021.2 Lektion 1

In einer sich schnell entwickelnden digitalen Umgebung ist die Fähigkeit, relevante Sicherheitsinformationen zu finden und zu interpretieren, für jeden Experten der Cyber-Sicherheit unerlässlich. Dieser Abschnitt stellt die wichtigsten Quellen für Sicherheitsinformationen vor und erklärt, wie sie zu einer robusten Cyber-Sicherheitslage beitragen.

Zunächst ist es wichtig, die gängigen Quellen für Sicherheitsinformationen zu kennen. Bei diesen Quellen handelt es sich in der Regel um seriöse Stellen oder Organisationen, die aktuelle und genaue Daten über Sicherheitsschwachstellen, neu auftretende Bedrohungen und bewährte Verfahren zur Verfügung stellen. Die Kenntnis dieser Quellen ermöglicht es Cyber-Security-Experten, potenziellen Bedrohungen einen Schritt voraus zu sein, umgehend auf neue Risiken zu reagieren und die neuesten Sicherheitsmaßnahmen zum Schutz ihrer Systeme anzuwenden.

Eine der meistbeachteten Quellen für Sicherheitsinformationen ist das System Common Vulnerabilities and Exposures (CVE). CVE ist eine standardisierte Liste, die Schwachstellen in Software- und Hardwaresystemen identifiziert und kategorisiert. Sie dient als Referenzpunkt für Cyber-Security-Experten auf der ganzen Welt und bietet eine gemeinsame Sprache für die Diskussion und Behebung von Schwachstellen. Durch die Standardisierung der Identifizierung von Schwachstellen erleichtert CVE den Informationsaustausch zwischen verschiedenen Plattformen und Organisationen und fördert eine koordinierte Reaktion auf Sicherheitsbedrohungen.

Jede in der CVE-Datenbank aufgeführte Schwachstelle hat eine eindeutige Kennung, die CVE ID. Diese Kennungen sind entscheidend, um Schwachstellen zu verfolgen und sicherzustellen, dass alle Beteiligten über dasselbe Problem sprechen. Eine CVE ID enthält in der Regel Details zur Schwachstelle, den betroffenen Systemen und den potenziellen Auswirkungen.

Ein CVE-Eintrag beschreibt üblicherweise eine bestimmte Sicherheitslücke in Software oder Hardware, die identifiziert, dokumentiert und öffentlich bekannt gemacht wurde. Hier ein Beispiel für einen CVE-Eintrag (CVE-2024-29824).

Eine weitere wichtige Quelle für Sicherheitsinformationen sind Computer Emergency Response Teams (CERT). CERTs sind spezialisierte Gruppen von Experten, die auf Cyber-Security-Vorfälle reagieren und Informationen über potenzielle Schwachstellen und Bedrohungen weitergeben. Diese Teams sind oft mit Behörden, Bildungseinrichtungen oder großen Unternehmen verbunden und bilden die erste Verteidigungslinie bei der Begrenzung und Bewältigung von Cyber-Vorfällen. CERTs spielen eine entscheidende Rolle bei der Koordinierung von Reaktionen auf groß angelegte Cyber-Bedrohungen, geben rechtzeitig Warnungen aus und bieten Anleitungen zur Risikominderung. CERTs fungieren auch als wertvolle Zentren für den Informationsaustausch, die Einblicke in neu entstehende Bedrohungsmuster geben und bewährte Verfahren zur Verhinderung künftiger Angriffe empfehlen.

Im Bereich der Cyber-Sicherheit ist es für die Entwicklung wirksamer Abwehrmaßnahmen wichtig zu verstehen, wie Sicherheitsvorfälle klassifiziert werden, und die verschiedenen Arten von Schwachstellen zu erkennen, die ausgenutzt werden können.

Klassifizierungsschemata kategorisieren Sicherheitsvorfälle anhand bestimmter Kriterien wie Art, Schweregrad und Auswirkung. Diese Schemata helfen Organisationen, Art und Ausmaß eines Vorfalls schnell zu bewerten, die angemessene Reaktion festzulegen und die Situation effektiv an alle relevanten Gruppen und Personen zu kommunizieren.

Ebenso wichtig ist es, die Arten von Schwachstellen zu verstehen, die von Angreifern ausgenutzt werden können. Über solche Schwachstellen in einem System können sich Angreifer unbefugten Zugang verschaffen, Schaden anrichten oder Informationen stehlen. Sie entstehen durch Fehler in der Software, der Hardware oder durch falsche Anwendung. Zu den besorgniserregendsten Arten von Schwachstellen gehören Zero-Day-Schwachstellen (Zero-Day Vulnerabilities). Dabei handelt es sich um bis dahin unbekannte Schwachstellen in einer Software oder Hardware, die vom Hersteller oder Entwickler noch nicht entdeckt wurden, so dass die Systeme ungeschützt und sehr anfällig für Angriffe sind. Zero-Day-Schwachstellen sind besonders gefährlich, weil es noch keinen Patch oder keine Lösung gibt, so dass Angreifer sie ungehindert ausnutzen können, bis sie entdeckt und behoben sind.

Eine weitere wichtige Art von Schwachstellen betrifft die Remote-Ausführung (Remote Execution). Sie ermöglichen es Angreifern, von einem entfernten Standort beliebigen Code auf einem Zielsystem auszuführen. Dies kann zu einer vollständigen Kompromittierung des Systems führen, so dass Angreifer Malware installieren, vertrauliche Informationen stehlen oder sogar die Kontrolle über das gesamte Netzwerk übernehmen. Schwachstellen zur Remote-Ausführung werden häufig durch netzwerkbasierte Angriffe ausgenutzt, bei denen Angreifer präparierte Pakete oder bösartige Nutzdaten verwenden, um die Schwachstelle auszulösen und sich unberechtigten Zugriff zu verschaffen.

Privilege Escalation (Rechteausweitung ) stellt eine weitere kritische Bedrohung dar. Hier erlangt ein Angreifer erweiterte Zugriffsrechte oder Berechtigungen, die es ihm ermöglichen, nicht autorisierte Aktionen auszuführen oder auf zugriffsbeschränkte Daten zuzugreifen. Die Rechteausweitung kann entweder vertikal erfolgen, wenn der Angreifer weiterreichende Zugriffsrechte als die aktuelle Stufe erlangt, oder horizontal, wenn er Rechte anderer Benutzer mit ähnlichem Zugang erhält. Diese Art von Schwachstelle ist besonders in Umgebungen gefährlich, in denen der privilegierte Zugriff streng kontrolliert wird; hier kann es dazu kommen, dass Angreifer Sicherheitsmaßnahmen umgehen und wichtige Systeme oder Daten gefährden.

Untargeted Attacks (nicht zielgerichtete Angriffe) sind breit angelegte, unspezifische Versuche, Schwachstellen in beliebigen Systemen auszunutzen; oft werden sie mit Hilfe automatisierter Skripte oder Tools ausgeführt, die nach bekannten Schwachstellen suchen. Diese Angriffe sind unspezifisch und unterscheiden nicht zwischen den Zielen; sie zielen darauf ab, so viel Störung wie möglich zu verursachen oder unbefugten Zugang zu jedem anfälligen System zu erhalten.

Im Gegensatz dazu handelt es sich bei Advanced Persistent Threats (APTs), also fortgeschrittenen anhaltenden Bedrohungen, um hochentwickelte und gezielte Angriffe, die bestimmte Organisationen oder Einrichtungen über einen längeren Zeitraum infiltrieren. APTs werden häufig von gut finanzierten und erfahrenen Angreifern wie staatlich finanzierten Gruppen oder organisierten Cyber-Kriminellen durchgeführt, die ein klares Ziel verfolgen und bereit sind, viel Zeit und Ressourcen zu investieren, um dieses Ziel zu erreichen. APTs zeichnen sich durch Heimlichkeit und Beharrlichkeit aus, da sie häufig mehrere Angriffsvektoren und fortschrittliche Techniken einsetzen, um nicht entdeckt zu werden und den Zugang zum Zielnetzwerk so lange wie möglich zu erhalten.

Im Bereich der Cyber-Sicherheit sind zwei Praktiken für den Schutz von Systemen und die Reaktion auf Vorfälle unerlässlich: Sicherheitsbewertungen (Security Assessments) und IT-Forensik.

Sicherheitsbewertungen sind systematische Evaluierungen der Informationssysteme und Netzwerke einer Organisation, um Schwachstellen zu identifizieren, Risiken zu bewerten und die Wirksamkeit bestehender Sicherheitsmaßnahmen zu bestimmen. Diese Bewertungen helfen Organisationen, ihre Sicherheitslage zu verstehen und Bereiche zu identifizieren, die verbessert werden müssen. Sicherheitsbewertungen können Schwachstellenbewertungen, Sicherheitsaudits und Penetrationstests umfassen. Jede Art von Bewertung bietet unterschiedliche Einblicke in den Sicherheitsrahmen einer Organisation und ermöglicht ein umfassendes Verständnis der potenziellen Risiken.

Penetrationstests, oft auch als ethisches Hacking bezeichnet, sind eine proaktive Technik zur Sicherheitsbewertung, bei der Angriffe auf ein System simuliert werden, um Schwachstellen zu erkennen, bevor sie von böswilligen Akteuren ausgenutzt werden können. Während eines Penetrationstests imitieren geschulte Tester, auch _Pentester genannt, die Taktiken, Techniken und Verfahren realer Angreifer, um Schwachstellen in der Verteidigung des Unternehmens aufzudecken. Das Ziel von Penetrationstests ist es, Sicherheitslücken zu erkennen, die durch automatisierte Scans von Schwachstellen oder andere Formen von Tests möglicherweise nicht aufgedeckt werden. Durch die Identifizierung dieser Schwachstellen können Unternehmen Korrekturen vornehmen, um ihre Sicherheitsmaßnahmen zu stärken und die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern.

Ergänzend zu den Sicherheitsbewertungen konzentriert sich die IT-Forensik oder digitale Forensik auf die Untersuchung und Analyse von Cyber-Vorfällen, um deren Ursache, Umfang und Auswirkungen zu ermitteln. IT-Forensik umfasst die Sammlung, Aufbewahrung und Untersuchung digitaler Beweise von Computersystemen, Netzwerken und anderen digitalen Geräten. Das Hauptziel der IT-Forensik besteht darin, die Details eines Sicherheitsvorfalls aufzudecken, einschließlich der Fragen, wie es dazu kam, wer verantwortlich war und welche Daten oder Systeme betroffen waren.

Der Prozess der IT-Forensik beginnt mit der Identifizierung und Sammlung relevanter digitaler Beweise, die sorgfältig aufbewahrt werden müssen, um ihre Integrität und Zulässigkeit im Falle eines Rechtsstreits zu gewährleisten. Forensische Analysten verwenden spezialisierte Tools und Techniken, um die gesammelten Beweise zu analysieren, Ereignisse zu rekonstruieren und die Quelle des Vorfalls zu identifizieren. Diese Analyse umfasst häufig die Untersuchung von Protokolldateien, Netzwerkverkehr und anderen digitalen Daten, um die Aktionen des Angreifers nachzuvollziehen und festzustellen, wie er Zugriff auf das System erlangt hat.

Eine maßgebliche Rolle spielt die IT-Forensik bei der Reaktion auf einen Vorfall. Tritt ein Sicherheitsverstoß auf, ist eine schnelle und wirksame Reaktion entscheidend, um den Schaden zu minimieren und weitere Kompromittierungen zu verhindern. Die IT-Forensik liefert die notwendigen Informationen, um die Art des Angriffs zu verstehen und einen gezielten Reaktionsplan zu entwickeln. Durch die Identifizierung der von den Angreifern verwendeten Methoden und des Schadensausmaßes können Unternehmen geeignete Schritte unternehmen, um den Vorfall einzudämmen, seine Auswirkungen zu mindern und zukünftige Vorfälle zu verhindern.

Der Schutz sensibler Informationen hat für Unternehmen aller Größenordnungen höchste Priorität. Dafür müssen sie einen umfassenden Ansatz für die Informationssicherheit verfolgen, der sowohl proaktive als auch reaktive Maßnahmen umfasst.

Ein Information Security Management System (ISMS) ist ein Rahmen für die Verwaltung sensibler Daten einer Organisation und die Gewährleistung ihrer Sicherheit. Kernziel eines ISMS ist der Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch die Anwendung eines Risikomanagementprozesses. Dieser umfasst die Identifizierung potenzieller Bedrohungen für Informationswerte, die Bewertung der mit diesen Bedrohungen verbundenen Risiken und die Implementierung geeigneter Kontrollen, um sie zu mindern. Ein effektives ISMS hat nicht nur die Technologie im Blick, sondern auch Menschen und Prozesse, und verfolgt damit einen ganzheitlichen Ansatz im Umgang mit Risiken in der Informationssicherheit.

Die Implementierung eines ISMS erfolgt in der Regel nach internationalen Normen wie ISO/IEC 27001, die Richtlinien für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS vorschreiben. Die Einhaltung dieser Normen hilft Organisationen, Sicherheitsrisiken systematisch zu ermitteln und Kontrollen zu implementieren, die dem Risikoniveau angemessen sind. Das ISMS-Rahmenwerk ist dynamisch konzipiert, so dass sich Organisationen an die sich entwickelnden Bedrohungen und die sich verändernden Geschäftsumgebungen anpassen können. Durch regelmäßige Überprüfung und Aktualisierung des ISMS stellen Organisationen sicher, dass ihre Sicherheitsmaßnahmen wirksam und auf ihre Geschäftsziele abgestimmt bleiben.

Ein ISMS trägt die Verantwortung für die Sicherheit in einer Organisation. Es sorgt dafür, dass die Netzwerk- und Systemadministratoren über alle Assets Bescheid wissen. Es ist erstaunlich, wie oft Computer, Daten oder mobile Geräte ungeschützt bleiben, weil die Benutzer vergessen haben, ihre Existenz den Sicherheitsverantwortlichen zu melden.

Das ISMS legt fest, wer auf welche Art von Daten zugreifen darf, und benennt Verantwortliche, die dafür sorgen, dass die Technologie diese Richtlinien widerspiegelt. Andere Richtlinien können festlegen, welche Arten von Geräten in der Einrichtung erlaubt sind, welche Arten von Scans und Sicherheitstests durchgeführt werden sollten und wie mit Angriffen umzugehen ist, sobald sie entdeckt werden.

Neben einem robusten ISMS müssen Organisationen auch darauf vorbereitet sein, schnell und effektiv auf Sicherheitsvorfälle zu reagieren, wenn diese eintreten. Dies erfordert einen gut definierten Incident Response Plan (IRP) und ein geschultes Information Security Incident Response Team (ISIRT). Ein IRP umreißt die Verfahren und Maßnahmen, die eine Organisation im Falle einer Sicherheitsverletzung oder anderer Vorfälle ergreifen muss. Er bietet einen klaren Fahrplan für Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung bei Vorfällen und stellt sicher, dass die Organisation den Schaden minimieren und den normalen Betrieb so schnell wie möglich wieder aufnehmen kann.

Eine Schlüsselkomponente eines effektiven IRP ist die Einrichtung eines ISIRT. Dieses Team setzt sich aus Personen mit spezifischen Rollen und Verantwortlichkeiten zusammen, darunter technische Experten, Juristen und Kommunikationsspezialisten, die alle zusammenarbeiten, um die Auswirkungen von Sicherheitsvorfällen zu bewältigen und abzumildern. Das ISIRT ist für die Koordinierung des Reaktionsprozesses auf Vorfälle verantwortlich, stellt sicher, dass alle Schritte plangemäß ausgeführt werden, und kommuniziert mit den Zuständigen innerhalb und außerhalb der Organisation.

Kenntnis vom ISMS und der angemessenen Reaktion auf Vorfälle ist für alle Mitarbeiter eines Unternehmens wichtig, nicht nur für diejenigen, die in der IT oder im Sicherheitsbereich tätig sind. Jeder muss eine Rolle beim Schutz der Informationsressourcen spielen, von der Befolgung der Sicherheitsrichtlinien und -verfahren bis hin zur Meldung verdächtiger Aktivitäten. Durch die Förderung einer Kultur des Sicherheitsbewusstseins machen Unternehmen ihre Mitarbeiter zur ersten Verteidigungslinie gegen potenzielle Bedrohungen. Regelmäßige Schulungen und Sensibilisierungsprogramme sind wichtig, um Mitarbeiter über die neuesten Bedrohungen, die Bedeutung von Sicherheitsprotokollen und die Schritte, die sie im Falle eines Vorfalls unternehmen sollten, zu informieren.

Darüber hinaus ist die Integration des ISMS und der Reaktion auf Sicherheitsvorfälle entscheidend für eine stabile Sicherheitslage. Während ein ISMS die Grundlage für ein proaktives Informationssicherheitsmanagement bildet, stellt ein Plan zur Reaktion auf Sicherheitsvorfälle sicher, dass die Organisation darauf vorbereitet ist, schnell und effektiv auf Sicherheitsverstöße zu reagieren. Dieser doppelte Ansatz ermöglicht es Organisationen, die Wahrscheinlichkeit von Sicherheitsvorfällen zu minimieren und deren Auswirkungen abzuschwächen, wenn sie eintreten, und so den Ruf der Organisation, die rechtliche Position und die betriebliche Kontinuität zu schützen.