TÜV Rheinland bildet Eingreiftruppe

„Viele Unternehmen sind längst Opfer eines Hacker-Angriffs geworden – ohne es zu wissen“, warnt Olaf Siemens, Global Vice President Information Security bei TÜV Rheinland. Denn traditionelle, signaturabhängige Sicherheitslösungen sind machtlos gegen die raffinierten und komplexen Cyber-Attacken. Unternehmen und Behörden, die ihre digitalen Werte vor unbefugtem Zugriff schützen wollen, müssen investieren: in Personal, Prozesse und ständige Weiterbildung. Weil die Ressourcen in der Regel begrenzt und IT-Fachleute im Tagesgeschäft schlicht überfordert sind, komplexe Angriffe zu erkennen, bietet TÜV Rheinland jetzt aktive Unterstützung in der Organisation in Form von schnellen Eingreiftruppen an, die Cyber-Attacken schnell erkennen und wirksam begrenzen: die Security Incident Response Teams (Sirt).

„Wie oft der Einsatz der IT-Sicherheitsfeuerwehr gefragt ist, hängt von der Größe des Unternehmens, der Leistungsfähigkeit des IT-Personals wie von der Branche ab“, so Olaf Siemens von TÜV Rheinland. Branchen wie Finanzen, Infrastruktur, Engineering und Verteidigung werden in gewissen Zeiträumen verstärkt angegriffen. Die jeweils aktuelle Bedrohungslage kann sich auch schlagartig verschärfen, wenn etwa ein Unternehmen für Angreifer interessant wird, zum Beispiel aufgrund von Übernahmegerüchten. „Die Dienste des Sirt-Teams von TÜV Rheinland ermöglichen es, blitzschnell auf solche Bedrohungslagen zu antworten beziehungsweise sich rechtzeitig auf eine Abwehr einzustellen“, so Olaf Siemens.

Die Teams werden inzwischen von Dax-Unternehmen ebenso in Anspruch genommen wie von Mittelständlern. Denn die Abwehr gezielter Cyber-Attacken ist stets ein Fall für Spezialisten mit Erfahrung in Sicherheitsanalysen und Schwachstellen-Tests. Da die Angreifer erfahrungsgemäß unterhalb „des Radars“ ins Unternehmensnetzwerk eindringen und unbemerkt großen Schaden anrichten können, sollte die Zeitspanne zwischen dem Erkennen eines Angriffs und der Behebung des Problems möglichst kurz sein: keine Zeit also für „Try & Error“.

Der Kern eines Sirt von TÜV Rheinland besteht aus fünf permanent verfügbaren IT-Sicherheits-Spezialisten, die darauf trainiert sind, komplexe Vorgänge, die sich aus vielen unterschiedlichen Ereignissen zusammensetzen, in Zusammenhang zu bringen und logische Schlussfolgerungen daraus zu ziehen. Nach Bedarf greift das Kernteam auf weitere interne Fachleute aus den verschiedenen mit IT-Sicherheit befassten Bereichen zurück. Zusammengenommen beläuft sich die Zahl der Einsatzkräfte auf derzeit rund 15 Personen – Tendenz stark steigend. Je nach Art der Herausforderung lassen sich so Teams mit speziellen Kenntnissen etwa in Kryptografie, unterschiedlicher IT-Security-Systeme wie Firewalls, Proxies, Siem (Security Information & Event Management) sowie IDS/IPS und Antivirus-Systemen zusammenstellen. Die Fachleute kennen sich mit Sicherheitskonzepten ebenso aus wie mit den Interna der Betriebssysteme, die im Mittelpunkt der Angriffe stehen.

Grundlage für einen Sirt-Einsatz ist der Abschluss eines „Threat Qualification SLA“ (Service Level Agreement) mit TÜV Rheinland. Nimmt die Organisation Hinweise auf einen sicherheitsrelevanten Vorfall wahr, meldet sie dies dem Support Center von TÜV Rheinland, das den Vorfall qualifiziert und den IT-Fachkräften vor Ort erste Anweisungen zum weiteren Vorgehen gibt. Oft genügt es, wenn die Sirt-Experten via Online-Konferenz zusammen mit dem Kunden auf die betroffenen Systeme schauen.

Ein Vor-Ort Einsatz ist dann notwendig, wenn noch kein Sirt-Sensorsystem in der Infrastruktur integriert ist oder wenn eine weiterführende Analyse betroffener Systeme gewünscht oder angemessen erscheint. Stets geht es darum, das Angriffsszenario möglichst genau zu verstehen, um die richtigen Gegenmaßnahmen festzulegen und auch umzusetzen. Das Sensorsystem analysiert den Netzwerkverkehr und bringt, basierend auf einer sogenannten „Multi-flow“-Analysemethode, verdächtige Dokumente und ausführbare Dateien in unterschiedlichen Betriebssystemen und Anwendungen zur Ausführung. Aus deren Verhalten lässt sich ermitteln, welche Systeme im Unternehmensnetzwerk betroffen sind, wie sie attackiert wurden, mit welchen Malware-Servern (Command & Control Servern) sie kommunizieren und welche Daten übermittelt werden.

Auf der Basis dieser Erkenntnisse und unter Einbeziehung weiterer, meist beim Kunden vorhandener Sicherheitskomponenten entwickelt das Sirt-Team dann Strategien und Aktionen, um den Angriff einzudämmen und zu bekämpfen. Es schafft eine isolierte Umgebung, um mit möglichem Schadcode zu arbeiten. Virtuelle Umgebungen sind dafür nicht immer sinnvoll, denn für Malware-Entwickler ist es eine Kleinigkeit, solche Umgebungen oder die Präsenz von Debuggern zu erkennen, um dann dementsprechend „nichts“ zu tun oder den Analysten „zu beschäftigen“. Je nach Tiefe der Analysen bringt das Sirt-Team auch Disassembler und andere Reverse-Engineering Tools zum Einsatz.

Um auf alles vorbereitet zu sein, sollte dem Sirt-Einsatz ein Assessment vorgeschaltet sein. Mittels einer Blackbox von Fireeye überwacht TÜV Rheinland vier Wochen lang die ein- und ausgehenden Datenströme des Unternehmens. Anschließend können die Spezialisten genau sagen, ob und wo die Organisation bereits angegriffen wurde und was dagegen zu tun ist.