19
Jan
2021
81

Pandemie im Netzwerk – wie sich Virenbekämpfung im Leben und Computer gleichen

Nicht schon wieder! Auch an dieser Stelle wird man vom Virus verfolgt, das unser Leben seit fast zwölf Monaten begleitet und in großen Teilen bestimmt. Doch gibt es aus technischer Sicht interessante Parallelen, die es verdient haben, genauer betrachtet zu werden.

Bei der Bekämpfung von einer Pandemie sind drei Dinge entscheidend:

Akut müssen Infizierte – je nach Krankheitsverlauf – medizinisch betreut werden, im schlimmsten Fall, um bedrohtes Leben zu schützen: Quasi – aber zum Glück nicht im wahrsten Sinne des Wortes – eine post mortem Handlung durch eine Armada von Krankenschwestern, Krankenpflegern, Ärztinnen und Ärzten, denen nicht oft genug für ihren heldenhaften Einsatz gedankt werden kann.

Der zweite Aspekt ist die prophylaktische Bekämpfung: Ante mortem wird eine drohende Infektion durch ein wirksames Vakzin prophylaktisch verhindert. Diese Möglichkeit ist glücklicherweise von Pharmakologen und Medizinern aller Geschlechter mehrerer Firmen geschaffen worden. Die Impfungen sind gestartet und werden hoffentlich die von allen ersehnte Lösung der Situation herbeiführen.

Die dritte Schlacht im Kampf gegen das Virus wird vom Schreibtisch aus ausgetragen: Hier muss der Personenkreis ermittelt werden, mit dem ein Infizierter Kontakt hatte, um mögliche neue Infektionswege des Virus einzudämmen. Dieser Vorgang ist sehr aufwändig, da die meisten Menschen sich nicht ad-hoc erinnern können, mit wem sie in den letzten sieben, zehn Tagen Kontakt hatten. Ist die Nachvollziehbarkeit im Familien- und Freundeskreis, sowie dem beruflichen Umfeld noch relativ einfach, wird es bei Kontakten im öffentlichen Bereich umso schwieriger.

Aber wo sind nun die Parallelen zur Bekämpfung von Viren im Netzwerk, sei es im privaten oder dem Umfeld eines Unternehmens?

Die akute Bekämpfung ist Aufgabe des hoffentlich installierten, aktivierten und aktuellen Virenscanners: Er prüft Dateien auf dem Computer dahingehend, ob sie eine für einen Virus typische Zeichenfolge aufweisen, ob Programme ein virentypisches Verhalten an den Tag legen, oder ob der Virus versucht, auf bekannt schadhafte Adressen des Internets zuzugreifen. Ist dem so, wird versucht, die weitere Ausführung des Programms zu verhindern. Gefahr erkannt – Gefahr gebannt. Zumindest so lange dem Virenwächter die Muster des Virus bekannt sind.

Die Prophylaxe nimmt eine immer wichtigere Stellung in der Virenbekämpfung ein, Mitarbeitenden werden immer häufiger und intensiver geschult, Angriffe im Vorfeld zu erkennen: Der Hauptangriffsweg in ein Netzwerk ist inzwischen die allgegenwärtige E-Mail: Ist die Rechnung in der gerade angekommenen E-Mail erwartet und legitim? Ist der Bewerber mit seiner freundlichen und vielversprechenden Anmoderation wirklich real oder ist sein angehängter Lebenslauf Ausgangspunkt für die Abschaltung der Firmen-IT? Inzwischen hat sich bei der Schulung zu diesem Thema ein eigener Wirtschaftszweig entwickelt, der u.a. fingierte Mails an Mitarbeitenden der zu schulenden Firmen schickt, dadurch das Gefahrenpotential der Mitarbeitenden auslotet und letztendlich gezielte Schulungen der schwächsten Glieder der Kette durchführt.

Um den dritten Aspekt zu verstehen, muss man wissen, wie Malware heutzutage arbeiten: Die Zeiten, in denen ein Virus lediglich eine mehr, oft weniger „lustige“ Meldung auf dem Bildschirm des betroffenen Rechners angezeigt hat, sind vorbei: Moderne Malware arbeitet in Phasen, gesteuert von Schaltzentralen irgendwo im Internet. Ist die erste Phase, die Überzeugung eines Menschen, ein schadhaftes Dokument zu öffnen genommen, wird ein Programm ausgeführt, das weitere, die eigentlich schädlichen Programme, aus dem Internet nachlädt.

Diese Programme haben wiederum unterschiedliche Aufgaben, und sind fein säuberlich modular aufgebaut:

  • Sie verankern sich fest im Rechner des Angegriffenen, so dass sie auch nach einem Neustart wieder aktiv sind.
  • Sie spähen Daten auf dem Rechner und in seiner Netzwerkumgebung aus und stellen sie dem Angreifer automatisch oder nach Sichtung durch einen Hacker selektiv zum Download bereit.
  • Erpressungstrojaner verschlüsseln Dateien und erlauben eine Entschlüsselung erst nach Überweisung eines Lösegeldes.
  • Andere Programme suchen im Netzwerk nach Schwachstellen, um sich auf weitere Rechner auszubreiten, auf denen wiederum die vorgenannten Schritte durchgeführt werden. Wie ein Wurm verbreiten sie sich Zug um Zug im gesamten Netzwerk.

Um eine Eindämmung und Entseuchung vorzunehmen, ist es also essenziell notwendig, alle betroffenen Systeme zu identifizieren, von Schadprogrammen zu bereinigen und manipulierte Daten wiederherzustellen – analog wie bei der Pandemiebekämpfung Infektionsketten unterbrochen werden müssen.

Glücklicherweise gibt es Softwarelösungen, die den Computertechniker bei der Bewältigung dieser Aufgabe unterstützen. Die Stichworte lauten SOC und SIEM: „Security Operation Center“ und „Security Information and Event Management“.

Teil eines SOCs ist das SIEM-System: Hiermit werden die Protokollinformationen aller IT-Geräte – PCs, Notebooks, Server, Firewalls etc. – zentral an einer (besonders geschützten) Stelle des Netzwerks gesammelt und aufbereitet: Einerseits werden Zeitstempel normalisiert, d.h. zum Beispiel auf eine Zeitzone angepasst, damit sie einheitlich durchsucht werden können, und eine Ereignisansicht nach zeitlichem Ablauf erstellt werden kann. Informationen werden auch korreliert, aus mehreren einzelnen Ereignissen wird eine Gesamtinformation gebildet. Zusätzlich unterstützt ein SIEM-System bei der Erkennung und definierten Bearbeitung möglicher Sicherheitsprobleme: Die eingehenden Ereignisse werden über Regeln geleitet, die Anomalien im Verhalten der Geräte erkennen. Werden z.B. von einem Rechner viele fehlgeschlagene Anmeldungen gemeldet, so kann es sein, dass dieses durch einen Angreifer ausgelöst wird, der versucht, Kennwörter zu erraten. Die Ursache muss gefunden, untersucht und abgeschaltet werden.

Weitere Aufgaben in einem SOC sind die Prüfung möglicher sicherheitsrelevanter Vorfälle, sei es die Untersuchung einer möglichen Phishing-E-Mail und entsprechend die Wahl der notwendigen Abwehrmaßnamen, die forensische Untersuchung eines möglicherweise kompromittierten Rechners oder die Aufklärung eines möglichen Informationsverlustes. Auch die Entwicklung von Erkennungsmustern und Abwehrmaßnahmen gegen neue digitale Bedrohungen ist Aufgabe eines SOCs.

Beste Voraussetzungen für die Mitarbeit in einem SOC sind ein Sinn für strukturiertes Arbeiten, eine ausgeprägte analytische Denkweise und Kenntnis möglichst vieler Betriebssysteme und Anwendungen, um ein atypisches Verhalten erkennen zu können.

Sprecht uns gerne bei der ITCS in Frankfurt an, wenn ihr weitere Informationen haben wollt oder wir jetzt schon euer Interesse an einer Mitarbeit wecken konnten. Wir freuen uns darauf, euch kennenzulernen!

Jörg-Stefan Sell, Teamleiter Security

Leave a Reply