IT-Security - Der praktische Leitfaden E-Book

Hinweise zur Benutzung

Dieses E-Book ist urheberrechtlich geschützt. Mit dem Erwerb des E-Books haben Sie sich verpflichtet, die Urheberrechte anzuerkennen und einzuhalten. Sie sind berechtigt, dieses E-Book für persönliche Zwecke zu nutzen. Sie dürfen es auch ausdrucken und kopieren, aber auch dies nur für den persönlichen Gebrauch. Die Weitergabe einer elektronischen oder gedruckten Kopie an Dritte ist dagegen nicht erlaubt, weder ganz noch in Teilen. Und auch nicht eine Veröffentlichung im Internet oder in einem Firmennetzwerk.

Copyright-Vermerk

Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Nutzungs- und Verwertungsrechte liegen bei den Autor*innen und beim Rheinwerk Verlag, insbesondere das Recht der Vervielfältigung und Verbreitung, sei es in gedruckter oder in elektronischer Form.

© Rheinwerk Verlag GmbH, Bonn 2025

Nutzungs- und Verwertungsrechte

Sie sind berechtigt, dieses E-Book ausschließlich für persönliche Zwecke zu nutzen. Insbesondere sind Sie berechtigt, das E-Book für Ihren eigenen Gebrauch auszudrucken oder eine Kopie herzustellen, sofern Sie diese Kopie auf einem von Ihnen alleine und persönlich genutzten Endgerät speichern. Zu anderen oder weitergehenden Nutzungen und Verwertungen sind Sie nicht berechtigt.

So ist es insbesondere unzulässig, eine elektronische oder gedruckte Kopie an Dritte weiterzugeben. Unzulässig und nicht erlaubt ist des Weiteren, das E-Book im Internet, in Intranets oder auf andere Weise zu verbreiten oder Dritten zur Verfügung zu stellen. Eine öffentliche Wiedergabe oder sonstige Weiterveröffentlichung und jegliche den persönlichen Gebrauch übersteigende Vervielfältigung des E-Books ist ausdrücklich untersagt. Das vorstehend Gesagte gilt nicht nur für das E-Book insgesamt, sondern auch für seine Teile (z. B. Grafiken, Fotos, Tabellen, Textabschnitte).

Urheberrechtsvermerke, Markenzeichen und andere Rechtsvorbehalte dürfen aus dem E-Book nicht entfernt werden.

Die automatisierte Analyse des Werkes, um daraus Informationen insbesondere über Muster, Trends und Korrelationen gemäß § 44b UrhG (»Text und Data Mining«) zu gewinnen, ist untersagt.

Markenschutz

Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne besondere Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.

Haftungsausschluss

Ungeachtet der Sorgfalt, die auf die Erstellung von Text, Abbildungen und Programmen verwendet wurde, können weder Verlag noch Autor*innen, Herausgeber*innen oder Übersetzer*innen für mögliche Fehler und deren Folgen eine juristische Verantwortung oder irgendeine Haftung übernehmen.

1. Auflage, Übersetzung der 2. englischen Auflage

IT-Security – Der praktische Leitfaden

Von Asset Management bis Penetrationstests

Amanda Berlin, Lee Brotherston und William F. Reyor III

Deutsche Übersetzung vonKathrin Lichtenberg

Wir hoffen, dass Sie Freude an diesem Buch haben und sich Ihre Erwartungen erfüllen. Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected].

Informationen zu unserem Verlag und Kontaktmöglichkeiten finden Sie auf unserer Verlagswebsite www.dpunkt.de. Dort können Sie sich auch umfassend über unser aktuelles Programm informieren und unsere Bücher und E-Books bestellen.

Autoren: Amanda Berlin, Lee Brotherston und William F. Reyor III

Übersetzung: Kathrin Lichtenberg

Lektorat: Ariane Hesse

Buchmanagement: Friederike Demmig, Julia Griebel

Copy-Editing: Sibylle Feldmann, www.richtiger-text.de

Satz: III-satz, www.drei-satz.de

Herstellung: Stefanie Weidner

Covergestaltung: Karen Montgomery, Michael Oréal, www.oreal.de

Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion, der Vervielfältigung auf fotomechanischen oder anderen Wegen und der Speicherung in elektronischen Medien.

Ungeachtet der Sorgfalt, die auf die Erstellung von Text, Abbildungen und Programmen verwendet wurde, können weder Verlag noch Autor*innen, Herausgeber*innen oder Übersetzer*innen für mögliche Fehler und deren Folgen eine juristische Verantwortung oder irgendeine Haftung übernehmen.

Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne besondere Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.

Die automatisierte Analyse des Werkes, um daraus Informationen insbesondere über Muster, Trends und Korrelationen gemäß § 44b UrhG (»Text und Data Mining«) zu gewinnen, ist untersagt.

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.

ISBN Print: 978-3-96009-263-6

ISBN PDF: 978-3-96010-925-9

ISBN ePub: 978-3-96010-926-6

1. Auflage 2025

Authorized German translation of the English edition of Defensive Security Handbook, 2E ISBN 9781098127244 © 2024 Amanda Berlin, Lee Brotherston and William F. Reyor III. This translation is published and sold by permission of O’Reilly Media, Inc., which owns or controls all rights to publish and sell the same.

Dieses Buch erscheint in Kooperation mit O’Reilly Media, Inc. unter dem Imprint »O’REILLY«.

O’REILLY ist ein Markenzeichen und eine eingetragene Marke von O’Reilly Media, Inc. und wird mit Einwilligung des Eigentümers verwendet.

Translation Copyright für die deutschsprachige Ausgabe © Rheinwerk Verlag, Bonn 2025

Rheinwerk Verlag GmbH • Rheinwerkallee 4 • 53227 Bonn

[email protected]

Inhalt

Vorwort der ersten Auflage

Vorwort

1Ein Sicherheitsprogramm anlegen

Die Voraussetzungen schaffen

Teams aufstellen

Ihre grundlegende Sicherheitslage ermitteln

Gefahren und Risiken beurteilen

Aufgabenbereich, Assets und Gefahren identifizieren

Risiken und Auswirkungen abschätzen

Mindern

Überwachen

Regeln

Priorisieren

Meilensteine setzen

Use-Cases, Tabletop-Übungen und Übungsalarme

Ihr Team und Ihre Fähigkeiten erweitern

Fazit

2Asset-Management und Dokumentation

Was ist Asset-Management?

Dokumentation

Das Schema einrichten

Optionen zur Datenspeicherung

Datenklassifikation

Ihr Inventarisierungsschema verstehen

Schritte zur Implementierung des Asset-Managements

Definieren des Lebenszyklus

Sammeln von Informationen

Das Verfolgen von Änderungen

Überwachung und Berichterstattung

Asset-Management-Richtlinien

Automatisieren

Etablieren einer »Single Source of Truth«

Organisieren eines unternehmensweiten Teams

Suchen Sie Fürsprecher im Management

Bleiben Sie bei der Softwarelizenzierung am Ball

Fazit

3Richtlinien

Sprache und Formulierungen

Dokumentinhalte

Themen

Speicherung und Kommunikation

Fazit

4Standards und Prozeduren

Standards

Prozeduren

Dokumentinhalte

Fazit

5Anwenderschulung

Gestörte Prozesse

Die Lücke schließen

Ihr eigenes Programm aufbauen

Ziele festlegen

Die Ausgangslage feststellen

Umfang und Erstellung von Programmregeln und Richtlinien

Positive Verstärkung bieten

Prozesse zur Reaktion auf Sicherheitsvorfälle definieren

Sinnvolle Metriken erhalten

Messungen

Erfolgsrate und Fortschritt verfolgen

Wichtige Metriken

Fazit

6Incident Response – die Reaktion auf Sicherheitsvorfälle

Prozesse

Prozesse, die man vor einem Zwischenfall haben sollte

Incident-Prozesse

Prozesse nach einem Zwischenfall

Werkzeuge und Technologien

Protokollanalyse

EDR/XDR/MDR – alle diese »Rs«

Festplatten- und Dateianalyse

Speicheranalyse

PCAP-Analyse

All-in-one-Werkzeuge

Fazit

7Disaster Recovery

Ziele setzen

Recovery Point Objective

Recovery Time Objective

Wiederherstellungsstrategien

Herkömmliche physische Backups

Warm Standby

Hochverfügbarkeit

Alternatives System

Neuzuweisung von Systemfunktionen

Cloud-natives Disaster Recovery

Abhängigkeiten

Szenarien

Ein Failover auslösen … und wieder zurück

Testen

Sicherheitsüberlegungen

Fazit

8Industrie-Compliance-Standards und Frameworks

Industrie-Compliance-Standards

Family Educational Rights and Privacy Act (FERPA)

Gramm-Leach-Bliley Act (GLBA)

Health Insurance Portability and Accountability Act (HIPAA)

Payment Card Industry Data Security Standard (PCI DSS)

Sarbanes-Oxley (SOX) Act

Frameworks

Center for Internet Security (CIS)

Cloud Control Matrix (CCM)

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO)

Control Objectives for Information and Related Technologies (COBIT)

Die ISO-27000-Reihe

MITRE ATT&CK

NIST Cybersecurity Framework (CSF)

Regulierte Branchen

Die Finanzbranche

Die Regierung

Gesundheitswesen

Fazit

9Physische Sicherheit

Physisch

Beschränkter Zugriff

Videoüberwachung

Wartung der Authentifizierungsmaßnahmen

Sichere Medien

Rechenzentren

Operative Aspekte

Besucher und Fremdfirmen identifizieren

Schulungen zur physischen Sicherheit

Fazit

10Microsoft-Windows-Infrastruktur

Schnelle Erfolge

Upgrade

Drittanbieter-Patches

Offene Shares

Active Directory Domain Services

Forests

Domänen

Domänencontroller

Organisationseinheiten

Gruppen

Accounts

Group Policy Objects (GPOs)

Fazit

11Unix-Anwendungsserver

Auf dem neuesten Stand bleiben

Software-Updates von Drittanbietern

Updates des eigentlichen Betriebssystems

Einen Unix-Anwendungsserver härten

Dienste deaktivieren

Dateiberechtigungen einstellen

Hostbasierte Firewalls benutzen

Die Dateiintegrität verwalten

Separate Festplattenpartitionen konfigurieren

chroot benutzen

Richten Sie eine Mandatory Access Control ein

Fazit

12Endpunkte

Auf dem neuesten Stand bleiben

Microsoft Windows

macOS

Unix-Desktops

Drittanbieter-Updates

Endpunkte härten

Dienste deaktivieren

Desktop-Firewalls benutzen

Die komplette Festplatte verschlüsseln

Schutzwerkzeuge für Endpunkte benutzen

Mobile Device Management

Sichtbarkeit der Endpunkte

Zentralisierung

Fazit

13Datenbanken

Einführung in Datenbanken und deren Bedeutung für die Informationssicherheit

Datenbankimplementierungen

Verbreitete Datenbankmanagementsysteme

Eine Fallstudie aus dem richtigen Leben: der Marriott-Datendiebstahl

Gefahren und Schwachstellen der Datenbanksicherheit

Unberechtigter Zugriff

SQL-Injection

Datenlecks

Bedrohungen von innen

Die Verteidigung umgehen

Best Practices der Datenbanksicherheit

Datenverschlüsselung

Authentifizierungs- und Autorisierungsmechanismen

Konfigurieren und Härten einer sicheren Datenbank

Datenbankmanagement in der Cloud

Praktische Übung: Implementieren einer Verschlüsselung in einer MySQL-Datenbank (Operation Lockdown)

Fazit

14Cloud-Infrastruktur

Arten von Cloud-Diensten und die Implikationen für deren Sicherheit

Software as a Service (SaaS)

Platform as a Service (PaaS)

Infrastructure as a Service (IaaS)

Das Modell der gemeinsamen Verantwortung

Verbreitete Fehler bei der Cloud-Sicherheit und wie Sie diese vermeiden können

Fehlkonfigurationen

Unzulängliche Verwaltung von Zugangsdaten und Geheimnissen

Cloud-Ressourcen mit zu vielen Berechtigungen

Schlechte Sicherheitshygiene

Mangelndes Verständnis für das Modell der gemeinsamen Verantwortung

Best Practices der Cloud-Sicherheit

Beginnen Sie mit sicheren architektonischen Mustern

Geheimnisse richtig verwalten

Setzen Sie auf gut gestaltete Frameworks

Befolgen Sie weiterhin die Best Practices zur Sicherheit

Übung: Einblick in die Sicherheit einer AWS-Umgebung gewinnen

Konfigurieren einer SNS-E-Mail-Benachrichtigung

GuardDuty aktivieren

EventBridge einrichten, um Warnmeldungen an E-Mail umzuleiten

Testen

Fazit

15Authentifizierung

Identity and Access Management

Passwörter

Passwortgrundlagen

Verschlüsselung, Hashing und Salting

Passwortmanagement

Zusätzliche Passwortsicherheit

Verbreitete Authentifizierungsprotokolle

NTLM

Kerberos

LDAP

RADIUS

Unterschiede zwischen Protokollen

Protokollsicherheit

Das beste Protokoll für Ihre Organisation auswählen

Multi-Faktor-Authentifizierung

MFA-Schwächen

Wo sie implementiert werden sollte

Fazit

16Sichere Netzwerkinfrastruktur

Geräte härten

Firmware-/Software-Patching

Dienste

SNMP

Verschlüsselte Protokolle

Managementnetzwerk

Hardwaregeräte

Bastion-Hosts

Router

Switches

Drahtlosgeräte

Design

Egress-Filterung

IPv6: Ein Hinweis zur Warnung

TACACS+

Netzwerkangriffe

ARP-Cache-Poisoning und MAC-Spoofing

DDoS-Amplification

VPN-Angriffe

Der Drahtlosbereich

Fazit

17Segmentierung

Netzwerksegmentierung

Physisch

Logisch

Ein Beispiel für ein physisches und logisches Netzwerk

Software-defined Networking

Anwendungssegmentierung

Segmentierung von Rollen und Verantwortlichkeiten

Fazit

18Schwachstellenmanagement

Authentifizierte versus nicht authentifizierte Scans

Werkzeuge zur Schwachstellenbewertung

Open-Source-Werkzeuge

Schwachstellenmanagementprogramm

Die Programminitialisierung

Business as Usual

Die Priorisierung der Verbesserungen

Risikoduldung

Fazit

19Entwicklung

Die Sprachauswahl

Assembler

C und C++

Go

Rust

Python/Ruby/Perl

PHP

Richtlinien zum sicheren Programmieren

Testen

Automatisiertes statisches Testen

Automatisiertes dynamisches Testen

Peer Review

Der Software Development Lifecycle

Fazit

20OSINT und das Purple Team

Open Source Intelligence

Informations- und Zugriffstypen

Moderne OSINT-Werkzeuge

Purple Teaming

Ein Purple-Teaming-Beispiel

Fazit

21Intrusion-Detection- und Intrusion-Prevention-Systeme verstehen

Rollen in der Informationssicherheit

IDS- und IPS-Typen erkunden

Netzwerkbasierte IDS

Hostbasierte IDS

IPS

NGFWs

IDS und IPS in der Cloud

AWS

Azure

GCP

Mit IDS und IPS arbeiten

Falsch-Positive verwalten

Ihre eigenen Signaturen schreiben

IDS/IPS-Positionierung

Verschlüsselte Protokolle

Fazit

22Protokollierung und Überwachung

SIEM – Security Information and Event Management

Wieso sollte man ein SIEM benutzen?

Der Umfang der Abdeckung

Das SIEM entwerfen

Protokollanalyse und -anreicherung

Sysmon

Gruppenrichtlinie

Beispiele für Warnungen und Protokollierungsquellen, auf die Sie sich konzentrieren sollten

Authentifizierungssysteme

Anwendungsprotokolle

Cloud-Dienste

Datenbanken

DNS

Lösungen zum Schutz von Endpunkten

IDS/IPS

Betriebssysteme

Proxy- und Firewall-Protokolle

Benutzer-Accounts, Gruppen und Berechtigungen

Die Konfiguration testen und fortsetzen

An Detection-Frameworks, Compliance-Mandaten und Use-Cases ausrichten

MITRE ATT&CK

Sigma

Compliance

Use-Case-Analyse

Fazit

23Und noch einen Schritt weiter!

E-Mail-Server

DNS-Server

Security through Obscurity

Nützliche Ressourcen

Bücher

Blogs

Podcasts

Websites

Index

Vorwort der ersten Auflage

Verbringen Sie ein bisschen Zeit in der Welt der Informationssicherheit, und Sie merken schnell, dass die Typen auf der offensiven Seite der Sicherheit die meiste Aufmerksamkeit erhalten. Vom Finden neuer Schwachstellen und Erzeugen von Exploits über das Einbrechen in Systeme und Aufspüren von Bugs bis hin zu Fernsehauftritten und Capture-the-Flag-Wettbewerben geht der gesamte Ruhm an die roten Teams. Dabei dreht sich die Sicherheitswelt um mehr, viel mehr als nur Angriffe.

Das blaue Team, das auf der defensiven Seite steht, wirkt vielleicht, als würde es eine einsame Schlacht ohne viel Anerkennung bestreiten. Dabei ist es wichtig, nobel und wertvoll sich um die Verteidigung zu kümmern. Wir Verteidiger sind wichtig für die Zukunft unserer Organisationen sowie für die Jobs und den Lebensunterhalt unserer Kolleginnen und Kollegen. Wenn die Bösewichte gewinnen, sind Jobs in Gefahr, Unternehmen werden von ihren eigentlichen Zielen abgelenkt, und die bösen Typen können sich bereichern, um ihre niederträchtigen Zwecke fortzusetzen. Und es stehen, fast wie in einem Cyberpunk-Roman, angesichts des Trends des Internets der Dinge bald schon auch Menschenleben auf dem Spiel, wenn die Bösen erfolgreich sind.

Für viele von uns waren die ersten Schritte in die Sicherheitswelt die als Techniker, um vielleicht eine Firewall oder ein Intrusion-Detection-System (IDS) für ihren Arbeitgeber zu betreiben. Solche Fertigkeiten sind natürlich sehr geschätzt. Einen ganzheitlichen Blick auf die defensive Sicherheit zu gewinnen, kann allerdings ohne die richtigen Ressourcen schwierig sein. Da es immer noch einen Mangel an wertvollen Talenten im Bereich der Informationssicherheit gibt, brauchen wir mehr Leute denn je, die lernen und in die Rolle als Verteidiger der IT-Sicherheit hineinwachsen. Und damit sie es gut machen, brauchen sie einen ganzheitlichen Blick auf die Sicherheitslandschaft.

Eine andere Herausforderung, der wir uns oft gegenübersehen, ist die Tatsache, dass ein Großteil des Narrativs rund um Verteidigungen, Technologie, Gefahren und Vordenkerschaft in der Welt der defensiven Sicherheit von den Herstellern selbst, ihren schicken Demos und Marketingpräsentationen stammt. Man kann zwar gewiss eine Menge von ihnen lernen, da sie natürlich auf die Probleme fokussiert sind, die Organisationen zu lösen versuchen, darf aber nicht übersehen, dass sie manchmal eine sehr enge Weltsicht haben. IT-Sicherheitsanbieter definieren oft das gestellte Problem als das Problem, das sie mit ihrer Technologie lösen können, und nicht unbedingt als das Problem, das eine Organisation tatsächlich hat. Stellt man dieser Sichtweise einen ganzheitlichen Blick auf die defensive Sicherheit gegenüber, kann man Organisationen wirklich helfen, so sicher zu werden, wie sie es brauchen.

Deshalb fühle ich mich so geehrt, das Vorwort für IT-Security kompakt (Originaltitel: Defensive Security Handbook) zu schreiben. Die Welt der Sicherheit ändert sich rasend schnell, und wir brauchen mehr Menschen auf der Verteidigerseite, die aus den Erfahrungen und schwer erkämpften Lektionen ihrer Vorgänger lernen. Dieses Buch ist großartig, weil es wichtige Prinzipien und Fertigkeiten vorstellt und eine breit angelegte Übersicht über die komplexe und wachsende Landschaft der defensiven Sicherheit bietet. Amanda Berlin und Lee Brotherston führen in die vielfältige Welt der IT-Sicherheit ein. Natürlich gibt es ganze Bücher zu winzigen Bestandteilen der hier behandelten Themen, dieses Handbuch jedoch gibt dem Sicherheitsexperten einen Überblick über die unzähligen Fähigkeiten, die notwendig sind, um erfolgreich zu sein. Dieses Buch ist ein guter Einstieg für Neulinge in der Welt der Informationssicherheit, eignet sich aber auch für jene, die ihre Fertigkeiten erweitern wollen, und sogar für die, die bereits seit Jahren in der Branche tätig sind und sich versichern wollen, dass sie tatsächlich alle Bereiche absichern.

Ich bin der Überzeugung, dass Sie dieses Buch als eine wertvolle Ressource immer in Ihrer Nähe behalten und bei Ihrer Arbeit immer wieder konsultieren werden. Viel Glück auf Ihrem Weg, und bleiben Sie immer dran, um den guten Kampf zu kämpfen. Selbst wenn es einsam und schwierig zu sein scheint, sollten Sie sich daran erinnern, dass Ihre Arbeit wichtig ist und es viele Menschen gibt, die Ihnen helfen können. Amanda und Lee haben großartige Arbeit dabei geleistet, ihre Erfahrungen zu teilen – und nun ist es an uns, von ihnen zu lernen.

– Andrew KalatCo-Host des Defensive Security PodcastFebruar 2017

Vorwort

Im Laufe des letzten Jahrzehnts hat der Einsatz von Technologien weltweit explosionsartig zugenommen, und Unternehmen haben Mühe, Schritt zu halten. Benutzbarkeit und Gewinnerzielung waren die treibenden Faktoren, oft unter Vernachlässigung eines proaktiven Designs und der Sicherheit, die für eine langfristige Stabilität erforderlich sind. Mit der Zunahme von spektakulären Hacks, rekordverdächtigen Datendiebstählen und Ransomware-Angriffen ist es unsere Aufgabe, nicht nur die normalen Installationen durchzuführen, sondern auch unsere Daten und unsere anderen Güter nach besten Möglichkeiten abzusichern. Es wird immer wieder Fälle geben, in denen Sie in eine Umgebung geraten, die ein metaphorisches Fiasko mit so vielen Baustellen ist, dass Sie gar nicht wissen, wo Sie anfangen sollen. Dieses Buch gibt Ihnen, was Sie brauchen, um ein solides und sicheres Design für die meisten Situationen zu schaffen, die Ihnen begegnen werden.

Heutige Angriffe können aus vielen unterschiedlichen Motivationen heraus geschehen und von ganz unterschiedlichen Personen ausgeführt werden: von organisierten Verbrechergruppen, die damit viel Geld machen wollen, ebenso wie von Hacktivisten, die Unternehmen bestrafen wollen, die sie für unmoralisch oder menschenfeindlich halten. Wie auch immer die Motivation lautet und wer auch immer die Attacken fährt – viele Angriffe sind gut organisiert und werden von Expertinnen und Experten durchgeführt, oft mit einer Menge Geld im Hintergrund.

Diese Änderung in der Landschaft hat dazu geführt, dass viele Organisationen in einer Art Wettlauf gefangen sind und merken, dass ihr Informationssicherheitsprogramm entweder nicht die Managementunterstützung bekommen hat, die es verdient, oder dass noch nie existiert hat. Diese Organisationen versuchen, dies zu ändern, indem sie ihre Sicherheitsinitiativen weiterführen oder überhaupt erst einmal starten. Dabei gibt es jedoch ein Problem.

Die Informationssicherheit ist eine Branche, in der aktuell eine Zeit der negativen Beschäftigungslosigkeit herrscht. Das heißt, es gibt mehr offene Stellen als Personen, die diese Stellen besetzen können. Menschen einzustellen, ist schwer, und gute Menschen einzustellen, ist noch schwerer. Das kann für diejenigen, die eine Anstellung suchen, von Vorteil sein. Für die Arbeitgeber besteht dagegen ein gewisses Risiko, da sie einem neuen Angestellten nicht nur eine Menge Geld bieten, sondern auch ein gewisses Vertrauen entgegenbringen müssen.

Aus diesem Grund gehen viele Unternehmen, die jetzt ein Informationssicherheitsprogramm aufsetzen wollen, lieber den Weg, jemanden aus einer anderen Rolle auf diese Posten zu hieven, etwa einen Systemadministrator oder eine Systemarchitektin. Eine andere verbreitete Vorgehensweise besteht darin, einen Berufsanfänger einzustellen und von diesem zu erwarten, in der Praxis alles Nötige zu lernen. Das sind Situationen, in denen dieses Buch weiterhelfen möchte.

Viele der Probleme, die Unternehmen mit einem unausgereiften Informationssicherheitsprogramm haben, können mit einer einfachen Sicherheitshygiene behoben oder zumindest beträchtlich verringert werden. Wenn man eine neue und unausgereifte Sicherheitsabteilung erbt, könnte die reflexartige Reaktion darin bestehen, so viele Geräte mit schön blinkenden LEDs zu kaufen, wie es geht, in der Hoffnung, dass die Probleme damit verschwinden. Manche Menschen würden sogar lieber ein anderes Unternehmen unter Vertrag nehmen, damit es ihnen bei der Sicherheit hilft. Beide Optionen kosten Geld. Oft stehen dafür jedoch keine Mittel zur Verfügung – und es bleibt nur, die Werkzeuge zu benutzen, die in der Umgebung bereits vorhanden sind.

Unser Ziel

Unser Ziel ist es nicht nur, dieses Buch zu einem Standard zu machen, der auf die meisten Unternehmensnetzwerke angewandt werden kann, sondern das auch auf unterhaltsame Weise zu tun. Es gibt bereits jede Menge tiefgreifender Standards sowohl von Regierungsstellen als auch von privaten Organisationen, die sich endlos über die Gültigkeit der einen oder anderen Sicherheitsmaßnahme verbreiten. Wir möchten, dass dies ein informativer Dialog ist, der auf realen Erfahrungen aus der Branche basiert. Es ist hoffentlich eine ansprechende Mischung aus guten Richtlinien, bewährten Praktiken, Codeschnipseln, Screenshots, Komplettlösungen und Lästereien. Wir wollen die Massen erreichen – Netzwerkadmins, die keine Unterstützung anheuern dürfen, Manager, die wissen wollen, dass sie nicht die einzigen sind, die tagaus, tagein ebensolche Kämpfe ausfechten müssen wie wir, und Menschen, die sich am Ende wirklich die Hände schmutzig machen und nicht hinterherkommen, um Whitepapers und RFCs zu lesen.

An wen sich dieses Buch richtet

Dieses Buch soll als Einmaleins der Sicherheit dienen, das sich für so viele Umgebungen eignet wie möglich, um mit einem minimalen finanziellen Aufwand eine maximale Verbesserung Ihrer Sicherheitslage zu erreichen. Zu den Positionen, die Kenntnisse und anwendbare Daten mitnehmen können, gehören die IT-Leitung bzw. die Chief Information Officers (CIO) ebenso wie Geschäftsführer, Sicherheitsanalytiker, Systemadministratoren und andere technische Rollen.

Durch das Buch navigieren

Wir haben das Buch bewusst so geschrieben, dass Sie nicht erst alles lesen müssen, um einen Nutzen daraus zu ziehen. Jedes der Kapitel kann für sich genommen ein bestimmtes Wissensgebiet vermitteln. Sie können sich also die Themen herauspicken, die Sie interessieren, und alles andere ignorieren. Das Ziel ist nicht, Konformität mit einem bestimmten Framework oder Compliance-Regime zu erreichen, sondern die aktuelle Situation in vernünftigen, pragmatischen, machbaren Schritten zu verbessern.

Das Buch beginnt mit den Grundlagen für den Aufbau oder die Umgestaltung eines Informationssicherheitsprogramms. Es führt Sie dann vom Grundgerüst der Programmerstellung in die Tiefen der eher technischen Themen. Viele Menschen erkennen gar nicht, wie viele Implementierungen in einem Unternehmen erledigt werden können, bevor man viel Geld in die Hand nehmen muss. Ein großes Problem im Bereich der Informationssicherheit besteht oft darin, dass man um die Zustimmung der Führungsebene kämpfen muss. Die beste Methode, um ein Budget zugewiesen zu bekommen, bestünde darin, zu beweisen, dass Sie bereits sorgfältig vorgearbeitet haben. Ein Großteil dieses Buchs enthält Schritte, Werkzeuge, Prozesse und Ideen, mit denen Sie eine Umgebung sichern und schützen können, auch wenn Ihnen nicht viel Geld zur Verfügung steht.

Nach den ersten Planungsschritten für das neue und glänzende Sicherheitsprogramm kommen wir zu einem grundlegenden Satz an Richtlinien, Standards und Prozeduren. Wenn Sie diese schon im Anfangsstadium Ihres Sicherheitsprogramms einrichten, haben Sie einen guten Ausgangspunkt für weiteres Wachstum und die Reifung Ihrer Maßnahmen. Indem Sie die Richtlinien als Mittel nutzen, um Ihre Erwartungen zu kommunizieren, können Sie die Personen in Ihrer Organisation in Einklang mit dem bringen, was von ihnen und ihrer Rolle erwartet wird.

Wir sind bereits früh in diesem Buch auf die Benutzerschulungen eingegangen, da es tatsächlich nie zu früh ist, Ihren Angestellten zu vermitteln, worauf sie achten müssen (und sie als entscheidenden Faktor beim Entdecken von Problemen einzusetzen). Je nach der derzeitigen Stärke Ihrer Verteidigung sollte dies jedoch erst dann Ihr Hauptaugenmerk sein, wenn Sie eine solide Grundlage geschaffen haben. Angreifer werden sich kaum um die menschliche Interaktion kümmern, wenn sie einfach aus der Ferne Verbindungen herstellen können, ohne dass echte Personen beteiligt sind.

Das Buch geht dann zu den Planungen über sowie zum Umgang mit Einbrüchen, Katastrophen, Compliance und der physischen Sicherheit. Alle diese Dinge kombinieren die Management- und die organisatorische Seite der Informationssicherheit mit den physischen Werkzeugen und der Infrastruktur, die erforderlich sind, um Sicherheit herzustellen. Bereit zu sein für physische oder technische Notfälle kann den Unterschied machen zwischen einer geschmeidigen und stetigen Wiederherstellung und einem Komplettausfall des gesamten Unternehmens – und allen Stufen zwischen diesen beiden Extremen.

Ein gutes, solides Grundgerüst ist erst der Anfang. Nachdem wir den Entwurfsteil des Programms behandelt haben, kommen wir zu den eher technischen Kategorien und der Sicherheitsarchitektur, beginnend mit den zwei Hauptrichtungen bei den Betriebssystemen. Sowohl Microsoft als auch Unix haben ihre Pros und Kontras. In Bezug auf Microsoft wird einiges davon abgedeckt mit der Installation des Enhanced Mitigation Experience Toolkit (EMET), optimal eingerichteten Gruppenrichtlinien und Microsoft-SQL-Sicherheit. Bei Unix behandeln wir Drittanbieter-Updates und das Härten von Server bzw. Betriebssystem, was das Deaktivieren von Diensten, das Verständnis von Dateiberechtigungen, hostbasierte Firewalls, Festplattenpartitionen und andere Zugriffskontrollen einschließt. Auch die Endpunktverwaltung fällt in diese Kategorie. Ein verbreitetes Problemfeld, das wir in Unternehmen sehen, betrifft die Praktiken rund um die Verwendung eigener Geräte (das Prinzip Bring Your Own Device bzw. BYOD) und die Verwaltung von Mobilgeräten (Mobile Device Managementbzw. MDM). Wir werden uns außerdem mit der Verwaltung und Implementierung von Endpunktverschlüsselungen beschäftigen.

Zwei weitere wichtige Punkte, die oft ignoriert werden (oder nicht so viel Aufmerksamkeit erhalten, wie sie verdienen), sind die Netzwerkinfrastruktur und das Passwortmanagement. Wenn wir uns mit Netzwerkinfrastrukturen befassen, schauen wir uns unter anderem die Portsicherheit, das Deaktivieren unsicherer Technologien, die Geräte-Firmware und die Ausgangsfilterung an. Wir behandeln die Segmentierung – einschließlich der Implementierung virtueller lokaler Netzwerke bzw. VLANs mit Zugriffskontrolllisten (Access Control Lists bzw. ACLs), um sicherzustellen, dass das Netzwerk nicht flach ist –, die Delegierung von Berechtigungen und Network Access Controls. Anschließend schauen wir uns das Scannen und Beheben von Schwachstellen an. Die meisten Schwachstellenscanner für Unternehmen sind nicht kostenlos. Wir schauen sie uns in diesem Kapitel deshalb an, um ihren Wert zu ermitteln, indem wir sie während einer kostenlosen Testperiode ausprobieren (bevor Sie möglicherweise das ganze Produkt kaufen). Oder wir versuchen das meiste aus einer Vollversion herauszuholen, die vielleicht sogar schon in Ihrer Organisation vorhanden ist.

Viele Organisationen haben ein eigenes Entwicklungsteam. Allerdings konzentriert sich die Ausbildung von Entwicklerinnen und Entwicklern üblicherweise auf Leistung, Optimierung, Skalierbarkeit und Interoperabilität. Sichere Programmierpraktiken wurden erst in den letzten Jahren in das Softwareentwicklungstraining aufgenommen. Wir werden Techniken diskutieren, mit denen die aktuelle Situation verbessert und das Risiko, das oft mit internen Entwicklungen assoziiert wird, reduziert werden kann.

Purple Teaming, eine Kombination aus offensiver (rotes Team) und defensiver (blaues Team) Sicherheit, kann je nach Mitarbeitersituation und Unternehmensregeln schwierig umzusetzen sein. Es handelt sich um ein relativ neues Konzept, das in den letzten Jahren eine Menge Aufmerksamkeit erfahren hat. Kapitel 18 behandelt einige Grundkonzepte des Penetration-Testings sowie Social Engineering und die sogenannte Open Source Intelligence, also Informationen, die frei für jedermann zugänglich sind.

Schließlich kommen wir zu einigen der zeitaufwendigsten Praktiken, wenn wir uns mit dem Intrusion Detection System (IDS), dem Intrusion Prevention System (IPS), dem Security Operations Center (SOC) sowie mit Protokollierung und Überwachung beschäftigen. Wir haben festgestellt, dass viele Organisationen diese Technologien für eine einmalige Installations- oder Setup-Prozedur halten, nach der sie sich sicher fühlen können. Dabei lohnt es sich, Zeit, Aufwand und Geld in einen kontinuierlichen Konfigurationsprozess zu stecken, da sich Ihre interne Umgebung immer wieder ändert und ebenso die Gefahren, um die Sie sich sorgen müssen. Wir werden keine speziellen Herstellerempfehlungen geben. Stattdessen haben wir uns dafür entschieden, Gesamtlösungen und -konzepte zu diskutieren, die sinnvoller sind als Empfehlungen für bestimmte Produkte.

Das letzte Kapitel ist quasi die Resterampe, in der Sie Ideen und Hinweise finden, die an keiner anderen Stelle Platz gefunden haben.

Nun gut, schauen wir nun, was wir machen können, um ein paar Dinge zu verbessern.

Konventionen in diesem Buch

Die folgenden typografischen Konventionen werden in diesem Buch benutzt:

Kursiv

Kennzeichnet neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen.

Nichtproportionalschrift

Wird verwendet für Programmlistings sowie innerhalb des Fließtexts, um Programmelemente wie Variablen oder Funktionsnamen, Datenbanken, Datentypen, Umgebungsvariablen, Anweisungen und Schlüsselwörter zu kennzeichnen.

Nichtproportionalschrift fett

Zeigt Befehle oder andere Texte, die wörtlich von den Usern eingetippt werden sollen.

Nichtproportionalschrift kursiv

Zeigt Text, der durch Werte ersetzt werden soll, die User angeben oder die durch den Kontext bestimmt werden.

Hinweis

Dieses Element kennzeichnet einen allgemeinen Hinweis.

Warnung

Dieses Element kennzeichnet eine Warnung.

Danksagungen

Zuallererst möchten wir ganz herzlich unseren technischen Gutachtern danken: Chris Dotson, Rajat Dubey und Swapnil Shevate.

Amanda

Ich habe so viele Menschen, denen ich danken muss; der Vorteil, ein eigenes Buch zu schreiben, ist, dass man immer weiter und weiter und weiter machen kann … Sie verstehen schon.

Mein Co-Autor Lee war absolut unglaublich. Wir haben beide unwahrscheinlich viele Stunden investiert, um die erste Auflage fertigzustellen. Die Möglichkeit, die Arbeit des jeweils anderen zu begutachten und Ideen auszutauschen, ist eine solide Grundlage für eine Freundschaft und eine gute Arbeitspartnerschaft. Ich hätte es nicht besser treffen können.

Mein zweiter Co-Autor Bill, den wir zur zweiten Auflage hinzugezogen haben, war uns eine wirklich große Hilfe. Bücher zu schreiben, ist nicht immer leicht, vor allem angesichts all der anderen Dinge, die im Leben so passieren. Bill hatte das Fachwissen und die Erfahrung, um Lee und mir zu helfen, die zweite Auflage über die Ziellinie zu bekommen. Es war großartig, mit ihm zusammenzuarbeiten.

Besonders danken möchte ich meinen drei wunderbaren Jungs Michael, James und Wyatt. Sie sind zu solch unabhängigen und fantastischen Menschen herangewachsen. Ohne ihre Unterstützung und ihr Verständnis für die viele Zeit, die ich in den letzten Jahren für dieses Buch aufgebracht habe, wäre ich jetzt nicht hier.

Ich danke meiner Mom für ihre beständige Unterstützung und Ermutigung und dafür, dass sie mein Haus putzt, wenn ich unterwegs bin.

Matt, du bist der beste Partner, den man sich wünschen kann. Teamarbeit, gegenseitiger Respekt und Unterstützung und all die anderen Dinge haben es mir unglaublich erleichtert, eine zweite Auflage zu schreiben. <3

Ich möchte den Kolleginnen und Kollegen danken, die ich über die Jahre hatte, für all die Zeiten, in denen sie für mich mit all meinen Makeln da waren. Ich danke meinen Mentoren, von denen einige mich durch meine gesamte Laufbahn begleitet haben, während andere für mich da waren, seit ich mich auf die Wege von Informationssicherheit und Mitarbeiterführung begeben habe. Ein besonderer Dank geht an @_sn0ww für die Hilfe bei den Inhalten rund um physische Sicherheit und Social Engineering sowie an Alan Burchill für seine Kenntnisse über die Gruppenrichtlinien. Die IT-Sicherheitsgemeinschaft hat mir geholfen, mich weiterzuentwickeln, auch wenn ich jeden Tag mit meinen Selbstzweifeln hadere und mich wie eine Hochstaplerin fühle. Ihr wart für mich da, wenn ich euch gebraucht habe, um mich aufzufangen, mich etwas zu lehren und mich zu entspannen. Ihr seid zu viele, um euch alle einzeln aufzuzählen, ihr solltet aber dennoch wissen, dass ich unsere tiefsinnigen Gespräche bei Drinks, Treffen, Facebook, Twitter, in Kellern und auf anderen Plattformen sehr genossen habe.

Und schließlich möchte ich meinen Armen danken, dass sie immer an meiner Seite waren, meinen Beinen, dass sie mich getragen haben, meinen Hüften, dass sie nicht lügen, und meinen Fingern, dass ich immer auf sie zählen konnte. Danke, dass ihr an mich geglaubt habt.

Lee

Zunächst einmal danke ich meiner Frau Kirsty und unseren Kindern Noah, Amy und Dylan, dass sie mich bei allem unterstützen, was ich tue, dass sie unendliche Geduld gezeigt und mir die Zeit gewährt haben, an diesem Buch zu arbeiten. Danke. Ich liebe euch, x x x.

Ich danke allen, die mit uns an der ersten Auflage gearbeitet haben, ohne die wir diese zweite Auflage nicht herausbringen könnten: Courtney Allen, dass sie an uns geglaubt und uns immer wieder angetrieben hat, sodass dieses Projekt überhaupt zustande kam, unseren technischen Gutachtern Chris Blow, Mark Boltz-Robinson, Alex Hamerstone und Steven Mask sowie schließlich Virginia Wilson dafür, dass sie unser Transkript immer und immer wieder gelesen hat.

Weiterhin danke ich allen bei O’Reilly, die auf der Reise zu einer zweiten Auflage zu uns gestoßen sind: Clare Laylock und Shira Evans.

Ich danke Amanda für all die schwere Arbeit, die sie in die erste und zweite Auflage dieses Buchs gesteckt hat, und William F. Reyor, dass er uns bei dieser zweiten Auflage begleitet hat.

Dank geht an O’Reilly Media für ihre Hilfe und Unterstützung.

Danke auch an Bea Hughes, für die »Tadel« vielleicht ein besseres Wort wäre … ich scherze … quasi :)

Es gibt darüber hinaus eine Reihe weiterer Menschen, die den aufregenden Mix aus InfoSec-Gemeinschaft, Kollegen und Freunden bilden, denen ich danken will, dass sie mir bei diesem Projekt mit emotionaler Unterstützung, Mentoring, Ratschlägen, Koffein und Alkohol zur Seite gestanden haben. Um keinen Fauxpas zu begehen, liste ich sie einfach in alphabetischer Reihenfolge auf:

James Arlen, Frederic Dorré, Bill Gambardella, Nick Johnston, Alex Muentz, Brendan O’Connor, Allan Stojanovic, Wade W. Wilson, praktisch alle aus der InfoSec-Gemeinschaft Toronto sowie die 487 anderen Menschen, die ich eigentlich auch noch erwähnen müsste.

Bill

Ich stehe auf den Schultern von Riesen und wäre völlig verloren ohne die folgenden Menschen, die mir geholfen haben. Ich danke zunächst Bree Skowera, die mich bei meinem allerersten IT-Job (ACS/HCS) gelehrt hat, im Sinne komplexer Systeme zu denken, um unglaublich komplexe Probleme zu lösen. Du bist eine Zauberin und hast mir geholfen, eine Fundament zu bauen, auf das ich mich bis heute stützen kann.

Mein Dank geht an Will, an diese frühen Tage nach deiner Freilassung im Jahr 2008, als du dich bemüht hast, zu zeigen, dass du einen positiven Beitrag zur Gesellschaft leisten kannst; wir haben Tage und Nächte zusammengearbeitet, zuerst mit der MySBK PC-Distribution und dann später, als wir gemeinsam den NESIT Hackerspace und BSidesCT gegründet haben. Wenn wir einmal Ruhe hatten, hast du mir einen Einblick darin (und in viele Beispiele) gewährt, wie Hacker denken und wo ich Haken erwarten sollte. Dich zu kennen und von dir zu lernen, hat es mir erlaubt, besser als andere Menschen Bösartiges aufzuspüren, und ich bin dir sehr dankbar.

Ich danke Nick Sorgio und Tyler Tom. Ihr habt mich gelehrt, wie wahres Können bei der Incident Response aussieht, und ich bin euch wahnsinnig dankbar für eure Weisheit.

Andy Dennis, du hast mich immer angetrieben, mehr zu lernen, mehr abzuliefern und bessere Beziehungen zu meinem Team, meinen Kolleginnen und Kollegen sowie den Kunden bei Modus Create aufzubauen. Durch Andy habe ich gelernt, wie ein hoch funktionales Entwicklungs- und DevOps-Team aussieht. Und es überrascht niemanden, der ihn kennt, dass er all das mit einem Maß an Optimismus und positivem Denken erledigt, das schier unerreicht ist.

Mein Dank geht an Amanda Berlin und Lee Brotherston für eure Freundschaft und die Einladung, mich als Co-Autor an einem solch unglaublichen Projekt zu beteiligen. Ich danke all den hervorragenden Menschen, mit denen wir bei O’Reilly Media zusammengearbeitet haben, darunter Shira Evans und Clare Laylock. Danke, dass ihr an uns geglaubt habt.

Und schließlich danke ich meinem Ehemann Patrick Tassos, dass er mich in diesen letzten 24 Jahren durch dick und dünn begleitet hat. Du warst immer mein größter Fürsprecher, und ich bin so froh und glücklich, dich zu haben; 143.

KAPITEL 1

Ein Sicherheitsprogramm anlegen

Menschen sind allergisch gegenüber Veränderungen. Sie sagen nur allzu gern: »Wir haben das immer schon so gemacht.« Ich versuche, dagegen anzukämpfen. Deswegen habe ich eine Uhr an der Wand, die entgegen dem Uhrzeigersinn läuft.

– Grace Hopper, »The Wit and Wisdom of Grace Hopper« (1987)

Das Anlegen oder Verbessern eines Sicherheitsprogramms ist eine Aufgabe, die auf den ersten Blick einschüchternd wirkt. Es sind ungeheuer viele Fassetten zu beachten. Je mehr anfängliche Denkarbeit und Planung in die Erstellung des Programms fließt, umso einfacher ist es auf lange Sicht zu verwalten. In diesem Kapitel werden wir das Grundgerüst eines Sicherheitsprogramms sowie die ersten administrativen Schritte betrachten.

Gewöhnen Sie sich gar nicht erst an, beim Erledigen von Aufgaben, Abarbeiten von Routinen oder Fertigstellen von Konfigurationen zu denken: »So haben wir das immer schon gemacht.« Diese Denkweise führt nämlich irgendwann dazu, dass ihre Fortschritte behindert und Ihre Sicherheitsregeln verletzt werden.

Wir empfehlen Ihnen, beim Erstellen Ihres Programms die Schritte, die in diesem Kapitel vorgestellt werden, nacheinander abzuarbeiten. Wir haben versucht, die restlichen Kapitel entsprechend zu gruppieren, allerdings können Sie diese auch so durcharbeiten, wie es am besten zu Ihrer Organisation passt.

Die Voraussetzungen schaffen

Man muss das Rad nicht neu erfinden, wenn man die Grundlagen für ein IT-Sicherheitsprogramm schafft. Es gibt einige Standards, die von großem Nutzen sein können. Wir werden diese in Kapitel 8 behandeln. Das National Institute of Standards and Technology (NIST) bietet ein risikobasiertes Cybersecurity-Framework, das viele Aspekte eines solchen Programms abdeckt. Das Cybersecurity Framework (CSF) 2.0 (https://oreil.ly/p5k3B) des NIST besteht aus sechs gleichzeitig und kontinuierlich ausgeführten Funktionen: Identify, Protect, Detect, Respond, Recover und Govern (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen und Regeln). Zusammen betrachtet, bilden diese Funktionen einen detaillierten, strategischen Blick auf die Phasen des Managements der Cybersecurity-Risiken einer Organisation.

Nicht nur ein Framework ist eine mögliche Hilfe, auch die Compliance-Standards können ein Plus darstellen. Schlecht implementierte Compliance-Standards behindern zwar möglicherweise die Gesamtsicherheit einer Organisation, sie können aber auch ein guter Ausgangspunkt für ein neues Programm sein. Wir werden in Kapitel 8 näher auf Compliance-Standards eingehen. Doch wenngleich Ressourcen wie diese einen spektakulären Mehrwert bieten können, müssen Sie natürlich immer im Hinterkopf behalten, dass jede Organisation anders ist und manche Aspekte, über die wir sprechen, für Ihren Fall nicht unbedingt relevant sind – wir werden Sie in diesem Buch immer wieder daran erinnern.

Teams aufstellen

Wie in vielen anderen Abteilungen ist es in Bezug auf die Sicherheit vorteilhaft, das richtige Personal in den richtigen Teams zu haben. Vorrangiges Ziel sollte die offene, teamübergreifende Kommunikation sein, da ohne sie die Sicherheitslage ernstlich geschwächt ist. Im Folgenden erhalten Sie einen praktikablen Plan für die Zusammensetzung einer Sicherheitsabteilung, auch wenn kleinere Organisationen einige der gezeigten Teams miteinander kombinieren (oder einige von ihnen sogar weglassen) könnten:

Führungsteam

Ein Chief Information Officer (CIO, auf Deutsch also der Leiter oder Manager der Informationstechnik) oder ein Chief Information Security Officer (CISO, der Gesamtverantwortliche für die Informationssicherheit der Organisation) besitzt den Einfluss und die Autorität, die für unternehmensweite Entscheidungen und Veränderungen erforderlich sind. Das Führungsteam sollte darüber hinaus in der Lage sein, eine langfristige Vision zu entwickeln, Unternehmensrisiken zu kommunizieren, Ziele festzusetzen, Geldmittel zu beschaffen und Zwischenziele, sogenannte Meilensteine oder Milestones, vorzuschlagen.

Risikoteam

Viele Organisationen besitzen bereits ein Risk Assessment Team, also ein Team, dessen Aufgabe die Risikobeurteilung ist, und das Risikoteam könnte ein Teil dieses Teams sein. In der Mehrzahl der Organisationen hat Sicherheit möglicherweise nicht die oberste Priorität. Dieses Team bewertet Risiken in vielen verschiedenen Geschäftsbereichen: Verkauf, Marketing, Finanzen usw. Sicherheit ist wahrscheinlich etwas, mit dem man dort nicht übermäßig vertraut ist. In diesem Fall könnte man das Team entweder fallweise zu den Grundlagen der Sicherheit schulen oder einen Sicherheitsrisikoanalytiker in das Team aufnehmen. Ein Risiko-Framework wie das Risk Management Framework (RMF) (https://oreil.ly/wJ7W_) des NIST, das Framework Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) oder das Committee of Sponsoring Organizations of the Treadway Commission (COSO) kann hierbei helfen.

Sicherheitsteam

Das Sicherheitsteam erledigt Aufgaben zum Beurteilen und Stärken des Umfelds. In diesem Buch werden wir uns vor allem auf dieses Team sowie auf das Führungsteam konzentrieren. Das Sicherheitsteam ist verantwortlich für die täglichen Sicherheitsmaßnahmen, darunter das Managen der Assets, das Beurteilen von Gefahren und Schwachstellen und das Anbieten von Training. In einem ausreichend großen Umfeld kann dieses Team in eine Reihe von Untergruppen aufgeteilt werden, etwa für Netzwerksicherheit, Sicherheitsoperationen, Sicherheits-Engineering, Anwendungssicherheit und offensive Sicherheit.

Audit-Team

Es bietet sich immer an, eine Art Kontrollorgan zu haben. Dieses erlaubt Ihnen nicht nur, nach Lücken in Ihren Sicherheitsprozessen und -kontrollen zu suchen, sondern sorgt auch dafür, dass die richtigen Aufgaben und Meilensteine erledigt und absolviert werden. Genau wie das Risikoteam kann auch das Audit-Team Teil einer größeren Gruppe sein.

Natürlich ist es immer möglich, dass ein kleines bis mittelgroßes Unternehmen aus Kosten- oder Personalgründen einige oder alle dieser Teams in einem einzigen Team zusammenfasst. In diesen Fällen fühlen wir mit Ihnen. Sollte das Unternehmen wachsen und damit hoffentlich auch das Sicherheitsprogramm größer werden, können die separaten Rollen geplant und adäquat ausgefüllt werden.

Ihre grundlegende Sicherheitslage ermitteln

Das Unbekannte ist in jedem Umfeld furchteinflößend, es sollte Sie jedoch nicht daran hindern, sich hineinzustürzen. Woher wollen Sie wissen, welches Maß an Erfolg das Programm hat, wenn Sie nicht wissen, wo es begonnen hat? Zu Beginn eines neuen Sicherheitsprogramms oder beim gründlichen Untersuchen eines bestehenden Programms sollte in der ersten Phase zunächst die oberste Priorität in allen Teams darin bestehen, die Ausgangslage zu ermitteln und Erkundigungen einzuholen. Wir werden in diesem Buch mehrmals und auf verschiedene Arten das Asset-Management behandeln. Das Feststellen der Ausgangslage, die die Sicherheit der Organisation betrifft, ist nur ein weiterer Schritt in diesem Managementprozess. Dazu sollten Sie Informationen zu folgenden Punkten sammeln:

Regeln, Prozeduren und Incident-Response-Handbücher.

Endpunkte – Desktops und Server, einschließlich Implementierungsdatum und Softwareversion.

Lizenzierung und Software-Renewal sowie Verfallsdaten von SSL-Zertifikaten (

Secure Sockets Layer

).

Internet-Footprint – Domains, Mailserver, DMZ-Geräte (

Demilitarized Zone

), Cloud-Architektur.

Netzwerkgeräte und -informationen – Router, Switches, Access Points, Systeme zur Einbruchserkennung/-verhinderung (

Intrusion Detection

bzw. IDS/

Intrusion Prevention

bzw. IPS) und Netzwerk-Traffic.

Protokollierung (Logging) und Überwachung (Monitoring).

Eintritts-(Ingress-)/Austritts-(Egress-)Punkte – ISP-Kontakte, Account-Nummern und IP-Adressen.

Externe Anbieter mit oder ohne Fernzugriff und Primärkontakte.

Anwendungen – alle primären Softwareanwendungen, die entweder von Ihrem Unternehmen gepflegt oder in irgendeinem Aspekt als primäre Businessfunktionen genutzt werden.

Gefahren und Risiken beurteilen

Wie bereits erwähnt, ist das Einrichten eines Risikoteams oder einer entsprechenden Rolle ein wesentlicher Bestandteil eines Informationssicherheitsteams. Ohne zu wissen, welchen Gefahren und Risiken Ihre Organisation gegenübersteht, ist es schwierig, Technologien anzupassen und Empfehlungen für eine passende Verteidigung auszusprechen. Wie die Gefahren und Risiken beurteilt werden, hängt ganz und gar von den einzelnen Organisationen ab. Jeder interne und externe Footprint ist einzigartig, wenn er mit der jeweiligen Infrastruktur kombiniert wird. Die Beurteilung erfordert daher sowohl einen ganzheitlichen Überblick als auch ein detailliertes Verständnis der vorhandenen Assets.

Genauere Informationen können Sie finden, wenn Sie Governance, Risk und Compliance (GRC) recherchieren. Da wir die Gesamtheit von GRC in diesem Buch nicht behandeln können, werden wir ein allgemeines Risiko-Framework betrachten. Es gibt eine ganze Reihe von Risikomanagement-Frameworks, die sich aber im Allgemeinen zu fünf Schritten zusammenfassen lassen: Identifizieren, Beurteilen, Eindämmen, Überwachen und Regeln.

Aufgabenbereich, Assets und Gefahren identifizieren

Unternehmen sollten einer großen Anzahl von potenziellen Gefahren und Risiken gewahr sein, die branchenübergreifend auftreten können. Die Konzentration auf Branchentrends und spezielle Bedrohungsszenarien hilft dabei, das Sicherheitsprogramm anzupassen und zu priorisieren, sodass es insgesamt effizienter wird. Viele Organisationen machen sich kaum Gedanken darüber, welche Gefahren und Risiken ihnen tagtäglich begegnen könnten – bis es irgendwann zu spät ist. In diesem Fall stehen wertvolle Ressourcen über Information Sharing and Analysis Centers (ISACs) zur Verfügung, die im National Council of ISACs (NCI) (https://oreil.ly/-DVqI) zusammengefasst werden und sektorspezifische Richtlinien zur IT-Sicherheit bieten. Das NCI beschreibt diese (https://oreil.ly/_xR7Q) folgendermaßen: »ISACs sammeln, analysieren und verbreiten verwertbare Informationen zu möglichen Gefahren an ihre Mitglieder und stellen diesen außerdem Werkzeuge zur Verfügung, um Risiken zu mildern und die Widerstandsfähigkeit zu stärken.«

Bei der Identifizierung darf man sich allerdings nicht nur auf branchenspezifische Gefahren beschränken, sondern muss auch übergreifende Bedrohungstrends beachten, wie Malware, Ransomware, Phishing und Exploits von außen. Drei wichtige Ressourcen, die man im Auge behalten sollte, sind die OWASP Top 10 (https://oreil.ly/ZAuaR), das Center for Internet Security Critical Security Controls (CIS Controls) (https://oreil.ly/RpT5m) sowie die Standards, die von der Cloud Security Alliance (CSA) (https://oreil.ly/Z-Re1) vorgegeben werden. Die meisten Einträge aus diesen Listen werden in diesem Buch genauer betrachtet, allerdings sollte es auch Teil Ihrer strategischen Planung sein, diese jedes Jahr erneut zu untersuchen.

Risiken und Auswirkungen abschätzen

Nachdem Sie potenzielle Risiken identifiziert haben, müssen Sie eine Beurteilung vornehmen, um festzustellen, ob diese Risiken auf Ihr spezielles Umfeld zutreffen. Aufgaben wie Scans interner und externer Schwachstellen, Audits von Firewall-Regeln, Beurteilungen von Authentifizierung/Benutzerrechten sowie Asset-Management und -Discovery helfen Ihnen, ein besseres Bild von Ihrer Gesamtsituation in Bezug auf Risiken und Gefahren zu zeichnen.

In der Beurteilungsphase analysieren Sie jedes erkannte Risiko, um zu ermitteln, mit welcher Wahrscheinlichkeit es negative Auswirkungen auf Ihre Organisation hat, wie schwerwiegend diese Auswirkungen sein könnten und wie ein möglicher Angriff aussehen kann, zum Beispiel:

Gefahr: Ein Angreifer nutzt eine neue Schwachstelle auf einem _____ aus.

Schwachstelle: Ungepatcht

Asset: Mailserver

Folge: Es wird Remote Code Execution (RCE) eingesetzt, um auf interne Systeme zuzugreifen und von dort aus weiter vorzudringen.

Mindern

Das Mindern von Risiken ist der eigentliche Grund, weshalb wir alle hier sind – es ist der zentrale Zweck dieses Buchs. Risiken lassen sich abschwächen, indem man sie vermeidet, beseitigt, transferiert oder akzeptiert. Hier sind einige Beispiele:

Risikovermeidung

Dave entscheidet, dass das Speichern der Sozialversicherungsnummern von Kunden ein unnötiger Vorgang ist, und beendet diese Praxis.

Risikobeseitigung

Alex beginnt, offene Ports zu deaktivieren, strengere Firewall-Regeln zu implementieren und Endpunkte zu patchen.

Transferieren von Risiken

Ian lagert die Kreditkartenverarbeitung an einen externen Partner aus, statt die Daten im Unternehmen zu speichern.

Akzeptieren von Risiken

Kate weiß, dass ein bestimmter Endpunkt keinen Zugriff auf andere Endpunkte hat und eine Drittanbieteranwendung ausführt. Diese Anwendung besitzt eine Schwachstelle mit geringem Risiko, die allerdings erforderlich ist, damit sie funktioniert. Obwohl die Schwachstelle zu diesem Zeitpunkt nicht beseitigt werden kann, ist das Risiko niedrig genug, um es zu akzeptieren.

Das Akzeptieren von Risiken sollte immer der letzte Ausweg sein. Wenn ein Risiko an diesem Punkt angekommen ist, fordern Sie von den Drittanbietern sowie dem Managementteam eine vollständige Dokumentation an. Verlangen Sie außerdem eine Dokumentation der Prozesse, die vor der Entscheidung zur Akzeptanz des Risikos unternommen wurden. Planen Sie wenigstens einmal jährlich eine Überprüfung aller akzeptierten Risiken ein, um sicherzustellen, dass sie immer wieder neu überdacht werden.

Überwachen

Behalten Sie das Risiko über die Zeit im Auge und planen Sie dazu vierteljährliche oder jährliche Meetings ein. Im Laufe eines Jahres gibt es viele Veränderungen, die die Menge und Art der Risiken beeinflussen, auf die Sie achten müssen. Stellen Sie im Zuge der Überwachung oder Kontrolle der Änderungen fest, ob die aktuell erfolgte Änderung das Risiko in irgendeiner Weise beeinflusst.

Eine Möglichkeit, um den laufenden Risikostatus zu verfolgen, besteht darin, ein Risikoregister zu nutzen, in dem unterschiedliche Szenarien, Kontrollen und Behandlungspläne dokumentiert werden. Dies lässt sich mit einem Programm zum Management der Schwachstellen kombinieren.

Regeln

Governance, also Regulation, im Kontext des Risikomanagements ist ein wesentlicher Schritt, der die kontinuierliche Ausrichtung der Sicherheitspraktiken eines Unternehmens an seinen übergeordneten Zielen sowie den regulatorischen Anforderungen sicherstellt. Dieser Prozess umfasst die Einrichtung von Regeln, Vorgehensweisen und Kontrollmechanismen, die bei der Findung von Entscheidungen hinsichtlich des Umgangs mit Risiken helfen. Er dient als Rahmen, in dem alle Aktivitäten zum Risikomanagement ausgeführt werden, sodass für Konsistenz, Verantwortlichkeit und Befolgung aller Maßnahmen in der ganzen Organisation gesorgt wird.

Eine effektive Steuerung bedeutet eine aktive Teilnahme des gehobenen Managements sowie der Stakeholder, sodass klare Ziele für das Risikomanagement gesetzt, Rollen definiert und Verantwortlichkeiten zugewiesen sowie die Kriterien für Akzeptanz und Toleranz von Risiken etabliert werden. Ziel ist es, eine Kultur des Risikobewusstseins zu schaffen, bei der Entscheidungen immer auf der Grundlage eines umfassenden Verständnisses der Risiken und ihrer potenziellen Auswirkungen auf das Unternehmen getroffen werden.

Zu den wichtigsten Governance-Aktivitäten gehören:

Entwicklung und Pflege eines Regelwerks

Schaffen Sie umfassende Regeln, die beschreiben, wie Risiken identifiziert, abgeschätzt, abgeschwächt, überwacht und gemeldet werden. Dieses Regelwerk sollte regelmäßig überprüft und aktualisiert werden, um die sich ändernde Gefährdungssituation sowie die organisatorischen Prioritäten abzubilden.

Einhaltung von Rechtsvorschriften

Stellen Sie sicher, dass die Risikomanagementpraktiken des Unternehmens konform mit den maßgeblichen Gesetzen, Vorschriften und Industriestandards sind. Dazu gehört, sich über Änderungen von Vorschriften zu informieren sowie Regelungen und Vorgehensweisen entsprechend anzupassen.

Risikokommunikation und -meldung

Richten Sie klare Kommunikationswege ein, um sicherzustellen, dass alle Ebenen des Unternehmens über Aktivitäten, Erkenntnisse und Entscheidungen des Risikomanagements informiert werden. Regelmäßige Meldungen an die Stakeholder, darunter das leitende Management und den Vorstand, sorgen für Transparenz und unterstützen eine fundierte Entscheidungsfindung.

Schulung und Sensibilisierung

Entwickeln Sie Schulungsprogramme und führen Sie diese durch, um das Risikobewusstsein bei den Angestellten zu steigern und dafür zu sorgen, dass diese ihre Rollen und ihre Verantwortung beim Abwenden von Risiken verstehen. Fördern Sie eine Kultur, die Wert auf Sicherheit legt und das Risikomanagement als fundamentale Komponenten für den Erfolg des Unternehmens zu schätzen weiß.

Laufende Verbesserung

Richten Sie ein Feedback-System ein, um aus früheren Vorschriften, Audits und Beurteilungen zu lernen und so das Framework der Risikoregularien kontinuierlich zu verbessern. Dies umfasst die Analyse der Effektivität der Risikomanagementstrategien, das Identifizieren von Bereichen, in denen Verbesserungen möglich sind, und das Anpassen von Praktiken, um die unternehmerischen Ziele besser erreichen zu können.

Indem eine Organisation ihre Risikomanagementprozesse effektiv steuert, kann sie nicht nur ihre Assets schützen und Verluste minimieren, sondern auch ihre betriebliche Effektivität optimieren und das Vertrauen von Kunden, Partnern und Aufsichtsbehörden bewahren. Governance ist quasi der Schlussstein des Risikomanagement-Frameworks. Sie vereint die Anstrengungen des Identifizierens, Abschätzens, Abschwächens und Überwachens von Risiken zu einem kohärenten, strategischen Vorgehen, das letztlich die Grundlage für organisatorische Widerstandsfähigkeit und betrieblichen Erfolg ist.

Priorisieren

Nachdem die Gefahren und Risiken identifiziert und beurteilt wurden, müssen sie priorisiert werden (am besten in der Reihenfolge vom höchsten zum niedrigsten potenziellen Risiko), um ihre Bearbeitung zu planen (mit besonderer Konzentration auf den fortlaufenden Schutz vor Risiken). Dieses Projekt muss nicht zwangsläufig teuer sein. Viele defensive Maßnahmen lassen sich kostengünstig oder sogar kostenlos realisieren. Dies bietet viele Möglichkeiten, ein Sicherheitsprogramm zu starten, auch wenn dazu kein Geld vorhanden ist. Die Durchführung der erforderlichen Due-Diligence-Prüfung, um das Programm kostenfrei an den Start zu bringen, sollte dem Führungsteam deutlich zeigen, wie ernst es gemeint ist.

Halten Sie sich bei der Priorisierung nicht unbedingt immer an die Ratschläge von Anwendungen, Herstellern oder Drittanbietern. Jede Umgebung ist anders und sollte auch so behandelt werden. Priorisieren Sie Aufgaben auf der Grundlage des übergeordneten Ganzen, wenn alle relevanten Informationen zusammengetragen wurden.

Dieses Buch ist nicht als eine nacheinander abzuarbeitende Liste von Sicherheitsaufgaben gedacht. Die Priorisierung kann von Umfeld zu Umfeld ganz unterschiedlich aussehen. Merken Sie sich einfach: Wenn das Umfeld bereits angegriffen wird, beginnen Sie nicht damit, Regelwerke aufzustellen oder Malware zu analysieren. Als Feuerwehr kümmern Sie sich ja auch nicht darum, den Brandstifter und den Ausgangspunkt des Feuers zu suchen, solange dieses noch brennt.

Um die Priorität von Risiken festzustellen, können Sie eine Risikomatrix (https://oreil.ly/nJdmK) verwenden, bei der das Gesamtniveau eines Risikos ermittelt wird, indem man »Wahrscheinlichkeit × Auswirkungen« berechnet, wie Abbildung 1.1 verdeutlicht.

Abbildung 1.1:Eine Risikomatrix

Meilensteine setzen

Mit Meilensteinen gelangen Sie von dort, wo Sie gerade sind, dahin, wo Sie sein wollen. Sie repräsentieren einen allgemeinen Fortschritt auf dem Weg zu einer sicheren Umgebung. Damit werden ein wenig die Pflichten eines Projektmanagers (PM) gestreift, doch in vielen Fällen haben Unternehmen keine dedizierten PMs. Meilensteine können lose in vier Längen oder Stufen unterteilt werden:

Stufe 1: Schnelle Gewinne

Die frühesten Meilensteine, die man erreichen sollte, sind schnelle Gewinne, die sich in Stunden oder Tagen umsetzen lassen und hohe Schadenspotenziale betreffen – in diese Kategorie fallen unter anderem einzelne unbenutzte Endpunkte, die man eliminieren kann, »Altlasten« an Geräten, die in ein sichereres Netzwerk verlegt werden können, und Drittanbieter-Patches. Wir werden in diesem Buch viele kostenlose Lösungen erwähnen, da die Beschaffung in manchen Unternehmen eine beträchtliche Zeit in Anspruch nehmen kann.

Stufe 2: Dieses Jahr

Höhere Schadenspotenziale, die zur Bearbeitung einen geänderten Managementprozess erfordern, eine Änderung im Prozess erzeugen oder einer bedeutenden Anzahl an Personen vermittelt werden müssen, landen vermutlich nicht in Stufe 1. Größere Änderungen des Netzwerk-Routings, die Umsetzung von Benutzerschulungen und die Deaktivierung gemeinsam genutzter Accounts, Dienste und Geräte sind Verbesserungen, für deren Durchführung kaum oder kein Budget erforderlich ist. Da sie aber geplant und kommuniziert werden müssen, können sie dennoch eine gewisse Zeit in Anspruch nehmen.

Stufe 3: Nächstes Jahr

In diese Stufe fallen Schwachstellen und Veränderungen, die deutlich mehr Planung erfordern oder auf anderen Fixes beruhen, die zuerst ausgeführt werden müssen. Das Überführen ganzer Geschäftsfunktionen in einen Cloud-Dienst, Domain-Upgrades, das Ersetzen von Servern und anderer wichtiger Infrastruktur, das Implementieren von Überwachungsmaßnahmen und Änderungen der Authentifizierung sind gute Beispiele hierfür.

Stufe 4: Langfristig

Es könnte mehrere Jahre dauern, manche Meilensteine zu erreichen, sei es aufgrund der Länge eines Projekts, eines Mangels an Geldern, wegen der Erneuerung von Verträgen oder des Schwierigkeitsgrads der Veränderung. Dazu könnten Dinge gehören wie eine Umstrukturierung des Netzwerks, die Ersetzung wesentlicher Software oder der Neubau eines Rechenzentrums.

Es hilft, Meilensteine mit wichtigen Kontrollen und Risiken zu verknüpfen, die bereits identifiziert wurden. Auch wenn es eine gute Idee ist, mit den höheren Risiken und Schadenspotenzialen zu beginnen, sollten Sie sich darüber bewusst sein, dass es hierfür keine einfachen Lösungen geben könnte. In vielen Fällen erfordern diese Dinge nicht nur besonders viel Zeit und Aufwand, um sie zu reparieren, sondern auch Geld, das möglicherweise nicht zur Verfügung steht. All diese Aspekte müssen in Betracht gezogen werden, wenn Sie die einzelnen Stufen planen.

Use-Cases, Tabletop-Übungen und Übungsalarme

Use-Cases sind wichtig, um Situationen darzustellen, die ein Risiko für die kritische Infrastruktur, empfindliche Daten oder andere Assets bedeuten können. Planen Sie gemeinsam mit den Besitzern der Daten sowie den Führungspersonen, wie mit bösartigen Angriffen umgegangen werden soll. Es ist sinnvoll, zunächst mit drei unterschiedlichen Use-Cases zu beginnen und die Sicherheitsund Überwachungsmaßnahmen dann um diese herum aufzubauen. Zu den möglichen Use-Cases gehören Ransomware, Distributed-Denial-of-Service (DDoS-)Angriffe, verärgerte Angestellte, Gefahren von innen und der Verlust von Daten. Nachdem mehrere Use-Cases ausgewählt wurden, können Sie diese aufschlüsseln, analysieren und sie den einzelnen Schritten der Sicherheits-Frameworks zuordnen, die in diesem Buch behandelt werden, bzw. anderen, die in der Zukunft entwickelt werden. Ein Beispiel für ein verbreitetes Framework, auf das man Use-Cases abbilden kann, ist die Intrusion Kill Chain von Lockheed Martin (auch bekannt als Cyber Kill Chain (https://oreil.ly/dk8JN)).

Wie in dem Lockheed-Martin-Whitepaper (https://oreil.ly/btd1i) beschrieben, ist die Intrusion Kill Chain »ein Modell für verwertbare Erkenntnisse, bei dem die Verteidiger die Verteidigungsfähigkeiten eines Unternehmens auf die speziellen Vorgänge abstimmen, die ein Angreifer unternimmt, um dieses Unternehmen anzugreifen«. Sie besteht aus sieben Schritten:

1. Erkundung

Erforschung, Identifizierung und Auswahl von Zielen. Oft werden dazu Internet-Websites wie Konferenzberichte und Mailinglisten nach E-Mail-Adressen, sozialen Beziehungen oder Informationen zu bestimmten Technologien durchsucht.

2. Entwickeln der passenden Angriffsmethode

Kopplung eines Trojaners für einen Fernzugriff mit einem Exploit in Form übertragbarer Schaddaten, üblicherweise mithilfe eines automatisierten Werkzeugs. Es dienen zunehmend Dateien von Clientanwendungen wie Dokumente im PDF-Format (Portable Document Format von Adobe) oder Microsoft-Office-Dokumente als übertragende Angriffswaffen.

3. Übermittlung

Übertragen der Waffe in die angepeilte Umgebung. Die drei vorherrschenden Übertragungswege für Schaddaten sind E-Mail-Anhänge, Websites und USB-Wechseldatenträger.

4. Exploitation/Ausnutzen der Schwachstelle

Nachdem die Waffe an den Opferhost ausgeliefert wurde, wird der Code des Eindringlings gestartet. In den meisten Fällen wird hierbei eine Schwachstelle in einer Anwendung oder im Betriebssystem ausgenutzt, es kann aber auch passieren, dass die Anwender selbst attackiert werden oder eine Betriebssystemfunktion ausgenutzt wird, die automatisch Code ausführt.

5. Installation

Die Installation eines Trojaners für den Fernzugriff oder einer Backdoor auf dem Opfersystem erlaubt dem Gegner einen dauerhaften Zugriff auf die Umgebung.

6. Command and Control (C&C)

Kompromittierte Hosts müssen üblicherweise Signale an einen im Internet befindlichen Controllerserver senden, um einen C&C-Kanal aufzubauen. Spezielle APT-Malware (Advanced Persistent Thread, fortgeschrittene, andauernde Bedrohung) wird meist nicht automatisch ausgeführt, sondern erfordert eine manuelle Interaktion. Sobald der C&C-Kanal etabliert ist, haben die Eindringlinge direkten Zugriff auf die Zielumgebung.

7. Maßnahmen zur Erreichung der Ziele

Erst nachdem die ersten sechs Phasen durchlaufen wurden, können Eindringlinge Aktionen ausführen, um ihre Ziele zu erreichen. Bei diesen Zielen handelt es sich typischerweise um Datendiebstahl, also das Sammeln, Verschlüsseln und Entnehmen von Informationen aus der Opferumgebung; Verletzungen der Datenintegrität oder -verfügbarkeit sind ebenfalls potenzielle Ziele. Alternativ möchten die Angreifer lediglich den Zugriff auf einen Opferhost erlangen, um von diesem aus weitere Systeme zu kompromittieren und sich schrittweise in das Netzwerk vorzuarbeiten.

Dieses Whitepaper enthält viele nützliche Informationen, mit deren Hilfe sich ebenfalls Use-Cases entwickeln lassen.

Tabelle 1.1 ist ein Beispiel für einen schrittweisen Kill-Chain-Use-Case, den wir für einen Ransomware-Angriff erstellt haben, ohne dass teure Software oder Hardware für ein Unternehmen und genügend Zeit für die Implementierung von Open-Source-Projekten eingesetzt werden muss.

In jedem Schritt der Kill Chain können noch weitere Defensivmaßnahmen und spezielle Aktionen zum Erkennen von Gefahren hinzugefügt werden, um das Risiko insgesamt weiter zu senken.

Tabelle 1.1:Ransomware-Use-Case

Kill-Chain-Schritt

Bösartige Aktion

Defensive Maßnahme

Potenzielles Monitoring

Erkundung

Ein Angreifer beschafft sich E-Mail-Adressen und Informationen über benutzte Technologien und stellt anhand dieser Informationen ein Organisationsprofil her.

Schaffen Sie Regeln rund um das Teilen interner Informationen auf Sites wie LinkedIn oder das Benutzen von Unternehmens-E-Mail-Adressen für nicht geschäftliche Zwecke.

Fordern Sie die Vergabe neuer Passwörter, wenn in den Nachrichten von größeren Einbrüchen berichtet wurde. Auch wenn sie es eigentlich nicht tun sollten, werden Angestellte für andere Dienste und Sites dieselben Passwörter benutzen.

Wurden E-Mails des Unternehmens bei Einbrüchen anderswo gesehen? Wie viele E-Mails mit Open-Source-Intelligence (OSINT, Informationen aus offenen, also frei verfügbaren Quellen) wurden gefunden?

Entwickeln der Angriffsmethode

Ein Angreifer stellt einen bösartigen Exploit her, der an das Opfer gesandt wird, oder nutzt einen bereits vorhandenen Exploit.

Das Wissen über und das Bewusstsein um Gefahren, die momentan von Angreifern drohen, erlauben Ihnen, Gegenmaßnahmen besser einzurichten und zu verfeinern.

N/A

Übermittlung

Ein Benutzer empfängt eine Phishing-E-Mail.

Überlegen Sie, welche Arten von Anhängen im Unternehmen benötigt werden. Dateitypen wie .js können außerordentlich viel Schaden anrichten und werden nur selten mit externen Stellen ausgetauscht.

Implementieren Sie Sperrlisten und graue Listen für E-Mails, wie Spamhaus, DNSBL.info, oder andere DNS-basierte (Domain Name System) Sperrlisten, um bekannte bösartige Mailserver zu sperren.

Machen Sie Ihren Benutzern klar: »Vertrauen ist gut, Kontrolle ist besser.«

Implementieren Sie die Blockade von Dateitypen einer bestimmten Größe, von denen man weiß, dass sie bösartig sind und mit Ransomware zusammenhängen (werden Sie z.B. bei .scr-Dateien über 22 MB und .js-Dateien über 15 MB hellhörig).

Exploitation

Ein Endpunkt lädt eine Java-Script-Datei oder ein Word-Dokument mit einem bösartigen Makro herunter.

Deaktivieren Sie Makros und bösartige Dateitypen über Gruppenregeln.

Stellen Sie sicher, dass die Schutzmaßnahmen für Endpunkte auf dem neuesten Stand und installiert sind.

Überwachen Sie Proxy-Logs für unerwartete Dateianforderungen (z.B. wird Java-Script als Erstes von diesem Host abgerufen, der Host steht auf einer Liste mit Gefahreninformationen usw.).

Benutzen Sie Proxies oder ein Intrusion Detection System (IDS) (falls Klartext), um nach bekannten Deobfuscation-Strings Ausschau zu halten.

Installation

Die Schaddaten werden auf dem Gerät des Endbenutzers ausgeführt. (Glücklicherweise benutzen Cerber und CryptoWall die in Windows eingebaute Crypto API für den Umgang mit der Verschlüsselung.)

Bewahren Sie Backups auf (die nicht permanent angeschlossen sind), damit verschlüsselte Dateien leicht wiederhergestellt werden können.

Je nach Betriebssystem können Sie Dateisystem-Firewalls wie den Little Snitch Network Monitor (https://oreil.ly/_Vzv-) einsetzen, um den Zugriff auf Dateien je nach Bedarf/Prozess zu gewähren. Das bedeutet, dass Sie zum Beispiel MS Word den Lesezugriff erlauben können, dem IE jedoch nicht.

Es gibt experimentelle Techniken, mit denen man kryptobasierte Ransomware (z.B. Decryptonite (https://oreil.ly/WETMn)) blockieren kann.

Achten Sie auf eine große Zunahme von Aktivitäten an der Crypto API von Windows über einen kurzen Zeitraum, eine übermäßige Anzahl von Zeichen in einer Domain oder einen niedrigen Prozentsatz an sinnvollen Strings in einer Domain.

Command and Control (C&C)

Die Ransomware kontaktiert einen C&C-Server im Internet, um den Entschlüsselungsschlüssel zu übermitteln.

Implementieren Sie DNS-Sinkholes und blockieren Sie automatisch ausgehende Verbindungen an bekannte bösartige IP-Adressen mittels dynamischer Sperrlisten (Dynamic Block Lists, DBL).

Achten Sie auf Verbindungen zu bekannten C&C-Servern.

Aktionen und Ziele

Die Malware beginnt, die Dateien auf der Festplatte, auf Netzwerklaufwerken und USB-Geräten zu verschlüsseln. Sobald das abgeschlossen ist, erscheint ein Splash-Screen, ein Desktop-Bild, eine Website oder eine Textdatei mit Anweisungen für das Lösegeld.

Legen Sie Honey-Verzeichnisse an. Wenn die Ransomware in C:\$$ geht, sieht sie dann also ein anderes $$-Verzeichnis, geht sie in C:\$$\$$, sieht sie ein weiteres $$-Verzeichnis usw.

Man kann eine erweiterte Dateiüberwachung aktivieren, um auf eine extreme Zunahme von Dateisystemänderungen aufmerksam zu machen.

Nach der Erstellung und Umsetzung von Sicherheitskontrollen rund um die Use-Cases können Tabletop-Übungen und Übungsalarme (Drills) als Nachweise der Machbarkeit aller Maßnahmen dienen und Ihnen helfen, eine Sammlung von Strategiepapieren anzulegen. Eine Sandkastenübung (auch: Tabletop-Übung, also quasi eine Übung am »grünen Tisch«) ist ein Treffen der wichtigsten Stakeholder und Angestellten, die ohne Stress Schritt für Schritt alle Maßnahmen durchgehen, die im Fall von Katastrophen, Fehlfunktionen, Angriffen oder anderen Notlagen erforderlich sind. Bei einem Übungsalarm führen die Angestellten so viele der Prozesse, Prozeduren und Schutzmaßnahmen wie möglich durch, die bei einem der Notfälle erforderlich wären.

Übungsalarme sind vom Umfang her zwar begrenzt, können sich aber dennoch als sehr nützlich erweisen, um bestimmte Kontrollmaßnahmen auf Lücken und mögliche Verbesserungen zu testen. Bis zu einem gewissen Maß lassen sich Disaster-Recovery-(DR-)Pläne ausführen, bei der Wiederherstellung von Dateien kann man Backups testen, und Dienste lassen sich auf sekundäre Ressourcen verschieben.

An Tabletop-Übungen sind verschiedene Schlüsselgruppen oder -mitglieder beteiligt:

Es sollte eine Moderatorin oder einen Koordinator geben, die oder der das Szenario vorstellt, das durchgespielt werden soll. Diese Person kann »Was wäre, wenn …«-Fragen über den imaginären Notfall beantworten sowie die Diskussion leiten, bei Bedarf zusätzliche Ressourcen hinzuziehen und das Tempo der Übung bestimmen. Er oder sie sollte die Teilnehmenden darüber informieren, dass es vollkommen akzeptabel ist, bei dieser Übung noch nicht alle Antworten parat zu haben. Der ganze Zweck einer solchen Übung am grünen Tisch besteht darin, Schwächen in den aktuellen Prozessen zu finden, damit diese vor einem tatsächlichen Notfall ausgeräumt werden können.

Die Gruppe der teilnehmenden Personen sollte möglichst vielfältig sein und Vertreter aus den Bereichen Finanzen, Personal, Recht, Sicherheit (sowohl physische als auch Informationssicherheit), Management, Marketing sowie aus jeder anderen Abteilung umfassen, die nötig sein könnte. Die Teilnehmenden sollten bereit sein, sich am Gespräch zu beteiligen, sich selbst und andere höflich herauszufordern und innerhalb der Parameter dieser Übung mitzuarbeiten.

Ein Mitglied der Gruppe sollte die Gesamtleistung der Übung bewerten sowie hinterher einen Bericht abfassen. Dieser Evaluator sollte sich sorgfältig Notizen machen und das Ganze mit einem relevanten Strategiepapier begleiten, um die Exaktheit der Durchführung zu gewährleisten. Auch wenn der Evaluator die Person ist, die hauptsächlich Notizen anfertigt, können andere Gruppen und Einzelpersonen ebenfalls ein spezifisches Wissen und ein Verständnis für die Situation haben. In diesem Fall ist es sinnvoll, nach Abschluss der Übung die Notizen dieser Mitglieder dem Evaluator zu übergeben.

Folgende Materialien könnten bei einer Tabletop-Übung zum Einsatz kommen:

Eine schriftliche Darstellung des Szenarios, die an alle Teilnehmenden ausgegeben wird und Platz für eigene Notizen bietet.

Ein aktuelles Handbuch mit Informationen dazu, wie Sicherheitssituationen behandelt werden.

Handbücher mit Regeln und Prozeduren.

Eine Liste mit Werkzeugen und externen Diensten.

Fragen und Aktionen, die nach der Übung gestellt bzw. ausgeführt werden können:

Was lief gut?

Was hätte besser laufen können?

Fehlen Dienste oder Prozesse, mit denen sich die Zeit oder die Genauigkeit der Auflösung hätte verbessern lassen?

Gibt es Schritte, die unnötig oder irrelevant sind?

Identifizieren und Dokumentieren von Punkten für Korrekturmaßnahmen.

Entsprechendes Ändern des Plans für das nächste Mal.

Ihr Team und Ihre Fähigkeiten erweitern

Das Zusammenstellen eines engagierten, leidenschaftlichen und intelligenten Teams kann einer der schwierigsten Aspekte im Leben einer Expertin oder eines Experten sein.

Was können Sie und Ihr Team tun, um Ihr Wissen und Ihre Fähigkeiten zu erweitern? Hier sind einige Ideen:

Ermutigen Sie Ihre Angestellten, zu Hause ein Labor einzurichten, oder stellen Sie ihnen eines zur Verfügung. In Laboren kann man sowohl reale Szenarien testen als auch seine Fähigkeiten schärfen und neue erwerben. Sie können ein relativ preiswertes Labor einrichten, wenn Sie gebrauchte Geräte kaufen oder verschiedene Cloud-Angebote nutzen. Die meisten Menschen lernen am besten anhand praktischer Beispiele, und mit einem Labor vermeiden Sie es, Risiken in Ihre Produktionsumgebung einzuschleppen.