Besser schnell als perfekt
Bis zu 30 000 Unternehmen und Einrichtungen müssen gemäß der EU NIS-2-Richtlinie ein neues Resilienz-Level erreichen. Unsere Autoren sehen als vielversprechendsten Weg dorthin den „Minimum-Viable-Company“-Ansatz: schnell handlungsfähig werden statt vollständig wiederherstellen – und so wichtige Zeit gewinnen. Damit das klappt, müssen allerdings Infrastruktur und Menschen dafür bereit sein.
Von Jens Tolkmitt und Timm Fuchs, Kronberg
Hinter jedem User* steht der zugehörige Account – Primärziel der meisten Cyberangreifer. Dabei verseuchen Marodeure gern über den Weg der Privilege-Escalation das zentrale Repository für die einzelnen Identitäten. Besonders gefragt: Admin-Accounts, denn diese ebnen den Weg zur vollständigen Durchdringung mit Schadcode. Ist der Zugriff einmal erlangt, versuchen Angreifer meist, sich über den zentralen Verzeichnisdienst auszubreiten – oft ist das ein internes Active Directory (AD).
Stellt ein Unternehmen einen IT-Angriff fest, muss es die Gesamtheit seiner zentralen Verzeichnisse unmittelbar als unsicher einstufen. Ist die Attacke komplex und nicht eindeutig gut zu durchschauen, sollte man diese Sichtweise sogar auf die Gesamtumgebung erweitern.
Prio 1: Geordneter Neustart
Mag Erkenntnis auch der erste Schritt zur Besserung sein, mit ihr allein ist noch nichts gewonnen. Wie aber können Unternehmen in möglichst kurzer Zeit – gegen Ausfälle bei Services und Produktion, für Sicherstellung der Versorgung und Umsätze – wieder einen sicheren und betriebsbereiten Status erlangen? Die Antwort ist eigentlich offensichtlich – dennoch sträubt sich offenbar häufig etwas in den Menschen, sodass die resultierenden erforderlichen Aktionen es noch längst nicht in alle Notfallhandbücher geschafft haben: Priorität muss der Fokus auf die überlebensnotwendigen Systeme haben!
Dass ein unvollständiger Restore die einzig wirklich sinnvolle und funktionierende Option ist, belegen Zahlen und Erfahrungswerte, die im Lauf der Zeit in vielen entsprechenden Projekten zutage getreten sind. Mit Blick auf das bereits Gesagte gälte es bei einer kompletten Wiederherstellung nämlich, die Verzeichnisdienste vollständig anzugehen. Schätzungen beziehungsweise Aussagen Betroffener, die diesen Versuch unternommen haben, ergeben hierfür einen benötigten Zeitraum von zwei bis sieben Tagen. Die genaue Zahl hängt dabei vom konkreten Angriff, von der Umgebung und auch von der Verfügbarkeit von Ressourcen ab: Denn die genannte Zeitspanne bezeichnet keine Manntage – es ist (oder wäre) also ein Team erforderlich, um wenigstens diese Werte zu schaffen.
Dass es gleichzeitig völlig untragbar ist, dass kritische Infrastruktur (KRITIS) oder andere von NIS-2-betroffene Organisationen zwischen zwei und sieben Tagen ausfallen, versteht sich eigentlich von selbst – doch genau das wäre eben die Folge: Denn ohne Identities, viele wichtige Dienste und Applikationen ist heute kein Arbeiten mehr möglich. Zudem wäre bei einem größtmöglichen IT-Sicherheitsvorfall auch das Backup kontaminiert. Der genannte Zeitraum lässt sich demnach nur erfolgreich verkürzen, wenn die Opfer einer Cyberattacke priorisieren – es ist ein geordneter Neustart von sicherem Boden aus erforderlich.
Lauffähiges Kern-System
Ein solcher Reset kann nur schrittweise erfolgen, das heißt: In möglichst kurzer Zeit muss eine wieder vollständig sichere Core-Umgebung zur Verfügung stehen. Dieser Ansatz einer sogenannten „Minimal Viable Company“ (MVC) folgt der Idee des „Minimum Viable Product“, der aus der modernen Produktentwicklung bekannt ist: Statt des vollständigen Feature-Sets soll also (zunächst) die Kernfunktion gesichert funktionieren.
Im Fall einer Cyberattacke bedeutet eine MVC, dass ein gesicherter IT- (Office) und OT-Betrieb (Produktion) ermöglicht wird, sodass das eigentliche Geschäftsmodell wieder lauffähig ist – egal ob es sich dabei um Produktion oder die Bereitstellung eines Service handelt. Nicht gemeint ist hingegen, dass alle Services zumindest in vermindertem Umfang oder mit reduzierten Anforderungen/SLAs bereitstehen.
Um konkrete Beispiele zu nennen: Lauffähigkeit würde bedeuten, dass
- eine Klinik wieder Patientendaten nutzen und operieren kann,
- ein Verkehrsunternehmen wieder seine Transportmittel auf die Schiene, die Straße oder in die Luft bringen kann,
- ein Stadtwerk wieder Energie und Wasser in die jeweiligen Netze bekommt oder
- ein Hersteller medizinischer Güter seine Produktion wieder aufnehmen kann.
Nicht gemeint wären in der Regel: das Bereitstehen eines Intranets, das Funktionieren von Videokonferenzsystemen oder Kommunikationssysteme für Kundenbeschwerden. Auch von Applikationen nicht benötigte Altdaten sind „gnadenlos“ aus der MVC zu eliminieren.
Hierfür ist offensichtlich zunächst eine Bestandsaufnahme nötig, die klärt, welche Systeme zur Core-Umgebung zählen. Wie immer, wenn es um die Krisenbewältigung geht, ist es natürlich das oberste Gebot, eine solche Planung vor Eintritt eines Worst Case zu erstellen – salopp gesagt ist es zu spät, ein Feuerwehrhaus zu bauen, wenn es schon brennt. Genau diesen Fehler begehen jedoch nach wie vor viele Unternehmen.
Wichtig ist ebenfalls, trotz des Fokus auf die schnelle Lauffähigkeit, den Blick nicht ausschließlich auf die Produktion und Bereitstellung von Services zu richten. So wäre auch – zumindest in Teilen – die Human-Ressources-(HR)-Abteilung zur Core-Umgebung zu zählen, denn schließlich würden Mitarbeiter wegen eines Sicherheitsvorfalls nur ungern auf ihre pünktliche Gehaltszahlung verzichten. Unabhängig davon ist auch ein wichtiger Teil eines Krisenplans, Mitarbeiter wegen reduzierter Services über die Funktions- und Wirkweise der MVC zu unterrichten.
Der Weg zur MVC
Mag eine On-Premises-Variante auch durchaus möglich sein, empfiehlt sich für MVC-Umgebungen doch meist die Cloud. Zu klären sind übliche Aspekte wie die Performance der Anbindung sowie die Einbringung von proprietären oder Legacy-Applikationen. Stehen keine Hindernisse im Weg, lassen sich (einmal definiert) Ressourcen in der Cloud kostengünstiger vorhalten – wobei mit Maß und Ziel vorangegangen werden muss, um diesen Vorteil erfolgreich auszuschöpfen.
Weitere Pluspunkte eines Cloud-Ansatzes: die Möglichkeit, andere Geo-Zonen für maximale Sicherheit zu wählen, sowie ein automatisiertes Restore über entsprechende Deployment-Tools. Die führenden Hypervisors unterstützen dies direkt – setzt ein Unternehmen auf eine Multi-Cloud-Strategie, sind entsprechende Tools von Fremdanbietern verfügbar.
Unabhängig von der Plattform ist die Verfügbarkeit „gesunder“ Daten sicherlich die größte Herausforderung für die MVC-Umgebung. Um diese zu gewährleisten, ist die Nutzung einer sogenannten Air-gapped-Umgebung die sicherste Option – eine solche Umgebung wird im Grunde nur bei einer kritischen Sicherheitslage oder essenziellen Updates mit der bestehenden IT-Umgebung verbunden und bleibt ansonsten isoliert. Das bedeutet jedoch auch, dass das ein oder andere lieb gewonnene Cloud-Standardverfahren entfällt: Häufig wird es etwa unerlässlich sein, cloudbasierte Backups von Anbietern zu integrieren, die eben auch solche Air-gapped-Umgebungen einbeziehen können. Heuristische und um künstliche Intelligenz (KI) erweiterte Verfahren zum „Health-Check“ und der Isolation verdächtiger Daten sind hierbei ebenfalls zu berücksichtigen.
Plattform und Prozess sind aber letztlich nutzlos, wenn Mitarbeiter nicht rasch an ihre Clients und/oder Maschinen zurückkehren können. Da physisch getrennte Umgebungen jedoch gerade nicht mit angegriffenen Systemen verbunden sein dürfen, muss an dieser Stelle ebenfalls eine Cloud-Provisionierung erfolgen; bei Maschinen – Stichwort „getrennte OT“ (vgl. Kasten) – kann hingegen je nach Umgebung eine On-Premises-Lösung erforderlich sein. Der Client-Zugang darf dann nur über einen gesicherten Weg erfolgen. Für Azure heißt das: Errichtung eines „Bastion-Host“ mit Multi-Faktor-Authentifizierung und virtuellem Desktop, mit dem User sicher und nahtlos auf Cloud-Instanzen zugreifen können. Dank Remote- Desktop- (RDP) und Secure-Shell-Protocol (SSH) ist das gefahrlos auch über öffentliche IP-Adressen möglich.
IT und OT für Cybersecurity getrennt betrachten |
|---|
Für eine klare Trennung von Enterprise-IT und Operational Technology (OT) in Sachen IT-Security sprechen drei zentrale Faktoren: -Reduzierung der Wahrscheinlichkeit für Cyberangriffe auf die OT -dedizierte Security-Betreuung gemäß der in der Regel unterschiedlichen Security-Anforderungen -reduzierte Komplexität der jeweiligen Core-Umgebung bei Vorbereitung und Realisierung eines Minimal-Viable-Company-Ansatzes (MVC) Weiter reichende Konzepte gehen bis hin zu einer kompletten Trennung aller Bausteine: So könnten zum Beispiel auf der IT-Seite Server, Storage, Datenbanken, Netzwerk und Security-Lösungen jeweils ihre eigene Kernumgebung bilden. Eine solche Herangehensweise erhöht zwar die Sicherheit, aber auch insgesamt die Komplexität. Sie wird daher besonders bei der Betrachtung der Kosten in der „Normalzeit“ – also ohne Angriff – einer besonders kritischen Betrachtung standhalten müssen. |
Provisorium oder Dauerlösung?
All das Gesagte sollte verdeutlichen: Ein MVC-Ansatz hat eine Lösung mit kurzer Lebensdauer im Blick – sie überbrückt kurzfristig. Gut aufgesetzt kann sie allerdings durchaus die „Ursuppe“ für eine dauerhafte Neuimplementierung sein. Damit das gelingt, ist jedoch eine gut durchdachte, schnell auffindbar hinterlegte und regelmäßig zu aktualisierende Planung erforderlich. Das wiederum bedeutet Kosten.
Jede Organisation muss für sich abwägen, inwieweit welcher Weg für sie sinnvoll ist. Gerade mit Blick auf NIS-2 zählt letztlich nur eines: das Unternehmen, die Behörde et cetera auf einen „geräuschlosen“ und schnellen Reset vorbereiten.
Jens Tolkmitt ist Senior Director Technology Leadership, Timm Fuchs ist Security Lead DACH bei der Avanade Deutschland GmbH.