Angreifer sind einen Schritt voraus. Weil man nicht weiß, wo sie ansetzen werden. Bei RHI Magnesita hat sich die Security rund um CISO Martin Zwettler zum Ziel gesetzt, das zu ändern.
„Wenn du dich UND den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten.“ Nicht alles, was der chinesische General Sunzi vor 2.500 Jahren in seinem Werk „Die Kunst des Krieges“ formuliert, ist auf das Geschäftsleben von heute übertragbar. Im Fall von Cyber-Angreifern passt der martialische Begriff „Feind“ allerdings ziemlich genau. Und diesen Feind und seine Angriffspunkte zu kennen, ist alles andere als einfach. Er operiert nämlich vornehmlich im Dunkeln: im Darkweb.
Bei RHI Magnesita entschloss man sich schon vor fast zwei Jahren, als einer der heimischen Pioniere Licht in dieses Dunkel zu bringen. Zwar war man, was Information Security anging, schon recht gut aufgestellt, aber das reichte den Verantwortlichen nicht – man wollte mehr wissen … und das früher. Martin Zwettler übernahm rechtzeitig zur Umsetzung dieses Ziels die Position des CISO beim Weltmarktführer für Produkte und Services im Feuerfestbereich mit Headquarter in Wien. „Natürlich betreibt man die klassische Prevention und Detection,“ sagt Zwettler. „Man hat ein SOC und eine Menge Logfiles, die man auswertet. Und man kann auch viele allgemeine Informationen aus den aktuellen Cyber Threat Reports der Hersteller beziehen. Die Kernfrage ist jedoch: Wie lässt sich mehr darüber wissen, was UNS ganz konkret und personalisiert demnächst passieren kann?“
Dass man das gefährliche Dunkel nicht auf eigene Faust erhellen konnte, war von Anfang an klar. Für ein Darkweb Monitoring braucht es besondere Spezialisten, die man zum Beispiel in Israel gefunden hat. Mit ihnen startete man Ende 2020 einen PoC – und begann dann immer mehr über verdeckte Bedrohungen und auch über die eigenen Schwachstellen zu lernen … und darauf zu reagieren.
Dienstleister für ein Darkweb Monitoring findet man kaum in diversen Rankings und Quadranten. Wie geht man das – noch dazu als einer der First Mover hierzulande – an?
In Österreich gehörten wir bei Darkweb Monitoring sicher zu den ersten, aber an sich ist das Thema nicht neu. In den USA oder in Israel befassen sich Cyber-Security-Spezialisten schon eine ganze Weile damit. In den letzten beiden Jahren hat das Thema auch in Europa Fahrt aufgenommen, und es gibt jetzt auch hier immer mehr Dienstleister, die dazu Services anbieten. Allerdings greifen die in vielen Fällen auch selbst auf die langjährigen US-amerikanischen oder israelischen Spezialisten als Partner zu. Deshalb tauschen wir uns auf internationaler Ebene sehr intensiv mit anderen Unternehmen aus, die sich zum Beispiel schon länger in der israelischen IT-Szene bewegen und hier bereits Erfahrungen gemacht haben. Das hat den Vorteil, dass man so beispielsweise auch auf kleinere, interessante Provider stößt, die sich auf ganz bestimmte Security-Aspekte spezialisieren.
Um in letzter Konsequenz beurteilen zu können, ob ein Dienstleister für dieses Thema der richtige ist, muss man ihn aber einmal liefern lassen – einen konkreten PoC, wie wir es getan haben.
Darkweb Monitoring soll ja Unbekanntes ans Licht bringen. Wie definiert man da die Aufgabenstellung für einen PoC?
Die Aufgabe hieß, alles im Bereich Information Security zu monitoren und verdächtige Dinge zu finden, die für uns zu Bedrohungen werden könnten und die mit konventionellen Strategien nicht leicht zu sehen sind. Das ging also über das Darkweb weit hinaus und genauso hinein in klassische Vulnerability, Hacker-Foren, GitHub Repositories und vieles mehr. Und das umfasste beispielsweise, laufend zu überprüfen, ob bestehende Domains richtig konfiguriert sind. Oder bei allen möglichen Dingen, die als Webservice angeboten werden, die Datenbanken und Antiviren Repositories zu untersuchen, ob da kritische Informationen von uns abgeflossen sind.
Das klingt sehr umfangreich – wie lange ist der POC gelaufen?
Ein Quartal lang – bei einem derart umfangreichen Beobachtungsfeld bedarf es allerdings auch einiges an Vorbereitungsarbeiten. Die Anbieter müssen zunächst einmal das Unternehmen und seine Assets umfassend kennenlernen … und davon gibt es eine ganze Menge: IP-Adressen, Domänen, Namen der Executives, Markennamen, Links auf Facebook und so weiter.
Viele Lerneffekte lassen sich letztlich aber nur in der Praxis erzielen – wenn man sich die Dinge, die gefährlich sein könnten, konkret anschaut. Was ist relevant, was nicht und was wirklich kritisch? Nur so bekommen die Dienstleister den richtigen Scope.
Was müssen die richtigen Dienstleister für dieses Thema mitbringen?
Die Ressourcen und vor allem natürlich die Expertise und die Werkzeuge, über die man als Unternehmen in der Regel nicht verfügt. Und zudem monitoren sie nicht nur, sondern können aus einem Experten-Pool heraus im Fall der Fälle auch Support leisten. Zum Beispiel mit Takedown Services, wenn es darum geht, unliebsame Dinge, auf die man gestoßen ist, verschwinden zu lassen. Wenn etwa eine App unseres Unternehmens auch in innoffiziellen, nicht-zertifizierten App Stores angeboten wird, sorgen sie dafür, dass die Files bei diesem Anbieter entfernt werden.
Was waren die spannendsten, überraschendsten Erkenntnisse des PoC?
Manches wusste man natürlich schon. Dass es im Darkweb etwa einen regen Handel mit Passwörtern und anderen personenbezogenen Daten gibt, die bei großen Hacks abgesaugt werden, war nicht neu. Dass ein ebenso intensiver Handel mit Schwachstellen in der Infrastruktur von Unternehmen betrieben wird, beispielsweise Firewalls oder Router, die nicht gepatcht sind, war vom Umfang her dann doch überraschend. Genauso, dass Projekt- oder Entwickler-Plattformen wie zum Beispiel GitHub ein großes Thema sind. Und für einen besonderen Aha-Effekt sorgte die Erkenntnis, dass da und dort gerade an Nachbildungen unserer eigenen Website gebaut wurde.
Was waren die größten Gefahren, die man dabei identifiziert hat?
Es gibt mehrere Gefahrenvektoren: Zum einen kann der IT-Betrieb schon alleine durch Angriffe und die nötigen Recovery-Maßnahmen beeinträchtigt werden. Aber wenn ein Angreifer Dinge verschlüsselt, die für den Betrieb nötig sind, oder wenn das Backup kompromittiert ist, dann ist das noch einmal ein anderer Level – die Ransomware-Thematik ist ja inzwischen ein Dauerbrenner und in aller Munde. Bei solchen Angriffen wird jedoch zumeist noch ein weiterer Gefahrenvektor geschaffen, indem versucht wird, sensible Daten vorab abzusaugen, die man dann für Erpressungsversuche nutzen kann.
Deshalb ist es unabdingbar, ein Darkweb Monitoring stets mit einem permanenten Schwachstellen-Scan zu kombinieren.
Woran hat man den Erfolg des PoC festgemacht – lassen sich für ein Darkweb Monitoring konkrete, greifbare KPIs formulieren?
Wenn man immer mehr in Informationssicherheit und Cyber Security investiert, will man natürlich auch entsprechend Nutzen daraus ziehen. Um das zu bewerten, gilt es, stichhaltige Indikatoren zu finden, die diesen Nutzen möglichst einfach und klar darstellen. Lagging Indicators, also Zahlen die genau abbilden, was passiert ist, gibt es zur Genüge. Bei einem Thema wie Darkweb Monitoring geht es um Risikomanagement, also darum, Bedrohungen zu erkennen, bevor etwas passiert und predictive etwas operativ und strategisch beeinflussen zu können. Deshalb sind hier vor allem leading Indicators spannend. Aber um sinnvolle zu finden braucht es wiederum Zeit – um zu beobachten und zu lernen.
Wenn man kritische Sachen findet, muss man ihre Entwicklungskurven verfolgen, um zu sehen, ob diese Indikatoren über gewisse Zeiträume vergleichbar sind und sich tatsächlich als aussagekräftige KPIs eignen.
Tut man sich als Security-Verantwortlicher und als Unternehmen nicht schwer, es als Erfolg zu definieren, wenn man möglichst viele potenziellen Schwachstellen und Bedrohungen findet, die man bislang nicht auf dem Radar hatte?
Dass im Darkweb das eigene Unternehmen ein Thema ist und dass es da kritische Dinge gibt, die dem Unternehmen potenziell gefährlich werden können, lässt sich nicht verhindern.
Ich kann auch nicht beeinflussen, ob einmal pro Monat oder einmal pro Jahr irgendjemand auf die Idee kommt, unsere Website in böser Absicht nachzubauen. Das, was wir beeinflussen können, ist, möglichst viele dieser potenziellen Schwachstellen und Risiken frühzeitig zu finden und zu verhindern, dass sie uns tatsächlich gefährlich werden.
Manche Risiken lassen sich allerdings schon verringern. Zum Beispiel, wenn Passwort-Hacks, auf die man bei Searches stößt, dadurch zustande kommen, dass die User privat auf irgendwelchen sozialen Plattformen mit ihren Firmen-E-Mail-Adressen registriert sind. Hier kann man durch Policies und vor allem durch verstärkte Bewusstseinsbildung darauf hinwirken, dass möglichst wenige Leute ihre Firmenzugangsdaten für private Services nutzen und so die Gefahr, die daraus für das Unternehmen entstehen kann, reduzieren. Nicht nur das Darkweb Monitoring selbst liefert also aussagekräftige KPIs, sondern die Maßnahmen, die ich aus den Erkenntnissen daraus setze.
Stichwort Bewusstseinsbildung: Hat das Darkweb als potenzielle Gefahr in den Unternehmen die nötige Awareness?
Das Darkweb ist sicher mehr als krimineller Umschlagplatz für Waffen- und Drogenhandel, Kinderpornographie und ähnliches bekannt und noch weniger als Marktplatz für Cyber-Kriminalität und Hacker, aber die Awareness dafür wächst … vor allem im Management. Das liegt wohl auch daran, dass sich recht deutlich aufzeigen lässt, wie schnell sich ein Username, eine E-Mail-Adresse und Ähnliches für kriminelle Zwecke kombinieren und nutzen lassen. Zugleich prasselt auch von außen immer mehr zu dieser Thematik auf ein Unternehmen ein. Medienberichte genauso wie steigende gesetzliche Standards. Das löst insbesondere in den Boards entsprechende Fragen aus: Was können wir tun, um die Eintrittswahrscheinlichkeit von Gefahren zu verringern? Wie können wir gegenüber Aktionären nachweisen, dass wir auch proaktiv gehandelt haben?
Welche Learnings lassen sich in Sachen Darkweb Monitoring weitergeben?
Eine falsche Erwartungshaltung wäre, dass mit dem Mehr an Wissen, das man hier erhält, zugleich auch alle Probleme gelöst sind. Im ersten Run lädt man sich sogar mehr Sorgen auf,
weil man ja bis dato unbekannte Schwachstellen und Bedrohungen sieht, also Dinge, die man vielleicht nie zu sehen hoffte. Und auch, wenn man auf externe Ressourcen und Spezialisten zugreift, lädt man sich wie so oft auch selbst mehr Arbeit auf, vor allem wie gesagt in der Start- und Lernphase. Man muss sich zum Beispiel auf die Abarbeitung einer Menge an potentiellen False Positives vorbereiten, etwa alle möglichen Mutationen von Domänen, die man sich dann anschauen muss. Und man muss auch einiges neugestalten. Wenn von außen viel mehr reinkommt, braucht man entsprechende Prozesse, um das effizient abzuarbeiten. Man schläft da anfangs schon etwas unruhiger … aber vielleicht muss es ja genauso sein, wenn man mehr sieht und weiß.
Von Michael Dvorak; Fotos: Lisa Resatz