Ende April 2023 war es wieder einmal so weit, ein Auftragsentwickler hatte seinen Auftraggeber mit einer ferngezündeten Ransomware bedroht und wollte Lösegeld erpressen. Nutzer von FPV-Brillen des Herstellers Orqa hatten das Problem, dass ihre Brillen zur Drohnensteuerung nicht mehr funktionierten. Zwar war ein Bugfix schnell verfügbar, der Reputationsschaden für die Firma aber nur mit viel Kundenkommunikation und Extraaufwand zu beheben. Es ist nur ein Beispiel eines Problems, dass alle paar Jahre immer mal wieder öffentlich wird und danach wieder verschwindet. IT-Sicherheitsverantwortliche müssen sich auf etwas einstellen, dass sich nicht so gut kontrollieren und eindämmen lässt wie ein Angriff von außen. Insider Bedrohungen wie eben Logic Bombs sind eine stetige Gefahrenlage, die es zu beachten gilt, ohne gleich jeden externen Dienstleister oder Mitarbeiter unter Generalverdacht zu stellen. Thomas Ernst, Security Evangelist bei Check Point Software Technologies, ist sich dieser Anforderung bewusst und beantwortet die untenstehenden Fragen wie folgt:
- Sind Insider-Bedrohungen wie Logic Bombs immer noch ein „Ding“?
Im Grunde handelt es sich dabei um eine der ältesten Bedrohungen bzw. Gefahren überhaupt. Hierbei geht es um menschliche Verhaltensmuster, manchmal irrational und subjektiv, egoistisch zum Zwecke der eigenen Vorteilsnahme oder Bereicherung oder manchmal eben auch mit niederen Motiven.
- Was sind die wichtigsten Insider-Bedrohungen?
Unzufriedene oder geschasste Mitarbeiter – natürlich auch kriminelle Energie – führen oft dazu, dass sich Mitarbeiter mit privilegierten Zugriffsrechten oder den notwendigen Reichweiten in Unternehmen „verewigen“. Logic Bombs sind nur eine Form der möglichen Ausgestaltung einer solchen Bedrohungslage. Im Grunde handelt es sich aber fast immer um eine Verletzung der Datenintegrität oder deren Vertraulichkeit, also ein rudimentärer Verstoß gegen geltende Sicherheitsrichtlinien oder gar gesetzliche Vorschriften. Das Risiko bzw. der Impact einer unerkannten Logic Bomb ist allerdings je nach Geschäftsfeld als hoch einzustufen, da meist unmittelbarer Schaden entsteht, egal ob materieller Art oder in Form von Reputation.
3. Wie würde eine Sicherheitsstrategie zur Verhinderung solcher Bedrohungen aussehen? Können Sie eine Schritt-für-Schritt-Anleitung beschreiben?
Zunächst geht es darum einen Incident Response Plan und einen Business Continuity Plan aufzustellen, um im Notfall reagieren zu können. Insgesamt hilft eine Steigerung des Security-Reifegrades durch die Implementierung von ISMS, der Einführung von regelmäßigen Security Awareness Trainings, die Durchführung von Risk Assessments und weiterer organisatorischer Maßnahmen. Des Weiteren empfiehlt sich eine generelle Aufgabentrennung, die sogenannte Segregation of Duties, um ein vier-Augen-Prinzip an geeigneten Stellen anzuwenden. Bei der Absicherung von möglichen Bedrohungen durch Auftragnehmer oder durch externe Software über die Software Supply Chain sollte der Auf- oder Ausbau eines Qualitätsmanagementsystems erfolgen. Bei entsprechender Organisationsgröße können die Best Practises der NIST bzw. ISO 2700x oder die des BSI wertvolle Hinweise geben. Die Etablierung von Systemen zur Erkennung von Anomalien und Threat Hunting mit UEBA, EDR und XDR-Technologien hilft als Kontrollinstanz sowohl gegen interne wie auch externe Bedrohungen auf Netzwerkebene. Als weitere Maßnahme dient das Monitoring von Developer Repositories via CI/CD Scanning.
- Wie sollte ein Plan zur Reaktion auf Vorfälle aussehen?
Grundsätzlich sollte ein Incident Response-Plan vor allem organisatorisches enthalten. Dies umfasst die Festlegung von Rollen und Zuständigkeiten, die klar voneinander abgegrenzt gehören, damit im Falle eines Falls alles reibungslos funktioniert und die Räder ineinandergreifen. Wichtig ist eine Schnellanalyse des Vorfalls und eine ebenso zügige Isolation des Kernproblems. Darüber hinaus sollte es technisch möglich sein gegebenenfalls kurzfristig Dienste oder Ressourcen abzuschalten und vom Netzwerk zu trennen. Bei der Erkennung helfen Systeme wie SIEM, EDR oder XDR wie zuvor erwähnt, um den Angriffsvektor ausfindig zu machen. Der Fokus sollte auf die Assets mit der höchsten Priorität liegen und es sollten erste Workarounds verfügbar sein. Eine Dokumentation der erfolgten Schritte und gesammelten Erkenntnisse erleichtert darüber hinaus extern hinzugezogenen Experten ihre Arbeit. Eine Kommunikation zu allen beteiligten Schnittstellen und gegebenenfalls externen Dienstleistern, Dienststellen und Aufsichtsbehörden sowie ein Krisenkommunikationskonzept unterstützen zusätzlich bei der Aufarbeitung.
- Wie kann Check Point Organisationen bei der Einrichtung dieser Maßnahmen unterstützen?
Check Point bietet einen Emergency Incident Response Service an, um sofort schnell Abhilfe zu schaffen. Ein dediziertes Team steht weltweit auf Abruf zur Verfügung.
Herr Ernst, wir danken für das Gespräch.
