- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Deutsche Regierung will den "Hack Back"


Betreiber von IT-Systemen sollten, bevor sie über aktive Gegenmaßnehmen nachdenken, erst einmal über eine bessere Erkennung ausgefuchster Angriffe nachdenken und hier die Sensorik verbessern
Kritiker weisen nun zu Recht darauf hin, dass virtuelle Gegenangriffe nicht nur ethisch, rechtlich und politisch bedenklich sind, sondern auch ungewollte Nebenwirkungen haben könnten

- Anzeigen -





Von Rob Pronk, Regional Director Central and Northern Europe bei LogRhythm

Presseberichten zufolge prüft die Deutsche Bundesregierung zurzeit, ob und wie sie im Falle eines Hacker-Angriffs gegen Regierungsinstitutionen oder kritische Infrastrukturen der Bundesrepublik Deutschland aktiv zurückschlagen könnte. "Hack Back" heißt das Szenario in den Medien kurz und bündig. Zynisch könnte man sagen, dass diese Überlegungen ein hervorragender Beleg dafür sind, dass die Cyber-Welt von der physischen Welt nun wirklich nicht mehr zu trennen ist und dass sie von gleicher Bedeutung für das wohl und Wehe eines Landes ist.

Kritiker weisen nun durchaus zu Recht darauf hin, dass virtuelle Gegenangriffe nicht nur ethisch, rechtlich und politisch bedenklich sind, sondern auch ungewollte Nebenwirkungen haben könnten – etwa dann, wenn die Aggressoren ihre Schritte bewusst über gekaperte Rechner bei eigentlich unbeteiligten Institutionen lenken. Politisch motivierte Täter könnten es von vornherein sogar primär darauf anlegen, im Wissen um existierende Gegenschlag-Strategien ein "Spy versus Spy"-Spiel mit wechselseitiger Eskalation anzuzetteln, das am Ende das Internet als Kommunikations-Infrastruktur bedroht.

Es gibt aber noch einen viel einfacheren Grund, zur Besonnenheit und sich zu fragen, ob man mit einer intensiven Auseinandersetzung mit Hack-Back-Ideen derzeit die richtigen Prioritäten setzt.

Immer noch dauert es einer M-Trends-Studie von 2017 zufolge nämlich durchschnittlich 106 Tage, bis eine angegriffene Institution überhaupt bemerkt, dass in ihrer IT-Umgebung Cyberkriminelle am Werk sind. Welchen Wert hat es, angesichts dieser Zeitspanne viel Energie auf Konzepte für Gegenschläge zu verwenden? Das wäre ein wenig so, als würde ein Hauseigentümer irgendwann entdecken, dass bei ihm seit über drei Monaten ein ungebetener Gast ein und ausgeht, hier und da Geldbeträge entwendet, in Unterlagen herumschnüffelt, nach Lust und Laune den Kühlschrank aus oder den Herd einschaltet – und als sollte dieser Hausbesitzer dann zuerst daran denken, wie er dem Eindringling heimlich folgen kann, um im Gegenzug auch in dessen Wohnung ein bisschen Unheil zu stiften. Eine kuriose Vorstellung. Türen und Schlösser zu kontrollieren und Bewegungsmelder oder sonstige Sensoren zu installieren, das ist die richtige Reaktion.

Cyber-Angreifer verhalten sich in den erwähnten 106 Tagen ja nicht etwa so wie die berüchtigten "Schläfer" in der realen Welt, die möglichst unauffällig auf ihren Einsatzbefehl warten und bis zu seinem Eintreffen tatenlos ausharren. Cyberkriminelle nutzen die Zeit, um im Netz des Opfers herumzuspionieren, sich festzusetzen, sich Zugänge zu wichtigen Daten zu verschaffen und so weiter. Wenn man sie entdeckt, haben sie wahrscheinlich sogar längst begonnen, Daten zu transferieren oder Systeme zu sabotieren.

Deshalb sollten die Betreiber von IT-Systemen, bevor sie über aktive Gegenmaßnehmen nachdenken, erst einmal über eine bessere Erkennung ausgefuchster Angriffe nachdenken und hier die Sensorik verbessern – analog zum Radar und zur Boden- und Luftüberwachung oder zu Kameras und Wachpersonal in der wirklichen Welt. Auch bei der Auswertung von Angriffsindikatoren haben viele Institutionen noch eklatante Schwächen – und schließlich dauert es auch meist viel zu lang, bis sie klassische Abwehrmaßnahmen gegen eine erkannte Attacke überhaupt einleiten und umsetzen können.

Investitionen in Security Intelligence sind wichtiger als Gegenschlags-Konzepte. SIEM-Systeme etwa und der Aufbau von Security Operations Centern können hier hervorragende Dienste leisten, denn diese Maßnahmen erlauben es, Anomalie-Hinweise bereits vorhandener Security-Systeme und Anwendungen zueinander in Beziehung zu setzen und auf diese Weise Angriffsaktivitäten auch dann zu erkennen, wenn die Akteure besonders vorsichtig und heimlich zu Werke gehen. Koppelt man diese Korrelationstechnik dann noch mit Verfahren, die die Bewertung der Ergebnisse erleichtern, und mit Ansätzen zur Automatisierung einfacher Gegenmaßnahmen, ließe sich die 106-Tage-Frist erheblich verkürzen.

Mit einer solchen Ausrüstung als Standard-Equipment müsste man über "Hack Back" auch seltener diskutieren, weil schon der jeweilige "Hack" in Keim erstickt werden könnte.
(LogRhythm: ra)

eingetragen: 15.05.17
Home & Newsletterlauf: 19.06.17


LogRhythm: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Kommentare und Meinungen

  • Schnelles Geld durch Identitätsdiebstahl

    Cyberkriminelle richten sich zunehmend gegen die Telekommunikationsindustrie - und finden hier schnelles Geld durch Identitätsdiebstahl. Nach Schätzungen einiger Industrieunternehmen richten sogenannte Telco Subscription-Betrugsfälle jährlich einen Schaden von über 12 Milliarden Dollar an. Andere schätzen die potenziellen Verluste sogar auf bis zu 10 Prozent des Gewinns ein und somit auf 20 Milliarden Dollar.

  • Faktor Mensch: Bedrohungen rechtzeitig erkennen

    Cyberattacken treten immer häufiger auf und nehmen an Komplexität zu. Dabei haben die Angreifer sämtliche Wirtschaftszweige im Visier. Dieser anhaltende Trend führt dazu, dass immer mehr Unternehmen ihre Position überdenken und neue Maßnahmen einführen, um Mitarbeiter für das Thema IT-Sicherheit zu sensibilisieren. Ziel ist es, natürliche Reflexe hervorzubringen, die es ermöglichen, jeden Beteiligten im Unternehmen darauf vorzubereiten, eine aktive Rolle beim Schutz vor Bedrohungen einzunehmen. Denn Cyberangriffe können für ein Unternehmen schwerwiegende Folgen, wie beispielsweise Daten- und Informationsverlust oder Imageschäden, haben. Das kann dann wiederum zur Beeinträchtigung des Vertrauensverhältnisses gegenüber Kunden und Partnern führen.

  • Angriffe auf Energieversorger

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Deutsche Energieversorger könnten das Ziel groß angelegter Cyber-Angriffskampagnen sein. Zwar liegen derzeit noch keine Hinweise auf erfolgreiche Hacker-Zugriffe vor, dennoch arbeitet das Amt intensiv an einer Vielzahl von Verdachtsfällen und rät zu nötigen Schutzmaßnahmen. Ross Brewer, Vice President und Managing Director EMEA bei LogRhythm, kommentiert die Warnung folgendermaßen.

  • Personenbezogene Daten ein attraktives Ziel

    Vor ziemlich genau fünf Jahren wurde ein damals 30-jähriger externer Mitarbeiter schlagartig weltberühmt, obwohl sein Beruf eigentlich genau das Gegenteil erfordert hatte: Edward Snowden leakte geheime Unterlagen der US-amerikanischen National Security Agency (NSA). Je nach Sichtweise, politischer Einstellung, möglicherweise auch Nationalität, wird man sein Handeln anders bewerten: Für die einen ist er ein Verräter, für die anderen ein Held, der Prototyp eines Whistleblowers. Fest steht auf alle Fälle, dass sich die Wahrnehmung der staatlichen Überwachung (insbesondere in Deutschland), vor allem aber die IT-Sicherheit auf Jahre verändert hat. Wahrscheinlich haben wir mit "blended attacks" wie WannaCry, die ohne NSA-Tools kaum denkbar wären, erst einen Vorgeschmack auf den wahren Schaden dieser Angriffe bekommen. Und sicherlich arbeiten Cyberkriminelle (und auch Hacker im staatlichen Auftrag) an neuen Varianten.

  • Damit aus Double Kill kein Overkill wird

    Bei der kürzlich aufgedeckten Double-Kill-Schwachstelle wurde eine einzigartige Angriffsmethode verwendet, die zukunftsweisend sein wird. Marina Kidron vom Skybox Research Lab klärt auf, welche Tools vor einem erneuten Angriff schützen. Vor wenigen Wochen machte die Double-Kill-Attacke Schlagzeilen. Hacker haben eine Sicherheitslücke im Internet Explorer ausgenutzt, um Windows-PCs mit Schadprogrammen zu infizieren. Mittels eines speziell präparierten Office-Dokuments wurde eine Malware heruntergeladen und unbemerkt auf dem Computer installiert. Es wird gemutmaßt, dass hinter dem Angriff gezielte Spionageabsichten stecken. Mittlerweile wurde die Sicherheitslücke behoben, aber die Gefahr ist noch lange nicht gebannt.