Open Telekom Cloud für Geschäftskunden

„Hacker schlafen nicht“ – Wie schützt man sich vor Cyberkriminalität?

von Redaktion
Abstrakter Code-Hintergrund mit Vorhängeschlössern.
Daten kapern, verschlüsseln und gegen Zahlung von Lösegeld wieder entschlüsseln: Ransomware gehört zu den am häufigsten benutzten Schadprogrammen von Hackern.

In diesem Artikel lesen Sie,

  • welche Schadprogramme die IT-Sicherheit künftig besonders gefährden
  • warum Anwendungen von Unternehmen immer öfter zur Zielscheibe von Hacker-Angriffen mit Ransomware werden
  • wie Bug-Bounty-Programme, Honeypots und Schwachstellenscanner die Bekämpfung von Cyberkriminalität unterstützen

Emotet besiegt – Problem gelöst? So einfach ist es nicht. Auch künftig werden Hacker Unternehmen und Rechenzentren gezielt mit Ransomware und anderer Malware attackieren. Wie schützt man seine Daten und Anwendungen proaktiv und effektiv? Welche Rolle spielt Cloud Computing dabei? Ein Gespräch zur Lage von Datenschutz und IT-Sicherheit mit Daniel Fussy, Security & Privacy Consultant bei T-Systems.

Daniel Fussy

Herr Fussy, wie schätzen Sie die aktuelle Sicherheitslage in der Informations- und Kommunikationstechnik ein auf welche Bedrohungen müssen wir uns einstellen?

Ransomware wird weiterhin auf den vordersten Plätzen der Angriffsmethoden liegen, auch wenn die Emotet-Infrastruktur aus dem Verkehr gezogen ist. Dabei gehen Cyberkriminelle gezielter vor: Der klassische Angriff auf ein Rechenzentrum über DDOS-Attacken wird nun immer häufiger durch Einbruchsversuche auf Systeme verstärkt. Eine der größten Bedrohungen in 2021 sehe ich daher in der Wirtschaftsspionage durch Einbruch in die Anwendungen der Kunden. Darauf sind 90 Prozent aller Angriffe über das Internet gerichtet. 

Spionieren, Informationen abgreifen und teuer verkaufen

Woran liegt es, dass Anwendungen von Unternehmen so häufig zu Angriffszielen werden?

Ich nenne das „Benutzerhandbuchangriffe“: Wenn ein Kunde bei der Konfiguration seiner Anwendung 80 Prozent des Handbuchs abgearbeitet hat und das System einwandfrei läuft, fallen die restlichen 20 Prozent oft unter den Tisch. Das kann beispielsweise dazu führen, dass keine oder eine falsche Rechtevergabe an Nutzer erfolgt, Passwörter nicht geändert und Systeme nicht gehärtet werden. All dies eröffnet einem Angreifer Möglichkeiten, hinter der Firewall Hintertürchen für Ransomware und andere Malware zu finden und immer tiefer ins System vorzudringen. Solche Fehler passieren immer wieder – selbst geheime Dokumente der NSA waren schon durch Benutzerfehler in der Public Cloud eines US-amerikanischen Hyperscalers einsehbar.

Was ist das Ziel der Angreifer?

Das Interesse der Angreifer liegt meist nicht darin, wie beim klassischen DDOS-Angriff – etwa auf einen E-Shop – ein System lahmzulegen oder zu zerstören. Es geht vielmehr darum, so lange wie möglich unentdeckt zu bleiben, ungestört Betriebsspionage zu betreiben und Informationen abzugreifen, um sie dann möglichst teuer zu Geld zu machen.

Zertifizierungen und die passende Cloud-Strategie

Welche Maßnahmen sind geeignet, um Anwendungen zu schützen?

Zertifizierungen gelten als guter Gradmesser für Qualität und Schutz. Für die Cloud sind beispielsweise besonders Zertifizierungen wie ISO 27018 und Trusted Cloud (TCDP) relevant. Um die Verfügbarkeit der Anwendung eines Kunden zu sichern, wird diese heutzutage über mehrere Rechenzentrumsstandorte hinweg gemanagt. Dieser Ansatz wird auch als „Pet versus Cattle“ bezeichnet: Es spielt keine Rolle, wenn ein geliebter und bevorzugter „Pet“-Server an einem Standort ausfällt, weil ein neuer Server aus der Herde („Cattle“) schon bereitsteht.

Wie lässt sich das umsetzen?

Mithilfe von Skriptsprachen und Automatisierungswerkzeugen wie Ansible, Terraform und SaltStack lassen sich ausgefallene Server und virtuelle Maschinen in kürzester Zeit nachbauen und betriebsbereit machen – man kann es auch als „Selbstheilungskräfte“ von Servern bezeichnen. Das entspricht dem Prinzip von Container-Lösungen wie Docker und Steuerungswerkzeugen wie Kubernetes. Die Cloud wird so in die Lage versetzt, sich quasi aus eigener Kraft zu reparieren. Basierend auf dem letzten aktuellen Backup baut sich per Knopfdruck innerhalb von wenigen Minuten die ganze Umgebung wieder auf. Mittlerweile schätzen immer mehr Kunden diese Vorteile von Cloud Computing und Infrastructure as a Service (IaaS).

Datenschutz, Compliance, DSGVO – wie schaffen Unternehmen diesen Dreisprung? Und wie können Cloud-Anbieter ihnen dabei behilflich sein?

Speziell bei personenbezogenen Daten haben die Gesetzgeber in Europa und Deutschland extrem nachgebessert, vor allem mit der Erneuerung des Kriterienkatalogs BSI C5:2020. Unternehmen erhalten damit konkrete Anhaltspunkte etwa für die Zusammenarbeit mit Dritten und die Umsetzung des „Rechts auf Vergessen“. Daten sind die Kronjuwelen jedes Unternehmens. Daher sollten Personal-, Finanz- und Forschungsdaten sowie Geschäftsgeheimnisse immer an dem Ort gespeichert werden, der die höchste Sicherheit bietet. Wer als Unternehmen der DSGVO unterliegt, benötigt für seine Datenverarbeitung einen Standort in Europa beziehungsweise europäische Cloud-Anbieter, um die Compliance zu wahren. Gleichzeitig empfiehlt es sich, auf eine Multi-Cloud-Strategie mit mehreren Anbietern zu setzen, um so Verfügbarkeit und Ausfallsicherheit zu maximieren. Das gilt speziell für große Konzerne, die die Tagesperformance ihrer jeweiligen Anbieter monitoren können und danach entscheiden, auf welche Cloud sie ihre Anwendungen als Container verteilen.

Mehr Sicherheit durch Bug-Bounty-Programme, Honeypots und Schwachstellenscanner

Der aktuelle BSI-Sicherheitsbericht verzeichnet Höchstwerte in allen Bereichen des Cybercrime und warnt vor neu aufgekommenen Bedrohungen. Wie sähe ein umfassendes Gesamtkonzept aus, um sich dagegen zu wehren?

Regelmäßige interne Kontrollen sind unverzichtbar. Bei der Telekom hat sich das Privacy & Security Assessment durchgesetzt. Im Rahmen dieses Verfahrens werden alle bekannten Schwachstellen und die Härtung der Systeme überprüft sowie Pentests durchgeführt – es kommt quasi einer internen Zertifizierung gleich. Sehr nützlich sind darüber hinaus Bug-Bounty-Programme. Dabei laden Unternehmen und Organisationen Hacker zum Einbruch in ihre Systeme ein und bezahlen sie dafür: Wer eine Schwachstelle findet und meldet, erhält eine Belohnung. Auch die Telekom unterhält ein Bug-Bounty-Programm. So schafft man Anreize für Hacker, Angriffspunkte nicht auf kriminelle Weise auszunutzen – Stichwort Ransomware.

Was kann man noch tun?

Ein weiteres gut geeignetes Mittel, um Hackern über die Schulter zu schauen und ihre Vorlieben und Methoden zu studieren, sind Honeypots: Man stellt ein System in die Cloud, das aussieht wie ein echter Computer in einem Netzwerk, aber tatsächlich isoliert ist, keinerlei kritische Daten enthält und zudem mit einer speziellen Software alle Aktivitäten des Hackers aufzeichnet – und ihn von den echten Systemen ablenkt. Unser Honeypot heißt T-Pot, und es ist immer wieder erstaunlich, wie innerhalb von 24 Stunden auf eine jungfräuliche IP-Adresse mit einem neuen Honeypot-System bis zu 20.000 Angriffe ausgeführt werden – die das jeweilige System natürlich alle mitschreibt. Auszüge dieser Daten veröffentlichen wir auf www.sicherheitstacho.eu.

Noch ein Tipp zum Schluss: Schwachstellenscanner sind ebenfalls eine probate Ressource. Wir nutzen neben Lösungen wie Qualis und Nessus den OpenVAS-Scanner von Greenbone. Zu beachten ist auch hier, dass die besten Verfahren, Maßnahmen und Software-Werkzeuge nichts nützen, wenn sie nicht regelmäßig angewendet werden. Es gilt also, auch nach der Inbetriebnahme eines Systems weiterhin regelmäßig Schwachstellenscans auszuführen und auszuwerten. Denn Hacker schlafen nicht, sie entwickeln ihre Malware und Methoden weiter.

Cyber(un)sicherheit in Zahlen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Jahresbericht zur Cyber-Sicherheitslage für Deutschland 2020 die wichtigsten Zahlen zusammengefasst. Hier eine Auswahl:

  • 117,4 Millionen neue Schadprogramm-Varianten wurden 2020 gezählt (2019: 114 Millionen)
  • Das sind durchschnittlich 322.000 neue Schadprogramm-Varianten pro Tag, an Spitzentagen 470.000
  • Knapp 7 Millionen Meldungen zu Schadprogramm-Infektionen übermittelte das BSI an deutsche Netzbetreiber
  • Täglich bis zu 20.000 Bot-Infektionen deutscher Systeme wurden registriert
  • 24,3 Millionen Patientendatensätze waren Schätzungen zufolge international frei im Internet zugänglich
  • 76 Prozent ist der Anteil unerwünschter Spam-Mails an allen in den Netzen des Bundes eingegangenen Mails (2019: 69 Prozent)
  • Es gab 419 KRITIS-Meldungen, 2019 waren es 252, 2018 nur 145
  • 52.000 Webseiten wurden wegen enthaltener Schadprogramme durch die Webfilter der Regierungsnetze gesperrt
  • 35.000 Mails mit Schadprogrammen wurden durchschnittlich pro Monat in deutschen Regierungsnetzen abgefangen

Jetzt direkt buchen und 250 € Startguthaben sichern

 

Haben Sie Fragen?

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus! Hotline: 24 Stunden am Tag, 7 Tage die Woche
0800 33 04477 aus Deutschland / 00800 33 04 47 70 aus dem Ausland

  • Communities

    Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken 

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

    0800 33 04477 (aus Deutschland)

    +800 33 04 47 70
     (aus dem Ausland)

    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben