IT-Sicherheit muss als fortlaufender Prozess verstanden werden

Unternehmen in der Schweiz werden sehr gezielt von Cyberkriminellen attackiert. Laut einer KPMG-Umfrage waren 84 Prozent der Schweizer Unternehmen von Cyberattacken durch Phishing, 80 Prozent von Malware und 64 Prozent durch Angriffe mittels Social Engineering betroffen. Das Angriffsspektrum ist dabei sehr mannigfaltig: Manchmal ist ein Unternehmen schlicht Beifang, andere Attacken sind gut vorbereitet und die Strategie dahinter auf die jeweilige Firma angepasst. Das am meisten eingesetzte Werkzeug der Angreifer ist und bleibt die Schadsoftware. Am besten verdeutlicht das die Malwareart "Ransomware".

Cyberkriminelle passen die Schadenssummen von Erpressertrojanern so an, dass sich ein Schweizer Unternehmen die Zahlung der ausstehenden Summe gerade noch so leisten kann. Immerhin wurden relevante Daten verschlüsselt, die dringend von den Mitarbeitern benötigt werden. Dieses Vorgehen wird besonders gerne bei grösseren Unternehmen angewendet. Kleine und mittelständische Unternehmen bekamen bis letztes Jahr Standardpreise, egal ob nun ein einzelner Rechner oder ein ganzes Unternehmensnetzwerk kompromittiert war.

Die Schadsummen sind so vielfältig wie die ­Unternehmen selbst

Für einige Unternehmen ist bereits ein finanzieller Schaden von mehreren tausenden Franken kaum zu verkraften. Es gibt aber auch Lösegeldforderungen von mehreren hunderttausend Franken. Diese zunächst offensichtlichen Kosten sind aber nur die Spitze des Eisbergs. Was viele IT-Verantwortliche und Unternehmen vergessen, sind die Kosten für Nutzungsausfall und zusätzliche Konventionalstrafen, da Lieferverträge kurzfristig nicht gehalten werden können. Nicht in Zahlen zu beziffern sind die Reputations- und Imageschäden, die das Unternehmen erleidet.

Die Cyberkriminellen werden ausserdem immer schneller. Bestes Beispiel der jüngeren Geschichte ist der Emotet-Trojaner. Die Täter veröffentlichen pro Tag bis zu 200 neue Versionen der gleichen Malware. Gleiche Schadsoftware in neuer Verpackung. An manchen Tagen kommt alle sieben Minuten eine neue Version des Schadprogrammes in Umlauf. Mit klassischen, signaturbasierten IT-Sicherheitslösungen wird man nicht mehr Herr der Lage. Deshalb bedarf es eines umfänglichen und ganzheitlichen Ansatzes, bei dem Cyber Defense Services eine entscheidende Rolle im Kampf gegen Kriminelle spielen, sowie neuer Nextgen-Technologien, welche die häufig wechselnde Umverpackung von Malware nicht mehr interessieren muss.

Mit Machine Learning werden die Regeln im Kampf gegen Cybercrime geändert

Machine-Learning-Lösungen bieten Möglichkeiten, die über die Kapazitäten bisheriger Signaturerkennung hinausgehen. Mit ­dieser Form von Technologie lässt sich schnell verändernde Malware kurzfristig, effektiv und ressourcenschonend identifizieren und zugleich die Ausführung verhindern. Machine-Learning-Ansätze klassifizieren die möglichen Schaddateien mithilfe von künstlicher Intelligenz anhand von mehreren hundert Faktoren und berechnen einen Risikowert für jede einzelne ausführbare Datei.

Dieses Vorgehen ist notwendig geworden, weil sich die Cyber­crime-Szene in den vergangenen Jahren massiv weiterentwickelt hat: Schadsoftware ist zum Dienstleistungsgut geworden. Kriminelle können spezialisierte Schadsoftware-Pakete auf einschlägigen Untergrundplattformen kaufen und anschlies­send verbreiten. Dabei benötigen sie weit weniger Spezialwissen als früher. Das führt dazu, dass sich Kriminelle dieser Angebote bedienen und dadurch immer mehr Schadsoftware im Internet verbreitet wird. Zudem ist diese auch noch technologisch hochwertiger. Ausgeklügelte Tarn-Mechanismen erschweren eine Erkennung durch Antiviren-Software. Klassische Algorithmen zum Auffinden solcher Schadsoftware sind dadurch in ihrer Wirksamkeit stark eingeschränkt.

Machine-Learning-Modelle im Dienst der Kunden

Anhand von verschiedenen Trainingssets analysieren die Modelle die Prozesse und ermitteln einen Risikowert. Wird die Datei von einem der Modelle als möglicherweise schadhaft eingestuft, veranlasst die Machine-Learning-Technologie eine tiefere Analyse der Datei. Diese erfolgt im Arbeitsspeicher des Kunden. Somit kann sich Malware nicht, wie häufig gesehen, in einer Analyse-Umgebung anders verhalten und der Erkennung entkommen. So ermöglicht die Technologie, auch bislang unbekannte Malware anhand von bestimmten im Arbeitsspeicher vorkommenden Merkmalen zu erkennen. Dabei nutzt es den Cyberkriminellen auch nichts, ihren Schadcode mithilfe bestimmter Packer oder anderer Verschleierungstechniken unkenntlich zu machen. Denn erstens kann schon die Verwendung bestimmter Packer in Kombination mit anderen Merkmalen eine ausführbare Datei als bösartig verraten. Und zweitens läuft der Code spätestens im Arbeitsspeicher des Rechners im Klartext und kann so analysiert werden.

Wenn neue Malwarefamilien oder ganz neue Bedrohungen aufkommen, ist ein weiterer, adaptiver Lernprozess aber weiter unabdingbar. Die aus der Technologie gewonnenen Erkenntnisse werden deutlich stabiler und langfristiger einsetzbar sein als einzelne Signaturen oder heuristische Erkennungsverfahren. Der Vorteil der Technologie liegt auf der Hand: Mit ihr können nicht nur Malware-Samples erkannt werden, die zuvor von Analysten als schädlich eingestuft wurden, sondern auch bislang unbekannte Programme. Zudem ist es nicht mehr notwendig, für jede einzelne Erkennung jeweils eine eigene Signatur zu schreiben. Durch ein wachsendes Datenset und einen langfristigen Lernprozess können die aus dem Machine Learning gewonnenen Erkenntnisse langfristig für effektiven Schutz der Nutzer vor Malware sorgen.

Unternehmen sollten ihre eigene Bedrohungslage klären

Bevor sich ein Unternehmen entscheidet, in bestimmte Technologien zu investieren, sollte klar sein, was gegen wen zu schützen ist. Threat Modelling mit professioneller Unterstützung hilft, Investitionen in IT-Sicherheit sinnvoll zu steuern. Dabei wird systematisch geklärt, vor welchen Risiken sich die Firma schützen kann und sollte und was genau eigentlich geschützt werden muss. Die öffentliche Diskussion fokussiert sich häufig auf technisch extrem hochentwickelte Angriffe mit bislang unbekannten Schwachstellen – Zero-Day-Exploits ­genannt.

Man sieht allerdings fast täglich, dass geschickt verbreitete Malware in Kombination mit Schwachstellen im Sicherheitsmanagement für enormen Schaden sorgen kann. Dabei kann selbst etwas eigentlich sehr Einfaches, wie ein Erpressungs­trojaner, ein Schweizer Unternehmen in den Konkurs treiben, wenn alle Daten verschlüsselt werden und zuvor die Backups gelöscht wurden.

Fazit: IT-Sicherheit als Dienstleistung verstehen

Moderne Lösungen bestehen aus mehreren kooperierenden Modulen, die eine sogenannte mehrschichtige Sicherheit ermöglichen. Cyber Defense Services ergänzen herkömmliche Sicherheitskomponenten um Technologien, die auch andere Arten von Risiken abwehren. Ein vollumfänglicher Prozess bietet nicht nur Sicherheit für Server und Endpoints, garantiert Verfügbarkeit, Performanz, Produktivität, Datensicherheit und Vertraulichkeit, sondern umfasst auch Services: Die Entwicklung neuer Nextgen-Technologien, das Pflegen von Blacklists oder das Schreiben von Signaturen und Verteilen von Updates.

Daher ist es empfehlenswert, auf einen IT-Sicherheits-Lösungsdienstleister zu setzen. Dieser vereint nicht nur alle notwendigen Antivirus-Software-Komponenten und optional erhältlichen -Module, sondern schnürt dem Kunden mit Cyber Defense Services ein individuelles Gesamtpaket. Dieses Vorgehen ist – im Gegensatz zu Insellösungen – mit finanziellen Vorteilen verbunden.