07.05.2021 | Wolfgang Rieger

IT-Security-Vorfälle im Homeoffice: Wer beschützt Arbeitnehmer?

In Zeiten, in denen sehr viel von Unterwegs oder von zuhause gearbeitet wird, fällt es IT-Abteilungen nicht gerade leicht die gewohnte Perimeter Security bis in den letzten Winkel, zu jedem Benutzer zu erweitern. Außerdem ist es eh illusorisch, in Zeiten von immer ausgefeilteren Advanced Persistent Threats (APT; deutsch „fortgeschrittene andauernde Bedrohung“) den Schutz weiter erhöhen zu wollen.

Das lässt sich weder finanziell noch personell stemmen. Bedeutet diese Erkenntnis, dass das Unternehmen Hackerangriffen schutzlos ausgeliefert sind? Ich möchte es einmal so formulieren: „Es ist keine Frage wann, sondern eher ob man bereits Ziel eines Angriffs wurde. Nur leider wissen die meisten Betroffenen (noch) nichts davon“.

Viele Unternehmen haben so gut wie keine Security Reife. Sie wissen weder exakt welche Daten schützenwert sind, ganz davon zu schweigen, wo diese – meist unstrukturierten – Datenschätze liegen. Die Unternehmensgröße spielt dabei keine Rolle. Diese unzulängliche Security Reife liegt ursächlich in den unzureichenden finanziellen und personellen Mitteln begründet. IT-Sicherheit verlangt dauerhaft –  hier ist wirklich langfristig, ständig, immer und für viele Jahre gemeint –ausreichende Mittel zur Verfügung gestellt zu bekommen. Jahr für Jahr neu und in mindesten demselben, besser in erhöhtem Umfang.

Das Hauptangriffsziel sind die User, respektive PCs. Von dort aus arbeiten sich Hacker weiter zu den wirklich lohnenswerten Zielen vor. Nicht alle Hacker wollen Zerstören oder erpressen Geld. Datenspionage steht ganz hoch im Kurs um geistiges Eigentum „kostengünstig“ zu „erwerben“. Häufig werden diese Angriffe von hoch spezialisierten, staatlich gelenkten Organisationen ausgeführt. Da kann man X Firewalls und noch so viele Virenscanner aufbauen. Die Angreifer kommen dann eben durch eine Hintertür und breiten sich danach völlig unbemerkt und in aller Ruhe im Netzwerk aus. Es merkt ja keiner. Wie auch?

In den allermeisten Fällen dauert es rund 180 Tage bis ein Sicherheitsvorfall erkannt wird. Danach in etwas noch einmal dieselbe Zeit, um festzustellen ob und ggf. was gestohlen wurde. Da Compliance in den allermeisten Firmen ein Prio1 Thema ist, sind 360 Tage viel zu lange, um akzeptiert zu werden. Diese langen Zeiträume sind der Tatsache geschuldet, dass häufig Logdaten umständlich, händisch und von eh schon überlasteten IT-Mitarbeitern ausgewertet werden müssen. Wonach sollen sie suchen, wenn sie nicht einmal wissen woher und wie ein Angreifer ggf. das Netz infiltrierte?

Weiterlesen auf Seite 2

Ein SIEM/UEBA für die Security Abteilung

Ein SIEM (Security Incident Event Management) in Verbindung mit einem leistungsfähigen UEBA (User and Entity Behavior Analytics) können hier der richtige Ansatz sein. Was für die Kaufleute ihr ERP und den Vertrieb deren CRM Tool ist, ist es ein SIEM/UEBA für die Security Abteilung. Kaufleute wissen dank ERP auf den Cent genau wohin das Geld geflossen ist und der Vertrieb kennt seine Projekte dank dem CRM bis ins kleinste Detail. Nur die IT arbeitet ohne Frühwarnsystem und kann nur schätzen ob das Netz sicher und safe ist. Der immense Erkenntnis- und Geschwindigkeitsgewinn durch Einsatz eines SIEMS/UEBA hilft entscheidend dabei die dringend notwendige Security Reife zu erlangen.

SIEM/UEBA sammelt Log- und Netzwerk Flowdaten aus unterschiedlichen Quellen, normalisiert diese und wertet sie im Kontext zueinander gesetzt aus. Der Normalisierungsvorgang ist dabei einer der wesentlichen Punkte. Hier werden sämtliche ankommenden Daten so aufbereitet, dass schlussendlich Informationen immer an denselben Stellen stehen und damit für LogPoint auswertbar gemacht werden.

Der Unterschied zwischen einfachen Firewall Meldungen über einen gerade laufenden „Angriff“ hat nichts mit von einem SIEM erkannten Incidents zu tun. Kein Security SE wird davon überrascht sein, dass die Firewall immer mal wieder und unterschiedlich häufig auf offene Ports von extern gescannt wird. Das ist ein normaler Vorgang und eigentlich nicht wert gemeldet zu werden bzw. um darauf zu reagieren.
Diese Vielzahl von „false positive“ Meldungen, die eine Firewall meldet ist für einen Security SE häufig nur zusätzliche Arbeit um den „Normalfall“ festzustellen. Es ist normal, dass versucht wird offene Firewall Ports gescannt werden. Es ist aber nicht normal, dass heute die Ports gescannt und morgen 10 Viren und mehrere IDS Meldungen anschlagen. Diese voneinander unabhängigen Ereignisse werden von einem SIEM in einen gemeinsamen Kontext gebracht und ein sogenannter Incident im erstellt und als „Angriff“ gemeldet.

Bei einem UEBA System geht es darum eine bekannte Baseline zu definieren um „Ausreiser“ zu erkennen. Eine Baseline zeigt auf, von wann bis wann, wer und worauf einzelne Benutzer und Benutzergruppen zugegriffen haben. Wenn bekannt ist, dass eine Datentranferrate von 2 MB pro Stunde für den Nutzer XY normal sind und dieser plötzlich 1 GB kopiert, ist dies außergewöhnlich und würde einen Alarm auslösen. Dieses Verhalten wird jedoch noch mit seinen Peer-Membern, also dem restlichen Team zu welchem er gehört verglichen. zeigt sich, dass diese ebenfalls ein erhöhtest Volumen haben, wird von einer „Sonderaktion“ des Teams ausgegangen und eine Alarmierung unterbleibt. Wenn alle aus dem Team mehr kopieren wird das seinen Grund haben und niemand muss unnötigerweise darüber informiert werden.

Eine europäische Lösung von LogPoint

Mit LogPoint, einem dänischen SIEM/UEBA Hersteller und damit dem einzigen europäischen Anbieter im Gartner Quadranten, fällt es vor allem europäischen Unternehmen leicht, die nötige Compliance zu schaffen, sowie die Security Reife zu verbessern. LogPoint als Europäer versteht DSGVO und ISO und HIPPA und PCI und, und, und. DSGVO- und ISO-Reportings sind häufig Aufgaben, welche ganze IT-Abteilung teilweise wochenlang aus dem operativen Betrieb rausreisen. Reports auf Knopfdruck wären für solche Fälle ein Segen und ein Faktor, der hilft Zeit und Kosten einzusparen. Jeder dieser Reports ist individuell anpassbar. Mit solchen Reports lässt sich auf Knopfdruck feststellen in welche Länder, welche Datenmengen aus dem Unternehmen abfließen. Unterhält das Unternehmen mit manchen dieser Ländern keine Geschäftsbeziehung, wird es allerhöchste Zeit nachzuforschen warum Daten dorthin abfließen. Stichwort schneller Erkenntnisgewinn! Ein ISO Auditor wird von der Vielzahl der Anpassungsmöglichkeiten seiner Reports begeistert sein. Nachdem dies einmal erledigt wurde, sind aller weiteren Auswertung per Knopfdruck und auf Anfrage verfügbar.

Ein SIEM/UEBA von LogPoint liefert also nicht nur den üblichen SIEM-Report, am besten zum ersten Kaffee, sondern ein Mehr an Informationen – auf Knopfdruck.

Was macht ein gutes SIEM aus und wie beschützt und informiert ein SIEM? Ganz klar. Es kommt darauf an. LogPoint SIEM schützt ab dem ersten Moment nach Inbetriebnahme und ab dann, wo Logdaten ausgewertet werden können. Dazu ist es nicht einmal notwendig wochenlang Use Case zu definieren und zu programmieren. LogPoint SIEM bringt out of the box über 110 fertig Use Case mit. Diese brauchen lediglich ausgewählt und aktiviert werden. All diese Use Case basieren auf dem weltweit bekannten MITRE ATT&CK Framework. Die MITRE Organisation analysierte über viele Jahre hinweg die üblichen Vorgehensweisen von Hackern und baute daraus ein Framework, das die sogenannte Hacker Kill-Chain Schritt für Schritt abbildet. Aus diesem Framework hat sich LogPoint die 110 häufigsten Angriffsvarianten herausgepickt und diese in fertige Use Case adaptiert. Ein Use Case könnte z.B. sein, dass man wissen möchte, wenn PC A mit PC B versucht eine Verbindung aufzubauen (Lateral Movement). Geschieht dies wird umgehend ein Alarm ausgelöst und man kann den Vorfall gezielt untersuchen. Man kennt den Ursprung (PC A)  und das Ziel (PC B) und ist somit sofort handlungsfähig und kann forensische Analysen zum eigentlichen Ursprung des Angriffes starten.

Sie sehen. Ein SIEM ist nicht nur ein „Persilschein“ für Compliance. LogPoint SIEM/UEBA hilft aktiv bei der Verbesserung der Security Reife und der Steigerung der eigenen Unternehmenssicherheit. Lassen Sie sich vom LogPoint SIEM/UEBA informieren bevor es zu spät ist.


Die Spezialisten von Tech Data unterstützen Sie hier gerne. Unter BU-Security@TechData.com erreichen Sie uns für ihre Fragen.

Wolfgang Rieger | Website

Wolfgang Rieger ist seit November 2016 bei der Tech Data als Senior Business Development Manager in der Security Abteilung tätig. Zuvor war er viele Jahre mit dem Schwerpunkt Security in verschiedenen Positionen für Hersteller und Systemhäuser tätig. Sein kaufmännischer und technischer Background, sowie seine langjährige Security Erfahrung ermöglicht es ihm komplexe Security Themen einfach zusammen zu fassen und mit einem klaren Partner- und Endkunden Nutzen zu kommunizieren.

  • Drei Fragen an den Autoren

    Was ist deine Funktion bei Tech Data?

    Senior Business Development Manager DACH

    Wie lange bist du schon beim Unternehmen?

    Seit November 2016

    Was für einen Unterschied macht deine Arbeit für Tech Data

    Durch meinen jahrelangen Endkundenfokus und das Arbeiten auf Partnerseite bringe ich häufig eine andere – nicht Distribution – Sichtweise ins Team ein.

Zur Specialists Übersicht