Automatisierung und Netzwerkhygiene

Dies kann dadurch erreicht werden, dass ein Softwareagent auf dem System installiert wird, der sich ausweisen kann und wichtige Systemeigenschaften überwacht. „Alternativ ist eine agentenlose Lösung möglich, bei der sich ein Kontrollsystem auf dem zu überwachenden Gerät anmeldet, zum Beispiel über SSH oder ein ähnliches Remote-Management-Protokoll, und dann per Kommandozeilenbefehlen dessen Zustand prüft“, informiert er weiter. Als entsprechende Parameter nennt er den Zustand des Antivirussystems (aktiv/abgeschaltet, aktuelle/veraltete Virendefinitionen), den Zustand der Geräte-Firewall, gestartete Programme auf dem Gerät, vorhandene oder nicht vorhandene Dateien sowie angemeldete Benutzer. Typische Vorgehensweisen eines Angreifers, wie das Abschalten des lokalen Antivirus-Programms oder das Starten eigener Schadroutinen, können so erkannt werden. „Als unsicher erkannte Geräte lassen sich anschließend automatisch aus dem Netzwerk entfernen. Dies erschwert es einem Angreifer, nach der Übernahme eines Geräts weiter in das Netzwerk vorzudringen und unentdeckt zu bleiben“, nennt er die Vorteile. Auch anfangs erfolgreiche Angriffe könnten so deutlich schneller erkannt und eingedämmt werden.

Zusätzlich kann eine Network-Access-Control-Management-Lösung auch das Asset-Management, also die Erfassung aller vorhandenen Systeme und Geräte, unterstützen. Die Kenntnis aller Geräte und deren Funktion ist eine wichtige Grundlage für die Risikobetrachtung vor einem Angriff und die Entscheidung für oder gegen reaktive Maßnahmen (abschalten, isolieren, laufen lassen) im Angriffsfall.

Erkennung von Angriffen und Vorbereitung für den Ernstfall 

„Das beste Verteidigungskonzept ist al- lerdings sinnlos, wenn es keine Maßnahmen zur Erkennung von erfolgreichen Angriffen enthält. Denn sonst kann ein technisch überlegener Angreifer die Verteidigungsmaßnahmen umgehen und sich im Netzwerk ausbreiten und so maximalen Schaden anrichten“, sagt der Senior Architect. In diesem Zusammenhang weist er auf die Tatsache hin, dass 2019 immer noch jede vierte Cyberattacke auf die seit 2017 Schaden anrichtende Ransomware Wannacry zurückgeht. Wannacry nutze dabei eine Schwachstelle aus, für die es bereits seit 2017 Patches, also effektive Gegenmaßnahmen, gibt. „Von High-Tech kann dabei trotz technischer Überlegenheit der Angreifer im Verhältnis zu den Verteidigungsmaßnahmen keine Rede sein. Und modernere Malware legt die Latte für die Verteidigung nochmals deutlich höher“, so der Experte. So verwende sie nicht nur technisch effektivere Angriffswege, sondern setze zudem erfolgreiche Social-Engineering-Methoden ein, also die Ausnutzung menschlicher Schwächen wie Unwissenheit, Angst oder Gier.

Um­ die­ Erkennung­ und­ Klassifizierung­ von­ Cyberangriffen­ in­ Protokolldateien zu unterstützen, kommen „Security Event and Information Management“-Systeme (SIEM) zum Einsatz. „Sie­ gehören­ in­ vielen­ Office-IT-Umgebungen­ heute­ bereits­ zum Standardrepertoire. In industriellen Netzwerken sind sie allerdings noch nicht weit verbreitet Die Notwendigkeit für den Einsatz in Industrienetzwerken ist jedoch ebenso gegeben wie in IT-Netzwerken, da sich die genutzte Technik sowie die von Angreifern verwendeten Werkzeuge und Methoden oft ähneln oder gar identisch sind“, weiß der Experte.