Fliessende Grenzen zwischen Ransomware-as-a-Service-Anbieter und Affiliate

Hybride Arbeitsmodelle und die steigende Tendenz zu Homeoffice haben Cyberkriminellen neue Türen geöffnet. Weshalb sind Managed Security Services (MSS) im Bereich der Cyberabwehr notwendig und welche Vorteile bringen sie den Unternehmen?

Mathias Fuchs: Bei jedem Angriff geht es um Zeit. Je länger sich Angreifer im Netz bewegen, desto grösser ist meist der Schaden. Angriffe können zwar durch Security-Operations-Center-Monitoring (SOC) nicht verhindert, aber erkannt werden. Eine unmittelbare Unterbrechung der Angriffskette führt dazu, dass kein Schaden entsteht. Externe Security-Services haben zudem Einsicht in viele Netze und können so neue Angriffe und Angriffswellen besser erkennen und abwehren. Analystinnen und Analysten bearbeiten zudem eine grosse Anzahl an Vorfällen – im Gegensatz zu Inhouse-Teams, die zu Betriebsblindheit neigen können.

Der Fachkräftemangel im Security-Bereich veranlasst Unternehmen dazu, vermehrt auf MSS zurückzugreifen. Weshalb sollten sie in ein Security Operations Center (SOC) investieren?

Für spezialisierte Mitarbeitende ist es oft attraktiver, in einem externen Cyber Defence Center (CDC) inklusive SOC zu arbeiten. Hier bearbeiten sie eine breite Palette von Angriffen, wodurch sie schnell Erfahrung und Wissen aufbauen, aber auch Verantwortung tragen können. Entsprechend haben wir hohe Anforderungen an unsere Analystinnen und Analysten. Für ein externes CDC spricht zudem, dass fachliche Eskalationsstufen vorhanden sind. Diese sind besonders für KMUs noch schwieriger aufzubauen als die erste Verteidigungslinie. Hierfür spezialisierte Fachkräfte wie Incident Responder und Forensiker zu finden, ist extrem schwierig. In unserem CDC arbeitet etwa auch spezialisiertes Personal, das eine vergleichbare Position inhouse kategorisch ablehnt.

Welche Fähigkeiten zeichnen einen guten SOC-Provider aus? Welche Kompetenzen muss ein Provider auf jeden Fall besitzen?

Ausser einem grossen Pool an erfahrenen Mitarbeitenden ist ­Flexibilität zentral. Incident Response ist am Ende immer eine reaktive Aufgabe, weshalb die proaktive Vorbereitung auf einen Sicherheitsvorfall mit dem SOC-Provider enorm wichtig ist und die Bearbeitung erheblich beschleunigen kann. Dazu muss ein ­SOC-Provider auch über ein eigenes Computer-Security-­Incident-Response-Team verfügen, denn nur so kann zeitnah interveniert werden.

Neue Cybergefahren entwickeln sich schnell und Security-Provider müssen rasch auf neue Bedrohungen reagieren. Welche Trends sehen Sie in Bezug auf MSS im kommenden Jahr?

Ransomware-Angriffe halten uns weiterhin auf Trab, sollten für ein SOC jedoch mehrheitlich zu bewältigen sein. Durch die derzeit stark instabile geopolitische Lage kann es zudem vermehrt zu staatlichen Angriffen kommen. Speziell hier gilt es, nach den Methoden der Jäger zu arbeiten: also jagen und Fallen stellen. Sobald Angreifer Fehler machen, sitzen sie in der Falle. So können wir auch "gute" Angreifergruppen von "schlechten" unterscheiden. Die Verteidigung muss somit selbst kleinste Fehler erkennen können und gleichzeitig den Angreifern mehr Chancen geben, in die Fallen zu tappen. Diese zwei Faktoren beeinflussen die Performance eines Anbieters stark.

Welche Strategie verfolgt Infoguard, um dem allgegenwärtigen Fachkräftemangel entgegenzuwirken?

Ausser gezieltem Recruiting und der Empfehlung unserer Mitarbeitenden setzen wir vor allem auf die Personalbindung, wozu unter anderem das Aufzeigen von Entwicklungsperspektiven gehört inklusive Aus- und Weiterbildungen sowie die stetige Stärkung unseres Employer Brands und unserer Firmenkultur. Viel Wert legen wir zudem auf die Nachwuchsförderung. Wir bilden jährlich 16 Lernende aus, die in der Regel auch nach der Ausbildung bei uns bleiben.

Ein Unternehmen meldet einen Ransomware-Angriff. Wie schnell kann Infoguard auf solche Cyberattacken reagieren und wie gehen Sie konkret vor?

Schnell – normalerweise in unter einer Stunde, was wir etwa im Rahmen unseres Incident Response Retainers sogar garantieren. Wichtig zu erwähnen ist, dass üblicherweise keine SOC-Kunden von solchen Angriffen betroffen sind. Im Unterschied zu vielen anderen Anbietern sind Forensik- und Incident-Response-Untersuchungen für uns kein Selbstzweck. Dabei haben wir drei Prioritäten, um den Schaden für den Kunden so klein wie möglich zu halten. Erstens: seine Wertschöpfungskette. Ist diese unterbrochen, müssen wir gewährleisten, dass sie in einem sicheren Rahmen wiederhergestellt wird. Ist die Wertschöpfungskette intakt, wird sie nur beeinträchtigt, wenn es unvermeidlich ist und das Schadensrisiko ohne Eingriff überwiegt. Zweitens: die Abschätzung des möglichen Schadens. Hier gilt es zu verstehen, was der Angreifer gemacht hat, ob etwas verändert oder gestohlen wurde usw. Drittens: Den zukünftigen Zugang für den Angreifer erschweren – sprich, alle Zugangspunkte und Hintertüren müssen gefunden werden, um den Angreifer auszusperren. Diese Prioritäten können wir nur dann schnell und nachhaltig erfüllen, wenn Sichtbarkeit gegeben ist. Dazu nutzen wir forensische Agents, die wir den Kunden schon im ersten Call zustellen. Kleine Fälle können dadurch manchmal umgehend gelöst werden; bei grösseren dauert es selten länger als drei bis vier Wochen.

Wie definieren Sie den "Sweet Spot" einer Cyber­abwehr?

Der Sweet Spot liegt im Brennpunkt von Protection, Detection und Response. Cyberabwehr darf durch User-Einschränkungen nicht mehr Schaden verursachen, als sie verhindert. Durch die Unterscheidung von Detection und Protection können wir Einschränkungen in einem der Bereiche durch Aufrüstung im anderen Bereich kompensieren. Wenn zum Beispiel aus geschäftlichen Gründen die Öffnung eines Dienstes zum Internet notwendig ist, so reduziert sich der Schutz dieses Services. Mit verbesserter Detektion kann dies jedoch kompensiert werden.

Wie organisieren sich die Akteure bei Ransomware-Angriffen und welche Bedeutung schreiben Sie Ransomware-as-a-Service (RaaS) zu?

Mit Cyberkriminalität wird mittlerweile mehr Geld umgesetzt als mit Drogen. Angreifergruppen sind hochprofessionell organisiert und spezialisieren sich zunehmend auf die einzelnen Schritte eines Angriffs. Oft sind dabei die Grenzen zwischen RaaS-Anbieter und Affiliate fliessend. Das bedeutet, dass Kriminelle RaaS zwar anbieten, die Angriffe jedoch von deren "Kunden" ausgeführt werden, welche die Anbieter wiederum am Erfolg beteiligen (Affiliate). Nicht selten treffen wir bei Verhandlungen mit den Angreifern auf sehr kompetente Ansprechpartner. Wenn die Verhandlungen aber mit einem "RaaS-Callcenter" laufen, dann sind diese meist unpersönlich und vorhersehbarer als Verhandlungen mit Angreifern direkt.

Was raten Sie Ihren Kunden, wenn es Cyberkriminelle doch geschafft haben, ihre Daten und Systeme zu verschlüsseln? Welche Verhandlungsstrategien sollten Unternehmen verfolgen? ... Sollten sie überhaupt verhandeln?

Wir raten immer, mit den Angreifern Kontakt aufzunehmen, denn zu verlieren gibt es in diesem Stadium nichts. Strategien gibt es viele, müssen jedoch immer fallspezifisch angewendet werden. Seit einiger Zeit beobachten wir, dass Angreifer vermehrt Verhandlungs-Chatprotokolle veröffentlichen, weshalb Unternehmen bei der Kommunikation vorsichtig sein sollten. Daher: Von Anfang an Profis beiziehen und nicht selbst verhandeln.

Welche Trends sehen Sie für künftige Ransomware-Angriffe?

Aktuell werden Ransomware-Schäden häufig von Versicherungen getragen, was sich jedoch sicherlich ändern wird. Entsprechend müssen Angreifer den Druck erhöhen, gegenwärtig etwa, indem sie sich genauer mit den gestohlenen Daten beschäftigen. Wir haben schon Fälle bearbeitet, in denen Angreifer sauber recherchierte "Intelligence Briefs" erstellten und sehr qualifiziert erklären konnten, weshalb die Veröffentlichung der Daten für das Opfer verheerend wäre. Ein weiterer Trend sind physische Angriffe auf Infrastrukturen über OT-Netze. Dies, weil Unternehmen immer häufiger andere Strategien finden – unter anderem mit unserer Hilfe – und Lösegeldforderungen nicht bezahlen. Somit suchen Angreifer andere Wege, um ihr Geschäft voranzutreiben.