Analyse von Advanced Persistent Threats (APT) am Beispiel einer tatsächlichen Infizierung mit einem Zero-Day Virus zur Erhöhung der IT-Sicherheit

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Leitfragen
1.3 Aufbau der Arbeit & wissenschaftliche Methodik

2 Theoretische Grundlagen
2.1 Bedrohungsanalyse
2.1.1 Marktbezogene Bedrohungen
2.1.2 Bedrohungen der IT-Infrastruktur
2.2 IT-Schutzmaßnahmen
2.2.1 Definition Schutzziele
2.2.2 Security Engineering
2.2.3 Datenschutz nach DSGVO
2.3 IT-Sicherheit Vorgehensmodelle
2.3.1 ISO/IEC
2.3.2 IT-Grundschutz nach BSI
2.3.3 ISIS
2.3.4 NIST CyberSecurity
2.3.5 COBIT
2.3.6 Aufwandseinschätzung für Vorgehensmodelle
2.4 Kontrolle der IT-Sicherheit
2.4.1 Kontrolle durch Governance
2.4.2 Penetration-Tests
2.4.3 Audits

3 Analyse von APTs und eines tatsächlichen Angriffs
3.1 Analyse von APTs
3.1.1 Definition von APTs
3.1.2 Eigenschaften und Kriterien von APTs
3.1.3 Angriffsszenarien
3.1.4 Schutzmaßnahmen gegen APT-Angriffe
3.2 Analyse eines tatsächlichen APT-Angriffs
3.2.1 Rahmenbedingungen
3.2.2 IT-Infrastruktur / Ausgangssituation
3.2.3 Angriff mit NotPetya und erste Handlungsschritte
3.2.4 Angriffsszenario
3.2.5 Wiederaufbau nach der APT-Attacke
3.2.6 Analyse von Stärken und Schwächen

4 Erstellung einer IT-Sicherheitshandlungsempfehlung
4.1 Experteninterview
4.1.1 Interviewleitfaden
4.1.2 Einleitung
4.1.3 Angaben zur Person
4.1.4 Leit- und Forschungsfragen
4.2 IT-Sicherheitshandlungsempfehlung
4.2.1 Beschreibung und Abgrenzung
4.2.2 Rahmenbedingungen und Einleitung
4.2.3 Informationssicherheitsmanagement
4.2.4 Mitarbeiter und externe Zugriffe
4.2.5 IT-Betrieb

5 Fazit und Ausblick
5.1 Fazit
5.2 Ausblick

Literaturverzeichnis

Anhang I: Experteninterview Leitfaden

Anhang II: Experteninterviews - Dokumentation der Mitschriften

Anhang III: IT-Sicherheitshandlungsempfehlung

Abbildungsverzeichnis

Abbildung 1: Übersicht Firmen weltweit, Reifegrad für Cyber-Sicherheit

Abbildung 2: Methodik der Arbeit

Abbildung 3: Model der „5 Forces“ nach Porter.

Abbildung 4: Darstellung möglicher Bedrohungen einer IT-Infrastruktur

Abbildung 5: Accenture™ Study 2017, Cyber-Attacken 2016/2017

Abbildung 6: Accenture™ Study 2017, CyberCrime-Kosten

Abbildung 7: Schäden durch CyberCrime im weltweiten Vergleich

Abbildung 8: Ransomware-Angriffe pro Tag von 2015-2017 (ohne APT)

Abbildung 9: Planungsphasen für IT-Systeme

Abbildung 10: Normenreihe ISO/IEC27000: Basisnormen

Abbildung 11: BSI IT-Grundschutz Modell

Abbildung 12: ISIS12© Vorgehensmodell, Module

Abbildung 13: NIST Cybersecurity Framework-Übersicht

Abbildung 14: Cobit 5 Produkt Familie

Abbildung 15: Zeitwand für die Implementierung von Vorgehensmodellen

Abbildung 16: Branchen, in denen APT-Gruppen aktiv sind

Abbildung 17: Malware Kompilierungszeiten, UTC +4 ~ Moskau

Abbildung 18: Standard APT-Angriffsmodell

Abbildung 19: Mögliche Angriffswege einer APT-Attacke

Abbildung 20: Gartner™ Magic Quadrant©, Endpoint Protection Platform 2018

Abbildung 21: Netzwerk-Segmentierung

Abbildung 22: Netzwerkdiagramm vor der APT-Attacke

Abbildung 23: Ablauf nach der Erstinfektion

Abbildung 24: Dateiendungen, die NotPetya verschlüsselt

Abbildung 25: „Falsche“ Ransomware-Ansicht, nach der Infizierung

Abbildung 26: Stärken und Schwächen des Unternehmens

Abbildung 27: Reifegrad-Modell für IT-Sicherheit des Unternehmens

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung

Nach Tankard und Symantec™ nehmen mit APT durchgeführte IT-Angriffe auf Unternehmen zu. Unter APT versteht man komplexe, zielgerichtete und sehr effektive Angriffe auf unternehmenswichtige IT-Systeme. Die Schäden bei Unternehmen durch nicht mehr verfügbare Systeme und die daraus resultierenden Wiederherstellungszeiten sind hoch. Ziele dieser Angriffe sind, spezifische Informationen (z.B. Patente) aus dem Unternehmen zu stehlen, das Unternehmen zu sabotieren (Ausfallzeiten der IT-Systeme können bis zur Insolvenz führen) oder Erpressung.^{[1] [2] [3]}

Weltweit sind verschiedene APT-Gruppen aktiv, die hochspezialisierte Softwareangriffe entwickeln und vorhandene Schwachstellen wie z.B. den EternalBlue-Exploit^[4] ausnutzen, um ihren Schadcode zu verbreiten. Dieser Zero-Day-Exploit wurde für WannaCry und NotPetya (manchmal auch ExPetr^[5] genannt) genutzt. Bei den Angriffen von NotPetya ging es nur um Sabotage und Schwächung der Ukraine und Unternehmen, die mit der Ukraine zusammenarbeiten, bzw. Mitarbeiter, die aus der Ukraine stammen. NotPetya Schadsoftware wurde in einem Update-Programm einer ukrainischen Finanzsoftware M.E.Doc™ (wie in Deutschland die Software des Finanzamtes „Elster®“) genutzt, um den Schadcode zu verbreiten, dieser hat sich dann via LAN im Unternehmensnetzwerk verbreitet.^{[6] [7] [8]}

NotPetya hat laut Koch vom Handelsblatt-Global alleine bei der Firma A.P. Møller-Maersk™ zu Schäden von ca. 300 Millionen Euro geführt. Außerdem hat NotPetya bei der deutschsässigen Firma Beiersdorf einen Schaden von mind. 35 Millionen Euro verursacht.^[9]

Gemäß Hiscox sind über 70% der Unternehmen ausgewählter Nationen (Deutschland, Großbritannien, USA, Niederlande und Spanien) nicht ausreichend auf Cyberangriffe vorbereitet, sodass insbesondere in diesen Unternehmen Nachholbedarf in der Cyber-Sicherheit besteht (vgl. Abbildung 1):^[10]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Hiscox Ltd.™ (2018), S. 11.

Abbildung 1: Reifegrad für Cyber-Sicherheit in ausgewählten Ländern

Die Nutzung von Communities, wie z.B. Cyber-Security-Allianz des BSI kann für die in der Hiscox Studie genannten Firmen, hilfreich sein. Diese Communities liefern erste Ansätze um sich mit dem Thema intensiver zu beschäftigen und um einen ersten Informationsaustausch zum Thema IT-Sicherheit aufzubauen.^[11]

Das Unternehmen ist in der Erreichung seiner Ziele von dem reibungslosen Funktionieren der eingesetzten Informationstechnik abhängig. Dies ist nur bei sicherem, ordnungsgemäßem und hochverfügbarem Einsatz aller IT-Systeme und bei verantwortungsbewusstem Umgang aller Mitarbeiter mit sensitiven Daten und Ressourcen möglich.

1.2 Leitfragen

Im Fokus dieser Bachelor Thesis stehen die Definition und Analyse von APTs und die Möglichkeiten, die Unternehmen davor zu schützen. Ebenfalls sollen Wege zur nachhaltigen IT-Sicherheit erörtert und bewertet werden. Es soll der Versuch unternommen werden, ein Standardvorgehen (IT-Sicherheitshandlungs-empfehlung) zum Schutz vor Attacken von APTs zu entwickeln und dieses kritisch zu bewerten.

Unter anderem werden folgende Fragen zum Thema APTs in dieser Arbeit beschrieben und beantwortet:

Abbildung in dieser Leseprobe nicht enthalten

1.3 Aufbau der Arbeit & wissenschaftliche Methodik

Wie bereits im vorherigen Kapitel 1.1 beschrieben, soll im Rahmen dieser Arbeit eine IT-Sicherheitshandlungsempfehlung mit dem Ziel erarbeitet werden, den Reifegrad der IT-Sicherheit in einem Unternehmen zu erhöhen.

Zunächst werden in Kapitel 2 durch die Definition der Begriffe (Bedrohungen, Vorgehensmodelle, Schutzziele, APT, CyberCrime und NotPetya) die theoretischen Grundlagen geschaffen, damit die APT-basierten IT-Angriffe von traditionellen IT-Angriffen unterschieden werden können.

Kapitel 3 widmet sich der fachlichen Beschreibung der tatsächlichen Infizierung mit einem APT-Virus gewidmet. In diesem Kapitel werden als Hauptteil der Literaturrecherche und die kritische Betrachtung der Infizierung (Methodik der Infizierung, nicht ausreichender Schutz) sowie die Vor- und Nachteile des zum Zeitpunkt des Angriffs vorhandenen IT-Sicherheitskonzeptes erörtert.

Im vierten Kapitel wird der Plan zur Erlangung einer Handlungsempfehlung zur IT-Sicherheit vorgestellt. Anschließend wird die Handlungsempfehlung durch Experteninterviews auf Basis von Gläser und Laudel^[12] überprüft. Danach entsteht die finale IT-Sicherheitshandlungsempfehlung. Abschließend wird im Kapitel 5 der Arbeit ein Fazit mit Ausblick gezogen.

In Abbildung 2 wird die methodische Herangehensweise dieser Arbeit schematisch dargestellt. Zur Erstellung einer IT-Sicherheitshandlungsempfehlung wird im Bereich der fachlichen Konzeptionierung auf Fachliteratur, Fachzeitschriften, Internet-beiträge, Anforderungsanalysen, Studien und Experteninterviews verwiesen. Hierbei fließen auch die eigenen aus über 20 Jahren gesammelten Berufserfahrungen (in verschiedenen IT-Positionen) ein. Die IT-Sicherheitshandlungsempfehlung kann von Unternehmen genutzt werden, um ihre IT-Infrastruktur vor CyberCrime-Angriffen zu schützen und den Reifegrad der IT-Sicherheit erhöhen zu können. Wohlwissend, dass es keinen 100%igen Schutz der IT-Infrastruktur und deren Systeme gibt, da es auch zukünftig Zero-Day-Exploits^[13] oder Software Schwachstellen geben wird.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 : Methodik der Arbeit

2 Theoretische Grundlagen

2.1 Bedrohungsanalyse

2.1.1 Marktbezogene Bedrohungen

Nach Porter gibt es die „5 Forces“ die marktbezogen hauptsächlich auf Unternehmen einwirken. Diese in Abbildung 3 dargestellten marktbezogenen Bedrohungen zwingen die Unternehmen ihre strategischen Maßnahmen so zu steuern, dass auch weiterhin der Erfolg des Unternehmens gewährleistet ist.^[14]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Porter (1991), S. 101.

Abbildung 3: Model der „5 Forces“ nach Porter.

Diese marktbezogenen Bedrohungen werden z.B. in den Abteilungen Geschäftsführung, F&E, Marketing und Vertrieb berücksichtigt. Maßnahmen, im Rahmen der Produktpolitik, werden in diesen Abteilungen entwickelt und umgesetzt. Zusätzlich gibt es noch Bedrohungen aus der Umwelt (z.B. Gesetze, politische Lage, Logistik-Infrastruktur, Umweltverträglichkeit etc…). ^{[15] [16]}

Abgrenzung: Diese marktbezogenen Bedrohungen werden in dieser Bachelor-Thesis nicht weiter betrachtet und von den Umweltbedrohungen nur diejenigen, die die IT-Infrastruktur (z.B. durch CyberCrime) betreffen.

2.1.2 Bedrohungen der IT-Infrastruktur

Die IT-Infrastruktur ist das Fundament der IT-Dienste (z.B. Anwendung-Software wie ERP, E-Mail, Dateiablage etc…) in einem Unternehmen. Wenn die IT-Infrastruktur nicht mehr zur Verfügung steht, werden alle Mitarbeiter im Unternehmen mit dem Problem konfrontiert, dass die Anwendungen, mit denen sie täglich arbeiten, nicht mehr zur Verfügung stehen. Eine Bedrohung zielt auf das Ausnutzen von Schwachstellen ab, durch das der Verlust der Verfügbarkeit, der Datenintegrität, der Nachweisbarkeit und der Vertraulichkeit beabsichtigt wird. Durch die Digitalisierung der Arbeitsprozesse steigt die Abhängigkeit der Mitarbeiter von der Verfügbarkeit der IT-Dienste von Jahr zu Jahr. In Abbildung 4 werden die am häufigsten auftretenden Bedrohungen aufgelistet, wodurch ein Überblick über mögliche Bedrohungen für Unternehmen gegeben wird.^{[17] [18]}

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Eckert (2014), S. 29.

Abbildung 4 : Darstellung möglicher Bedrohungen einer IT-Infrastruktur

Zu diesen klassischen Bedrohungen (siehe Abbildung 4) gibt es nach Eckert einen Bedrohungsbaum, mit dem die einzelnen Angriffsschritte und Angriffsziele der Bedrohungen dargestellt und bewertet werden können. Mit dem Bedrohungsbaumkonzept lassen sich auch Risiken systematisch erfassen und dokumentieren. Im Rahmen der IT-Sicherheit kann das Bedrohungsbaumkonzept zur Risikobewertung herangezogen werden.^[19]

Neben diesen klassischen Bedrohungen gehören laut Accenture™ sogenannte CyberCrime-Bedrohungen (Internet Kriminalität), die die IT-Infrastruktur-Verfüg-barkeit gefährden. In Abbildung 5 werden verschiedene Typen der CyberCrime-Bedrohungen inklusive ihrer relativen Häufigkeit dargestellt. Auffällig ist, dass sich zwischen 2016 und 2017 die Anzahl der CyberCrime-Bedrohungen durch Ransomware verdoppelt hat.^[20]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Entnommen aus Accenture™ (2017) , S . 23 .

Abbildung 5: Accenture™ Study 2017, Cyber-Attacken 2016/2017

Vor allem CyberCrime ist nach Accenture™ seit 2016 besonders aktiv, wie in Abbildung 6 dargestellt, und führt zu zunehmend höheren Schäden in Unternehmen:^[21]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Entnommen aus Accenture™ (2017), S. 12.

Abbildung 6 : Accenture™ Study 2017, CyberCrime-Kosten

Nach Accenture™ sind die Schäden durch CyberCrime in Deutschland überdurchschnittlich hoch. Die Abbildung 7 zeigt den weltweiten Vergleich (durchschnittliche Kosten, zur Bewältigung der Cyber Attacke in den ersten 4 Wochen nach einem Angriff, in Unternehmen).^[22]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Entnommen aus Statista, Accenture ™ (2017), S. 13.

Abbildung 7: Schäden durch CyberCrime im weltweiten Vergleich

Eine Sonderform des CyberCrime ist Ransomware, mit dem Ziel, Opfercomputer zu befallen und zu verschlüsseln. Die Entschlüsselung und Wiederherstellung der Daten erfolgt erst dann, sobald das Opfer hohe Geldsummen, meist in BitCoin an den Angreifer zahlt. Durch Abbildung 8 wird ersichtlich, dass die Ransomware-Angriffe keine Seltenheit darstellen und seit 2015 von Jahr zu Jahr ansteigen. In dieser Abbildung wurden für das Jahr 2017 die durch WannaCry und Petya/NotPetya durchgeführten Angriffe nicht berücksichtigt, sodass die tatsächliche Anzahl an Angriffen höher ist als angegeben:^[23]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Entnommen aus Symantec™ Internet Security Threat Report (2018), S. 15.

Abbildung 8: Weltweite Ransomware-Angriffe pro Tag von 2015-2017

Obwohl bei APT-Angriffen im Vergleich zu Ransomware ähnliche Techniken verwendet werden, unterscheiden sich APT und Ransomware in ihrer Absicht. Während durch APT eher ausspionierende und zerstörerische Ziele verfolgt werden, wird Ransomware für kommerzielle Zwecke genutzt.^[24]

Details zur Analyse, Definition, Kriterien, Angriffsszenarien und der Ausbreitung von APTs folgen im Kapitel 3.1.

2.2 IT-Schutzmaßnahmen

2.2.1 Definition Schutzziele

Daten und Informationen sind schützenswerte Güter, die auf IT-Systemen gespeichert oder verwaltet werden. Jeder, der auf diese Daten oder Informationen zugreifen möchte, muss vor dem Zugriff auf die Einhaltung der Schutzziele überprüft werden.

Die Authentizität, Datenintegrität, Vertraulichkeit, Verfügbarkeit, Verbindlichkeit, Anonymität und Pseudonymität sind die wichtigsten Schutzziele und werden nun kurz erläutert:^[25]

- Authentizität

Authentizität ist der Akt der Überprüfung eines Identitätsanspruches. Wenn Person x in eine Bank geht, um eine Abhebung des Geldes zu machen, sagt sie dem Bankangestellten, sie sei Person x. Das ist ein Identitätsanspruch. Der Bankangestellte bittet um einen Lichtbildausweis, Person x gibt sie dem Kassierer z.B. den eigenen Führerschein. Der Bankangestellte prüft die Lizenz, um sicherzustellen, dass Person x darauf gedruckt ist und vergleicht das Foto auf der Lizenz mit der Person, die behauptet, Person x zu sein. Wenn das Foto und der Name mit der Person übereinstimmen, hat der Kassierer authentifiziert, dass Person x die ist, für die sie sich ausgibt. In ähnlicher Weise liefert der Benutzer durch die Eingabe der korrekten Passwörter den Beweis, dass er die Person ist, zu der der Benutzername gehört.^[26]

Die für die Authentifizierung verwendbaren Informationen lassen sich in drei verschiedene Gruppen einteilen:

- Etwas, das die Personen wissen: Wissen wie z.B. PIN, ein Passwort oder der Mädchenname Ihrer Mutter
- Etwas, das die Personen haben: einen Führerschein, einen Personalausweis oder eine Magnetkarte/Chip
- Etwas, was die Personen sind: Biometrie, einschließlich Handabdrücke, Fingerabdrücke, Stimmabdrücke und Netzhaut (Auge) Scans.

Eine starke Authentifizierung erfordert die Bereitstellung von mehr als einer Art von Authentifizierungsinformationen (Zwei-Faktor-Authentifizierung).^[27]

- Datenintegrität

Die Gewährleistung der Datenintegrität ist eine Frage der Zugriffskontrolle – es ist sicherzustellen, dass nur die authentifizierten Personen Dokumente ändern können. Es erfordert auch einen Audit-Trail der Änderungen und eine Fallback-Position, falls sich Änderungen als nachteilig erweisen. Dies steht im Einklang mit der Nichtabstreitbarkeit (wer, was und wann).^[28]

- Vertraulichkeit

Bei der Vertraulichkeit geht es darum, den Zugriff auf Dateien im Speicher oder auf dem Übertragungsweg zu kontrollieren. Dies erfordert die Konfiguration von Systemen, aber die kritische Definition der Parameter (wer sollte darauf zugreifen können) ist ein geschäftsbezogener Prozess.^{[29] [30]}

- Verfügbarkeit

Durch die Verfügbarkeit kann auf Informationen zugegriffen werden. Sind diese Informationen nicht vorhanden, sind sie folglich nicht mehr verfügbar. Damit die Informationen verfügbar bleiben, muss das Unternehmen Datensicherungen, Bandbreiten- und Standbyeinrichtungen bei der Sicherheitsplanung berücksichtigen.^{[31] [32]}

- Verbindlichkeit

In einem allgemeinen Sinn beinhaltet die Nichtablehnung das Zuordnen von Aktionen oder Änderungen zu einer eindeutigen Person. Für einen sicheren Bereich kann es beispielsweise wünschenswert sein, ein Schlüsselkartenzugriffssystem zu implementieren. Die Nichtabstreitbarkeit ist verletzt, wenn es keine Richtlinie gibt, die ein striktes Durchsetzen verlangt, damit das Teilen der Schlüsselkarten verbietet und verlorene oder gestohlene Karten sofort gemeldet werden. Ansonsten kann nicht bestimmt werden, wer die Handlung des Öffnens der Tür durchgeführt hat. In einem anderen Beispiel darf der individuelle Besitzer des Kontos für Computerzugriffe nicht zulassen, dass andere dieses Konto verwenden, insbesondere indem er beispielsweise das Passwort seines Kontos an eine andere Person weitergibt. Daher sollte eine Richtlinie implementiert werden, die das durchsetzt bzw. verbietet. Zusätzlich kann noch auf die Multi-Faktor-Authentifikation hingewiesen werden, d.h. zwei Dinge sind für die Authentifizierung notwendig, also etwas, das man weiß (PIN oder Kennwort) und etwas, was man besitzt (z.B. Token mit wechselnder Nummer). Nur beides zusammen korrekt eingegeben, bestätigt dieses Verfahren die Zuordnung zu einer Person . Verbindlichkeit geht immer einher mit der Nachvollziehbarkeit; wer hat wann was getan.^{[33] [34]}

- Anonymität

Im allgemeinen Datenverarbeitungskontext versteht man unter Anonymität das Verborgen halten des Namens und der Identität eines Nutzers durch den Einsatz verschiedener Anwendungen (z.B. Internet Browser Tor). Aus Gründen der Sicherheit und des Datenschutzes (EU-DSGVO)^[35] kann eine Anwendung sicherstellen, dass die Namen der Nutzer anonym bleiben, damit ihre Privatsphäre geschützt ist oder vor CyberCrime, wie Identitätsdiebstahl, geschützt sind. Manche anonyme Nutzer (Tor anonymisiert) verwenden die Anonymität für böswillige Zwecke. Während einige Nutzer ihre Identität aus Angst vor sozialen oder rechtlichen Auswirkungen verbergen, beabsichtigen andere Nutzer durch die Anonymität das Einhalten von Schutzmaßnahmen.^[36]

- Pseudonymität

Pseudonymität ist der nahezu anonyme Zustand, in dem ein Benutzer eine konsistente Kennung hat, die nicht sein richtiger Name ist: ein Pseudonym. In pseudonymen Systemen sind echte Identitäten nur für Site-Administratoren verfügbar. Mit Hilfe von Listen werden die realen Daten von Nutzern anonymisiert, z.B. die Namen und Vornamen durch fortlaufende Zahlen ersetzen. Wird die Liste ohne die Namen und Vornamen, also nur noch mit den Zahlen verwendet, so ist das eine pseudonymisierte Liste. Der Site-Administrator kann beide Listen wieder zusammenführen und hebt damit die Anonymität wieder auf. Hierbei ist es wichtig, dass die beiden Listen strikt voneinander getrennt aufbewahrt werden. Dieses Verfahren wird z.B. bei Mitarbeiterbefragungen durch ein externes Unternehmen durchgeführt. Das externe Unternehmen hat alle Daten, gibt aber die pseudoanonymisierten Daten an das beauftragende Unternehmen, als Auswertung der Befragungen, weiter. Somit ist für die Mitarbeiter die Anonymität im eigenen Unternehmen gewährleistet . ^{[37] [38]}

2.2.2 Security Engineering

Bereits bei der Entwicklung von IT-Systemen ist es wichtig, von Anfang an im Entwicklungsprozess Maßnahmen und Methoden für eine sichere Konstruktion zu etablieren. Die folgende Abbildung 9 zeigt die entscheidenden Konstruktionsphasen des Security-Engineerings, unabhängig davon, ob es sich um eine Hard- oder Software-Entwicklung handelt:^[39]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Eckert (2014), S. 166.

Abbildung 9: Planungsphasen für IT-Systeme

Bei den einzelnen Phasen des Security Engineerings handelt es sich um einen fortlaufenden Zyklus. Dieser startet immer mit einer Problemstellung, den Maßnahmen, der Realisierung und endet in der Bewertungsphase. Innerhalb der Bewertungsphase können zur Messung und Validierung Kennzahlen (KPI) zum Einsatz kommen, damit die Maßnahmen ständig überwacht und deren Einhaltung kontrolliert werden können.

Neben dem Entwicklungsprozess, wie in Abbildung 9 dargestellt, gibt es noch die folgenden Bereiche des Security Engineerings:^[40]

- Strukturanalyse Prüfung der Systemlandschaften, Einsatzumgebung, Assets

- Schutzbedarfsanalyse Definition von Schutzbedarfskategorien (niedrig -> sehr hoch)

- Bedrohungsanalyse Systematische Ermittlung potentieller Ursachen, die Schäden hervorrufen können (organisatorisch, technisch und benutzerbedingt) Vorgehensweise: Bedrohungsmatrix und Bedrohungsbaum

- Risikoanalyse Bewertung der Bedrohungen und Schadensdifferenzierung (Primär- und Sekundärschaden) Vorgehensweise: Attributierung und Penetrationstests

2.2.3 Datenschutz nach DSGVO

Bevor der Datenschutz nach DSGVO näher beschrieben wird, soll der Datenschutz von der IT-Sicherheit unterschieden werden.

Datenschutz: Unter Datenschutz versteht man den Schutz personenbezogener Daten vor Missbrauch. Zweck und Ziel des Datenschutzes ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der Einzelperson. Jeder soll selbst bestimmen können, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht (siehe EU-DSGVO).^[41]

IT-Sicherheit: Unter IT-Sicherheit versteht man die wissenschaftliche und technologische Behandlung von Sicherheitsaspekten in der Informationstechnologie. Dies beinhaltet insbesondere die Aspekte der Informationssicherheit, d.h. den Schutz von Informationen bezüglich Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit.^[42]

Vom 25.05.2018 an, ist die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft und ersetzt bzw. erweitert die nationalen Gesetze, wie in Deutschland das Bundesdatenschutzgesetz (BDSG). Die EU-DSGVO beschäftigt sich ausschließlich mit dem Schutz derjenigen Daten von natürlichen Personen, die in physischer Form auf Papier und elektronisch hinterlegt sind. Somit wurden nicht nur die pers. Rechte und persönlicher Daten erweitert, sondern auch die Strafen (bis zu vier Prozent vom Gesamtumsatz; max. 20 Mio. €). ^[43]

Beim Schutz gegen CyberCrime ist diese Datenschutzverordnung insoweit wichtig, da hier besonderer Wert auf DLP (Data Leakage/Loss Prevention – die Vermeidung von Datenverlust) und andere Rechte wie Löschung, Zweckgebundenheit, etc. gelegt wird. In jedem Unternehmen werden personenbezogene Daten verarbeitet, sei es auch nur im Zusammenhang mit ihren Angestellten (Personalunterlagen, Bewerbungen etc…). Eine weitere Datenquelle ist das CRM (Customer Relationship Management), dort werden Personendaten von Kunden gespeichert und wenn hier neben dem Namen auch das Geburtsdatum oder die Ausweisnummer gespeichert werden, so fallen diese Daten unter den Schutz des EU-DSGVO und dürfen nur zweckgebunden verarbeitet werden. Das Geburtsdatum zu speichern, damit man dem Kunden zum Geburtstag gratulieren kann, ist keine ausreichende Zweckbindung nach EU-DSGVO. Eine Risikobewertung mit entsprechendem Aktionsplan für die Verarbeitung personenbezogener Daten sollte unbedingt erstellt werden.^[44]

Das Zusammenspiel von Datenschutz und IT-Sicherheit kann auch zu Konflikten führen. Denn einerseits sollen nach dem Datenschutz nur so viele Daten wie nötig gesammelt werden, andererseits, wie das Beispiel Firewall Logs zeigt, möchte der IT-Admin für die IT-Sicherheit so viele Daten wie möglich sammeln, um ggf. Sessions von Personen zu erkennen, die nicht erlaubte Zugriffe durchführen.^[45]

2.3 IT-Sicherheit Vorgehensmodelle

In diesem Kapitel werden die bekanntesten Vorgehensmodelle kurz beschrieben, damit zum einen diese Vorgehensmodelle eingeordnet werden können und zum anderen die Unternehmen eine Auswahl, für den Einsatz im Unternehmen, treffen können.

2.3.1 ISO/IEC27000

Der international anerkannte ISO/IEC27000® Standard basiert auf dem British Standard BS7799®. Dieser wurde vom BSI (British Standards Institute) herausgegeben. Das BSI ist eine der international anerkannten Zertifizierungsstellen für den ISO/IEC27001® Standard. Diese Norm beschreibt die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berück-sichtigung des Kontexts einer Unternehmensorganisation.^[46]

Es werden die Risiken (Informationssicherheit) der gesamten Unternehmens-organisation berücksichtigt, aber es werden keine Kontrollmaßnahmen für die Zielerreichung beschrieben.^[47]

Die Normenreihe umfasst die folgenden Titel, wie in Abbildung 10 aufgeführt, wobei 27001® eine Hauptnorm ist und die Normen 27002® bis 27007® Aspekte der Hauptform detaillierter behandeln:^[48]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Entnommen aus Kersten, Klett, Reuter, & Schröder (2016), S. 1.

Abbildung 10: Normenreihe ISO/IEC27000: Basisnormen

2.3.2 IT-Grundschutz nach BSI

Der deutscher IT-Sicherheit Standard des Bundesamtes für Sicherheit in der Informationstechnik (BSI), enthält alle wesentlichen Bausteine, die für eine vollständige IT-Sicherheitsstrategie notwendig sind, siehe Abbildung 11. Vom BSI gibt es entsprechende Leitfäden, die es Firmen und Institutionen erleichtern, diesen Standard zu benutzen. Mit diesem Standard lässt sich ein effizientes IT-Sicherheitsmanagementsystem aufbauen. Das IT-Grundschutz-Kompendium und die im IT-Grundschutz dargelegten Vorgehensweisen bilden eine gute Grundlage für die Einführung eines IT-Sicherheitsstandards in einem Unternehmen. Durch die praxiserprobten Sicherheitsmaßnahmen werden erfolgreiche Sicherheitskonzepte seit vielen Jahren in Unternehmen und Behörden eingesetzt.^[49]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an BSI (2017), S. 77.

Abbildung 11 : BSI IT-Grundschutz Modell

Im Gegensatz zum ISO/IEC27001 kann beim BSI IT-Grundschutz kein Prozessbaustein ausgelassen werden, d.h. der Grundschutz ist nur dann gegeben, wenn alle Bausteine umgesetzt wurden. Dies ist vor allem dann wichtig, wenn eine Zertifizierung nach dem BSI-Grundschutz angestrebt wird.^[50]

2.3.3 ISIS12

Der Bayerischer IT Sicherheitscluster e.V. hat einen 12 Punkte-Plan entwickelt. Das ISIS12® Vorgehensmodell, welches für KMUs (Klein- und mittelständische Unternehmen) entwickelt wurde, unterstützt und vereinfacht die Einführung eines Managementsystems für Informationssicherheit. Mit dem ISIS12® wird ein konkreter Handlungsrahmen zur Verfügung gestellt, welcher im Vergleich zur abstrakten ISO/IEC27001® ein einfaches 12-Punkte-System hat, das in Abbildung 12 dargestellt wird. Die einzelnen Punkte werden sequentiell durchlaufen und interne wie externe Audits können auf Basis dieses Verfahrensmodells die Aktualität und die Erhöhung der IT-Sicherheit sicherstellen. ISIS12® ist eine Vorstufe/Vorbereitung zu ISO/IEC 27001® oder BSI-Grundschutz.^[51]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Entnommen aus Bayerischer IT Sicherheitscluster e.V. (2018), o.S.

Abbildung 12: ISIS12© Vorgehensmodell, Module

2.3.4 NIST CyberSecurity

Das NIST (National Institut of Standards and Technology) ist die föderale Technologieagentur in den USA, die mit der Industrie zusammenarbeitet, um Technologien, Messungen und Standards zu entwickeln und anzuwenden. NIST hat zusammen mit mehreren öffentlichen und privaten Einrichtungen einen CyberSecurity-Standard geschaffen, der sich darauf konzentriert, Business-Treiber zu nutzen, um CyberSecurity-Aktivitäten zu steuern und CyberSecurity-Risiken als Teil der Risikomanagementprozesse einer Organisation zu betrachten. In Abbildung 13 wird der Lebenszyklus des CyberSecurity-Risikos einer Organisation dargestellt. Dieser Zyklus enthält die fünf gleich- und fortlaufenden Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen, die allesamt den äußeren Rahmen für den Standard NIST bilden:^{[52] [53]}

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an NIST (2018), o. S.

Abbildung 13: NIST CyberSecurity Framework-Übersicht

Dieses Modell wurde so entwickelt, dass es für die meisten Organisationen anwendbar ist, um flexibel und allgemeingeltend zu sein, um für verschiedene Organisationsstrukturen passend zu sein. Weiterhin berücksichtigt der Standard die folgenden drei Annahmen:^[54]

- Unterschiedliche Cybersecurity-Reifegrade innerhalb der Organisation;
- Unterkategorien der NIST Cybersecurity-Standard-Unterkategorien können von Organisation zu Organisation unterschiedlich sein;
- Technologieunabhängig, auf Funktionalität und Ziele konzentriert

2.3.5 COBIT 5

COBIT 5 ist ein weltweit anerkanntes Rahmenwerk für Governance und Management der Unternehmens-IT. COBIT 5 wurde von dem unabhängigen internationalen Berufsverband der IT- und Wirtschaftsprüfer, der „Information Systems Audit and Control Association“ (ISACA) und dem IT Governance Institute (ITGI) entwickelt. Die erste in 1996 veröffentlichte Version von COBIT war ein Leitfaden für IT-Revisoren zur Überprüfung von Abläufen innerhalb der IT. Die aktuelle Version COBIT 5 wurde im April 2012 veröffentlicht und hat den Anspruch, eine konsistente, ganzheitliche, integrative und komplette Sicht auf Governance und Management von IT zu liefern. In das Framework wurden andere gängige Frameworks, Standards und best practices (u.a. ISO/IEC 38500, ISO/IEC 31000, ITIL V3 und ISO/IEC 20000, ISO/IEC 27000 Series, NIST, TOGAF, PRINCE2/PMBOK, CMMI, …) eingebunden. COBIT 5 ersetzt diese jedoch nicht, sondern versteht sich als Integrator Framework. So werden in den COBIT 5 Domänen Mappings dieser Standards und Frameworks aufgezeigt. COBIT 5 ist ein generischer Ansatz und somit für Unternehmen aller Größen und Branchen geeignet. Durch seine Mächtigkeit wird COBIT 5 vor allem von großen Unternehmen genutzt, die erhöhte Anforderungen an Compliance (SOX, IKS) und Controlling haben. Für kleinere IT-Abteilungen ist COBIT 5 jedoch eher als Baukasten dienlich.^[55]

Die „COBIT 5 Product Family“ beinhaltet eine umfangreiche Zusammenstellung von Materialien, u.a. auch den Umsetzungsleitfaden „COBIT 5 for Information Security“. Der in Abbildung 14 schematisch dargestellte COBIT-5-Standard enthält umfassende Anleitungen für Governance und Management von Unternehmens-IT.^[56]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Entnommen aus ISACA (2012), S. 11.

Abbildung 14: Cobit 5 Produkt Familie

2.3.6 Aufwandseinschätzung für Vorgehensmodelle

Die Vorgehensmodelle ISO/IEC27000, IT-Grundschutz, ISIS12, NIST CSF und COBIT 5 stellen einen Rahmen für das IT-Sicherheitsmanagement dar, mit deren Unterstützung z.B. Governance Services wie Awareness-Kampagnen, strukturiert, überwacht und durchgeführt werden. Welches Vorgehensmodell für das jeweilige Unternehmen das Passende ist, ist eine Frage der Größe, der Branche und der regulatorischen Auflagen und ggf. der Internationalität des Unternehmens. Des Weiteren ist der Implementierungsaufwand (siehe Abbildung 15) bei den unterschiedlichen Vorgehensmodellen sehr unterschiedlich. Kleinere Firmen (KMU <250 Mitarbeiter) und kommunale Behörden haben mit dem ISIS12® Modell eine Möglichkeit, sich mit diesem IT-Sicherheitsthema zu beschäftigen und zu einem späteren Zeitpunkt auf die höheren Standards zu wechseln. Alle drei in Abbildung 15 gezeigten Vorgehensmodelle haben als Basis ein Managementsystem für Informationssicherheit, welches den strategischen und prozessualen Rahmen für die IT-Sicherheitsmaßnahmen bildet. Neben den in Abbildung 15 aufgeführten Vorgehensmodellen gibt es auch noch COBIT®, ISO 15408® und andere.^[57]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Bayerischer IT Sicherheitscluster e.V. (2018), o. S.

Abbildung 15: Zeitwand für die Implementierung von Vorgehensmodellen

Um APT-Angriffe erfolgreich abzuwehren, sind begleitend zu den Vorgehens-modellen besondere Schutzmaßnahmen erforderlich, siehe Kapitel 3.1.4.

Damit die Maßnahmen, die innerhalb der Vorgehensmodelle beschlossen und umgesetzt wurden, zukünftig eingehalten werden, sind Kontrollen notwendig. Diese werden im nächsten Kapitel beschrieben.

2.4 Kontrolle der IT-Sicherheit

In meiner Ausbildung zum CISO wurde von meinem Ausbilder folgendes gesagt: Eine Richtlinie ohne Kontrolle ist keine Richtlinie. Daraus geht hervor, dass jeder Prozess oder Richtlinie eine Kontrolle benötigt, damit deren Umsetzung sichergestellt werden kann. In diesem Kapitel werden die wichtigsten Kontrollmaßnahmen beschrieben.

2.4.1 Kontrolle durch Governance

Im Rahmen der IT-Governance Aufgaben sind folgende Kontrollfunktionen zu erfüllen:

- IT-Dashboard*
- IT-Risk-Management
- IT-Incident-Management
- IT-Change-Management

* Monatliche Kennzahlen zu wichtigen IT-Sicherheitsmaßnahmen

Der IT-Sicherheitsbeauftrage hat diese Aufgaben auszuüben und durch regelmäßige Besprechungen zu protokollieren. Die Geschäftsführung als Stakeholder für IT-Sicherheit muss regelmäßig (z.B. einmal im Quartal) über die IT-Sicherheits-aktivitäten informiert werden.^{[58] [59]}

2.4.2 Penetration-Tests

Penetration-Tests dienen dazu, mit Hilfe von Software-Scannern (z.B. Nessus®, Nmap®, XScan® etc…) ^[60] Netzwerksegmente auf Schwachstellen zu überprüfen. Dabei wird in Blackbox- oder Whitebox-Tests unterschieden. Während Blackbox-Tests ohne jegliche Vorkenntnisse des zu prüfenden Netzwerksegments durchgeführt werden, nutzen Whitebox-Tests explizite Informationen wie z.B. den IP-Bereich, die Firewall und die Art des Servers.^[61]

Penetration-Tests durchlaufen typischerweise Schritte wie Internet-Recherche, Portscanner, Fingerprinting-Methode, Analyse und Tests dieser Schwachstellen.^[62]

Als Ergebnis des Penetration-Tests wird vom Tester ein Bericht angefertigt, der Aufschluss über die festgestellten Schwachstellen gibt, damit diese dann entweder gelöst werden oder nicht. Sofern die Schwachstellen nicht gelöst werden, wird das Sicherheitsrisiko akzeptiert. Das Akzeptieren von Risiken kann sinnvoll sein, wenn z.B. die Behebung der Schwachstelle viel teurer ist, als verursachte Schaden. Neben den Penetration-Tests von außen (Internet, WebServer etc…) sollten auch Scans in internen Netzen, wie z.B. Client- und Server-Netz, durchgeführt werden. ^{[63] [64]}

[...]

---

^[1] Vgl. Tankard (2011), S. 16-19.

^[2] Vgl. Symantec Corporation (2018), S. 15.

^[3] Vgl. Koch (2018), o. S.

^[4] Vgl. Shao, Tunc, Satam, & Hariri (2017), S. 322.

^[5] Vgl. Furnell, et al. (2017), S. 8.

^[6] Vgl. Randkofer (2007), S. 97.

^[7] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2017), S. 24.

^[8] Vgl. McAfee (2017), o. S.

^[9] Vgl. Koch (2018), o. S.

^[10] Vgl. Hiscox Ltd. (2018), S. 11.

^[11] Vgl. Bundesamt für Sicherheit in der Informationstechnik und Bitkom (2018), o. S.

^[12] Vgl. Gläser, Laudel (2010), S. 111ff.

^[13] Vgl. Symantec Corporation (2018), S. 30.

^[14] Vgl. Porter (1991), S. 101 ff.

^[15] Vgl. Homburg (2009), S. 580.

^[16] Vgl. Kotler (2011), o. S.

^[17] Vgl. Eckert (2014), S. 17.

^[18] Vgl. Gora & Krampert (2003), 83ff.

^[19] Vgl. Eckert (2014), S. 202ff.

^[20] Vgl. Accenture (2017), S .23.

^[21] Vgl. Accenture (2017), S. 24.

^[22] Vgl. Accenture (2017), S. 13.

^[23] Vgl. Symantec (2018), S. 15.

^[24] Vgl. Rouse (2014), S. 1.

^[25] Vgl. Eckert (2014), S. 7 ff.

^[26] Vgl. Müller (2015), S. 42ff.

^[27] Vgl. Eckert (2014), S. 8.

^[28] Vgl. Eckert (2014), S. 9.

^[29] Vgl. Eckert (2014), S. 9f.

^[30] Vgl. Müller (2015), S. 42ff.

^[31] Vgl. Eckert (2014), S. 11f.

^[32] Vgl. Müller (2015), S. 34.

^[33] Vgl. Eckert (2014), S. 12.

^[34] Vgl. Müller (2015), S. 42ff.

^[35] Vgl. Kapitel 2.2.3, S. 14.

^[36] Vgl. Eckert (2014), S. 13.

^[37] Vgl. Eckert (2014), S. 12.

^[38] Vgl. Rouse (2018), o. S.

^[39] Vgl. Eckert (2014), S. 164ff.

^[40] Vgl. Eckert (2014), S. 164ff.

^[41] Vgl. Müller (2015), S. 97ff.

^[42] Vgl. Müller (2015), S. 387ff.

^[43] Vgl. EU Parlament (2018), S. 36ff.

^[44] Vgl. ebd,

^[45] Vgl. Meints (2006), S 13.

^[46] Vgl. Kersten, Klett, Reuter, & Schröder (2016), S. 1.

^[47] Vgl. Wegener, Milde, & Dolle (2016), S. 8.

^[48] Vgl. Kersten, Klett, Reuter, & Schröder (2016), S. 1.

^[49] Vgl. BSI (2017), S. 9.

^[50] Vgl. BSI (2017), S. 9f.

^[51] Vgl. Bayerischer IT Sicherheitscluster e.V. (2018), o. S.

^[52] Vgl. Teodoro, Goncalves, & Serrao (2015), S. 420.

^[53] Vgl. NIST (2011), o. S.

^[54] Vgl. NIST (2011), o. S.

^[55] Vgl. ISACA (2012), S. 13f.

^[56] Vgl. ISACA (2012), S. 13f.

^[57] Vgl. Kersten & Klett (2008), S. 59ff.

^[58] Vgl. NIST (2011), o.S.

^[59] Vgl. Calder, Watkins (2015), S. 28ff.

^[60] Vgl. Eckert (2014), S. 182.

^[61] Vgl. Müller (2015), S. 375.

^[62] Vgl. Eckert (2014), S. 183.

^[63] Vgl. Eckert (2014), S. 183.

^[64] Vgl. BSI (2016), S. 5,6.