächst auf einen Ransomware-Angriff aufmerksam gemacht? Zu welchem Zeitpunkt hat man über den Vorfall erfahren? Welche Protokolle sind verfügbar, und gibt es Hinweise, dass der Angreifer derzeit auf Systeme zugreift? Im nächsten Schritt geht es dann darum, zu identifizieren welche Systeme und Applikationen betroffen sind, und ob Sicherungen der Anwendungen, Konfigurationen und Daten verfügbar sind. Werden die Inhalte und Integrität von Sicherungen regelmäßig mithilfe einer Wiederherstellungsübung überprüft? In einem abschließenden Schritt wird der Kompromittierungswiederherstellungsprozesses (Compromise Recovery) ermittelt und dann das Entfernen der Angreifer-Steuerung aus der Umgebung vorgenommen. Dann beginnt die eigentliche Arbeit, die sich über einige Wochen ziehen kann.
Können bei der richtigen Prävention schon grundlegende Regeln helfen?
Die richtige Prävention setzt in einer vernetzten Welt eine cloudbasierte Verteidigung voraus, die sich auf moderne Technologien wie künstliche Intelligenz und maschinelles Lernen stützt. Wir sprechen dabei häufig von einem Zero-Trust-Ansatz, der am Ende des Tages auf drei Prinzipien aufbaut. Erstens: explizite Kontrollen. Beziehen Sie alle verfügbaren Datenpunkte in die Authentifizierung und Autorisierung ein – Identität, Standort, Geräteintegrität, Datenklassifizierung, Anomalien, Dienst oder Workload. Zweitens: das Prinzip der geringsten Berechtigungen. Schränken Sie den Nutzerzugriff mit risikobasierten adaptiven Richtlinien und Datenschutz ein, um Daten zu schützen und produktiv zu bleiben. Und drittens: Gehen Sie davon aus, dass Sie bereits angegriffen worden sind. Am Ende des Tages kann bereits die Einführung einer Multifaktorauthentifizierung das Risiko eines Angriffs um 99 Prozent minimieren.
Am Ende geht es darum, Bedrohungen mit KI zu untersuchen und verdächtige Aktivitäten im großen Umfang automatisiert aufzudecken. Stratos Komotoglou
Inwiefern wird Künstliche Intelligenz wichtiger, um Angriffe abzuwehren oder zu entdecken?
Cyberkriminelle bedienen sich vermehrt der Künstlichen Intelligenz, wenn es um die Entwicklung neuer Malwareformen geht. Dabei sind die heutigen Viren polymorph automatisiert. Das heißt, dass sie ihre Erscheinungsform bei jeder Neuinfizierung verändern und von statischen Antiviren-Systemen nicht erkannt werden können. Um solche Angriffe abwehren zu können, muss sich die Verteidigung ebenso moderner Technologien wie der KI bedienen. Dabei geht es auch darum, anomales Verhalten aufzuspüren und so gegebenenfalls verdächtige Prozesse, beispielsweise auf Endgeräten, zu stoppen. Und das geht eben nur mit der Rechenkapazität aus der Cloud.
Das heißt, automatisierte Systeme beantworten die Attacken auch, sodass Mitarbeitende gar nicht selbst eingreifen müssen?
Die kurze Antwort lautet: Ja. Wir haben eine Vielzahl an Sicherheitslösungen, die automatisiert arbeiten können und dem Sicherheitsanalysten nur ein Update geben, was gemacht worden ist. Diese lassen sich aber auch so konfigurieren, dass gewisse Vorschläge gemacht werden, die der Analyst dann ausführen und kontrollieren muss. Am Ende geht es darum, Bedrohungen mit KI zu untersuchen und verdächtige Aktivitäten im großen Umfang automatisiert aufzudecken. Wir sprechen in den meisten Fällen von einer Vielzahl an Diensten, die sowohl bei den Kund:innen in der eigenen Infrastruktur oder aber in einem Cloud-Dienst laufen. Die manuelle Überwachung all dieser Dienste und aller Endgeräte, die ein Unternehmen beispielsweise hat, wäre manuell gar nicht umsetzbar. Ein Unternehmen mit 10.000 Mitarbeitenden müsste sonst ja mindestens 500 Personen im Bereich Security beschäftigen. Das ist bei dem Fachkräftemangel in dem Umfeld gar nicht möglich.
Das Arbeiten in der Cloud kann Anmeldungen einzelner Mitarbeitender sogar leichter und trotzdem sicherer machen. Wie geht das?
Wir können mit modernen Authentifizierungsmechanismen nicht nur das Arbeiten in der Cloud sicherer und leichter machen, sondern auch das Arbeiten auf dem eigenen Laptop und das Arbeiten in Applikationen, die Kunden noch selbst in einem Rechenzentrum betreiben. Wichtig hierbei ist, dass man die Identitäten der Mitarbeitenden in einer cloudbasierten Identitäts- und Zugriffsverwaltungslösung verwaltet und sichert. Dadurch kann man ermöglichen, dass sogar eine Anmeldung an Diensten ohne die Eingabe von Passwörtern möglich wird. Alternativ kann man auf biometrische Merkmale setzen. Bei Microsoft nutzen wir dazu Windows Hello, welches auch allen Kund:innen von Windows 10 und 11 zur Verfügung steht.
Inwieweit können Tools eigentlich auch Angriffe aufklären? Lassen sich die Orte, von denen die Angriffe erfolgen, lokalisieren?
Dies ist in der Regel ein sehr schwieriges Unterfangen, was in den individuellen Fällen meist nicht möglich ist. Jedoch ist es schon möglich, gewisse Angriffe, die vermehrt auftreten und weltweit großen Schaden anrichten, zurückzuverfolgen und beispielsweise so auch ganze Botnetze unschädlich zu machen. Die Microsoft Digital Crimes Unit beispielsweise arbeitet eng mit anderen Sicherheitsexpert:innen bei uns und auch mit Strafverfolgungsbehörden weltweit zusammen, um genau das zu erreichen.
Wie können Unternehmen sensible Daten oder auch das Identity- und Access-Management besser verwalten? Gibt es etwas, was einzelne Mitarbeitende zur Einstufung von sensiblen Daten tun können?
Es gibt zahlreiche Methoden, sensible Daten zu klassifizieren und zu verschlüsseln. Im Zusammenspiel mit einem modernen Identity- und Access-Management lassen sich somit Dokumente nur für bestimmte Benutzer:innen oder Benutzerkreise zugänglich machen. Unternehmen sollten im Bereich Compliance und Information Protection auf Lösungen setzen, die genau sowas im Zusammenspiel mit einer modernen Authentifizierungslösung möglich machen können.
Wie sieht in Ihren Augen ein funktionierendes Angriffstraining aus?
Hier gibt es zahlreiche Möglichkeiten. Was ich gerne mehr sehen würde, sind Endbenutzertrainings. Worauf können und müssen Mitarbeitende achten, wenn sie Emails von externen Absendern erhalten? Wie kann man verdächtige Links oder Anlagen erkennen? Wann sollte man eine E-Mail lieber nicht öffnen und stattdessen melden? Leider ist es immer noch so, dass das Einfallstor Nummer 1 der Faktor Mensch ist. Sprich: Angreifer erhalten oft über eine gezielte Phishing-Attacke Zugriff auf interne Systeme. Darüber hinaus gibt es auch Anbieter, die Simulationstrainings anbieten. Damit kann man testen, wie viele Mitarbeitende tatsächlich auf einen verdächtigen Link klicken würden, wonach man seine Awareness-Trainings dann entsprechend ausrichten kann.
Schreibe einen Kommentar