Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Diagnose Cyberangriff: Erst identifizieren, dann behandeln
Was haben eine Mandelentzündung und ein Cyberangriff gemeinsam? Mehr, als man denkt! In dieser Folge von Cybersecurity Basement spricht Michael Döhmen mit Andreas Papadaniil über die erste Phase eines Sicherheitsvorfalls: die Identifikation.
Warum ist sie so entscheidend? Welche Rolle spielen Logging, fundierte Analyse und Experteneinschätzungen in der Frühphase eines Angriffs?
Die beiden beleuchten typische Stolpersteine - von fehlenden oder falsch konfigurierten Logs bis hin zu übereilten Reaktionen im Incident Response - und zeigen, warum unüberlegte Recovery-Maßnahmen oft mehr Schaden als Nutzen bringen.
Weitere spannende Folge zum Thema Sicherheitsvorfall:
Security Incident: Die ersten 24 Stunden - Ruhe bewahren und Pizza bestellen
Security Incident: Die ersten sieben Tage - Stabile Seitenlage durchgeführt, was nun?
Security Incident: Der erste Monat danach
Security Incident: Ein Jahr danach – Was hat sich verändert?
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich willkommen im Cyber Security Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein Sure-Secure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller. Und nein, du kannst jetzt nicht wieder raus.
Speaker 2:Habe ich diese Podcast-Folge gehört, und ich bin schon mal erheblich viel besser aufgestellt als ohne diese Podcast-Folge. Deswegen hier nochmal gut gemacht, dass ihr euch diese Folge angehört habt. Ihr werdet es mir danken, falls ihr irgendwann einen Vorfall habt. Freut euch auf diese Folge.
Speaker 3:Hallo und herzlich willkommen zu einer neuen Ausgabe vom Cyber Security Basement, dem Podcast für echten Security-Content. Heute mit mir Michael, eurem Host, und ich darf herzlich begrüßen Andreas Papadani. Hallo.
Speaker 2:Ja, grüß dich, Hakuna Matata, mein Freund.
Speaker 3:Hakuna Matata, das sagst du nicht ohne Grund, denn du befindest dich gerade wo Nairobi tatsächlich.
Speaker 2:Wenn wir jetzt einen Podcast hätten, könnte man das im Hintergrund sehen. Tatsächlich.
Speaker 3:Wir nehmen tatsächlich Video mit auf, aber für alle die, die es interessiert, wir haben irgendwo Snippets, vielleicht sieht man es da. Dann schaut rein auf den anderen Kanälen. Sehr schöne Stadt tatsächlich, und das glaube ich dir gerne. Ja, andreas, du bist Stammgast in diesem Podcast, und wir wollen heute sprechen über Sicherheitsvorfälle und dort im Speziellen über das Thema der Identifikationsphase. Da gibt es ja das Modell nach SANS, wer es nicht kennt.
Speaker 3:Wir werden im Laufe des Gesprächs wahrscheinlich noch darauf zurückkommen. Wir wollen mal darüber sprechen, wie wichtig ist gerade die Phase 1, also das Thema der Identifikation heißt, wie viel Sinn macht es, dort viel zu investieren, in diese erste Phase, um herauszufinden, wie ist der Angreifer eigentlich in das System, in das Netzwerk reingekommen? und wir wollen darüber sprechen, warum das nicht immer so ganz einfach ist, das überhaupt herauszufinden, denn meistens ist es so, dass, wenn eine Ransomware ausgerollt wird, dann war der Angreifer in der Regel schon ein paar Tage im System. So haben wir es zumindest in vielen Sicherheitsvorfällen schon erlebt. Man nennt das Ganze auch die berühmte Cyber-Kill-Chain. Andreas, mal als Einstiegsfrage wie würdest du denn einem Laien erklären, warum gerade diese frühe Phase so besonders ist?
Speaker 2:Du kannst ja quasi etwas nur bekämpfen, wenn du einen Angriff hast. Klar, du hast jetzt Ransomware angesprochen, wir haben aber auch natürlich Fälle von Sabotage, spionage etc. Und du möchtest gerne herausfinden, was ist eigentlich passiert? Und das musst du herausfinden, damit du das bekämpfen kannst. Ich war jetzt die letzten zwei Wochen krank tatsächlich und lag dann zu Hause in meinem Bett und hatte ein bisschen Husten, ein bisschen Halsschmerzen, ein bisschen Schnucken, so typische Erkältungssymptome, und dachte dann so ja, ein bisschen Halsschmerzen, ich trinke einen Tee, das wird schon. Wieder Ist mein Fieber immer weiter angestiegen, keine Identification-Phase gemacht, ich habe mir gedacht, ich gehe nicht zum Arzt, ich will mich nicht vom Experten überprüfen, wache um 1 Uhr morgens auf, meine Mandeln sind angeschwollen wie Äpfel, habe 39 Grad Fieber und frage mich wo bin ich hier, was ist hier los? Jetzt hatte ich zum Glück schon mal Mandelentzündung gehabt, dass ich sehr schnell darauf gekommen bin und verstanden habe okay, zwei Arten von Mandelentzündungen, das kann einmal durch ein Virus sein oder durch Bakterien.
Speaker 2:Im Endeffekt, ich kriege das nicht mehr alles zusammen. Ich bin kein Experte, aber ich weiß, eines von beiden kannst du mit Antibiotikum bekämpfen, Das andere macht gar keinen Sinn. Was habe ich dann also gemacht? Du merkst gerade, ich bin kein Arzt, sicherlich nicht, und weit weg von der Materie. Ich bin ins Krankenhaus gegangen, war ein Feiertag, nichts war offen. Ich gehe ins Krankenhaus, der Arzt hat Identification mit mir gemacht, und ich war erstmal so ich habe eine Mandelentzündung. Was soll das hier alles? so lange Hat mein Blut abgenommen, hat mein Puls kontrolliert, hat sich alles mögliche angeschaut, und ich habe gedacht, ich will doch einfach nur Antibiotikum haben, damit ich wieder gesund werde.
Speaker 2:Am Ende war es tatsächlich so mit der Diagnose. Nach der zweistündigen Identification hat er gesagt du hast eine bakterielle, glaube ich. Die Podcast-Zuhörer wissen das vielleicht besser und können mir das hinterher nochmal erklären, weil ich bin ja für jede Frage nicht in der Lage. Sagen wir eins von beiden ich habe mein Antibiotikum bekommen und noch einige Sachen mehr, an die ich gar nicht gedacht habe. Ich habe dazu noch einen Nasenspray mit Cortison bekommen, ich habe dazu noch Schmerztabletten bekommen, damit ich eben was essen kann, und so weiter, wo ich gar nicht drauf gekommen wäre, wenn ich versucht hätte, mich selber zu behandeln. Ich glaube, das ist eine sehr schöne Analogie dazu, um zu verstehen, man braucht einen Experten. Entweder hat man die halt in-house, aber eher selten, weil man hat im besten Fall halt wenige Sicherheitsvorfälle. Also macht es gar keinen Sinn, jemanden dafür einzust, uns, der dann genau kommt und sagt okay, das ist nicht nur Halsschmerzen, die du hast, du hast eine Mandelentzündung, und das, was du da gerade tust, bringt dir nicht viel, sondern du musst das und das tun, um diesen Virus zu bekämpfen.
Speaker 3:Das ist eigentlich wirklich eine sehr schöne Analogie, Eine sehr schöne Story. Um das greifbar zu machen, auch für alle Ja, schöne Story 39 Grad Fieber und Mandeln wie Äpfel.
Speaker 2:Tolle Story, michael. Ich bin froh, dass ich wieder lachen kann. Ich dachte einfach nur Gott, nimm mich in den Himmel.
Speaker 3:Ja, das ist aber gut. Das bringt das Ganze auf ein greifbares Niveau. Jetzt ist ja auch ähnlich wie im Krankheitsfall so, dass das Thema ja relativ akut ist. Also auch ein Cyberangriff, wenn du den dann herausfindest, dass es einen gibt, das ist was sehr Akutes. Warum ist es dann mit der Identifikationsphase? hat der Arzt sich da zwei Stunden Zeit genommen? Man will schnell etwas an der Situation verändern. Es werden schnell irgendwie Entscheidungen getroffen. Man nimmt sich vielleicht nicht so ausgiebig viel Zeit. Liegt das an einer falschen Priorisierung?
Speaker 2:Ja, es kommt darauf an, was du für eine Art von Vorfall hast. Du siehst ja jeden Monat beispielsweise Sicherheitslücken auf Firewalls oder irgendwelchen Gateways, die ins Internet gerichtet sind. Die sind für den Angreifer natürlich sehr leicht auszunutzen, weil es ist noch außen verfügbar. Ich greife diese Schwachstelle an, und jetzt sag mal, in deinem Sock kommt eine Meldung auf, die dir sagt diese Firewall hat eine Schwachstelle und die wurde angegriffen.
Speaker 2:Jetzt weißt du erstmal, okay, der Angreifer hat einen Fuß in der Tür, sehr wahrscheinlich, aber du bist noch sehr früh in der Angriffskette und tausend Aktionen lostreten und den Angreifer merken lassen, dass du ihn erwischt hast, sondern du guckst dir das Ganze erstmal an. Also dafür brauchst du natürlich auch einen Sock, wo du jederzeit sehen kannst, weil, wenn die Nummer ein bisschen zu weit geht, musst du eingreifen. Du sagst jetzt nicht, er hat meine Firewalls gehackt, und jetzt soll er auch noch verschlüsseln. Das sollte man ja besser mitbekommen an der Stelle. Aber wenn du sehr frühzeitig Angriff bist, dann guckst du dir das Ganze erstmal an, was da los ist, weil eben hier auch Identification. Je mehr du weißt, umso besser ist es, den Angreifer zu bekämpfen.
Speaker 2:Du kannst dir die Zeit nehmen, bist du komplett verschlüsselt von oben bis unten und steht deine Produktion still, und du verlierst gerade Millionenbeträge. Gut, kannst du dir die Zeit vielleicht nicht nehmen. Und das ist dann eben auch die Phase, weil man sagt normalerweise, bis die Identification abgeschlossen ist, weil wir wollen ja eben auch nicht irgendwelche Beweise, sage ich mal, verwischen oder aus Versehen löschen oder sonst, was Deswegen erstmal gar nichts anfassen. Identification machen Ist aber schwer umzusetzen, wenn du komplett still liegst, weil du ja dann schon auch aus der Geschäftsführung den Druck bekommst, auch wichtigerweise das Business muss wieder laufen, wir müssen handeln, wir müssen tun, und hier kommst du dann an den Punkt, wo du ein Spagat finden musst zwischen ich muss in Ruhe identifizieren, ich muss aber auch schon anfangen mit der Wiederherstellung, weil wir können nicht fünf Tage in Ruhe uns alles angucken, während wir 20 Millionen Schaden gerade über uns ergehen lassen, lange auf die vollständige Aufklärung eben warten.
Speaker 3:Aber das ist ja dann genau das. Du gehst da natürlich das Risiko ein, dass sich deine Ausfallzeit noch deutlich verlängert, und immer in dem Wissen, dass eine vollständige Aufklärung ja nicht garantiert ist, weil du bist ja, solange es nicht vollständig aufgeklärt ist, auf der Suche nach dem Patient Null. Es kann aber auch sein, dass du ihn nie findest und dann eben am Ende auch nicht weißt, obwohl du viel investiert hast in diese Phase der Identifizierung, du nicht weißt, ob das von Erfolg gekrönt sein wird.
Speaker 2:Und das ist ja auch meist eine bewusste Entscheidung auch von uns, zu sagen, wir brechen diese Identification jetzt ab, weil, ob wir jetzt herausfinden, wo es reingekommen ist, an der Stelle wird für uns keinen Unterschied machen. Natürlich ist jeder neugierig und will es wissen und möchte natürlich sagen okay, wenn wir das lernen, wo er reinkam, dann können wir das beim nächsten Mal verhindern. Aber in der Regel kann man sagen, die Wege sind gleich. Du hast in den meisten Fällen einen E-Mail-Anhang, und in wenigen Fällen hast du wahrscheinlich eine Schwachstelle, die ausgenutzt wurde auf irgendeinem System von dem Verhältnis Weil immer noch nach wie vor sagt man, 90% dieser Hackerangriffe kommen über E-Mail-Anhänge Statistik gibt es. Das heißt, wenn du es umlegst, hast du 10% ungefähr an Schwachstellen, die ausgenutzt werden, und damit, wie genau welche Schwachstelle und wie der Anhang aussah, ist für dich jetzt erstmal egal. Das ist für Researcher natürlich spannend, um dann Regeln für SOC zu entwerfen und zu sagen okay, beim nächsten Mal kann ich dieses Attachment erkennen, du kannst es dann in deine Detections integrieren. Aber für das Unternehmen jetzt erstmal. Das ist auch gerade, wenn dann zum Beispiel das LKA oder BKA mit dazu kommt.
Speaker 2:In solchen Sicherheitsvorfällen haben die natürlich im Endeffekt nicht in den meisten Fällen nicht mehr nachvollziehen, wo kam der Angriff her, und wer war das? Also, wenn du dir denkst, die Polizei in Anführungsstrichen wird mir jetzt helfen, den Täter zu finden, das kannst du vergessen. Die sitzen irgendwo auf der Welt über Tor-Browser etc. Was für Maßnahmen, die findest du nicht? Was die machen können, ist, erkenntnisse schließen für die Prävention, und das ist auch gut. Nur, wir müssen darauf achten, wenn wir in dieser Recovery sind, und dann werden natürlich Informationen gefordert. Können Sie uns diese Logs bereitstellen? können Sie uns das bereitstellen? wir müssen das wissen, dass man dafür sorgt.
Speaker 2:Ja, wir machen das alles, aber es hat nicht die erste Priorität. Die erste Priorität hat erstmal die Wiederherstellung des Businesses, um eben den finanziellen Schaden abzuwenden, und wenn wir da da ein bisschen weiter sind, können wir unsere IT-Ressourcen, weil dieses Bereitstellen von Informationen während deiner und das sind nicht wenig Informationen, wir reden da über teilweise mehrere hundert Gigabyte, und du hast keine Infrastruktur mehr, da musst du ja erstmal was finden. Das heißt zur Not, du hast auch keine Internetverbindung mehr, wenn du eben verschlüsselt wurdest, und jetzt musst du dich erstmal darum kümmern, wie kriege ich jetzt hunderte von Gigabytes irgendwo, einen Online-Speicher, sicher auch noch, während hier gerade die ganze Hütte steht. Deswegen auch hier in dieser Phase zu sagen okay, diesen Stream, den nehmen wir auf, den machen wir.
Speaker 2:Das ist aber nicht die erste Priorität. Die erste Priorität, wie gesagt, immer wie der Anlauf des Unternehmens. Weil wenn wir zu lange stehen, haben wir Fälle erlebt, wenn du sowieso teilweise angeschlagen bist als Unternehmen, und du stehst zu lange, dann ist Feierabend, dann kommst du da nicht mehr raus, und dann bringt es ja auch nicht, wenn du irgendwelche Daten erhoben hast, wo der Angreifer herkam. Das interessiert dann keinen mehr, wenn der Laden dicht ist.
Speaker 3:Also würdest du Unternehmen grundsätzlich empfehlen, die Identification-Phase unter zu priorisieren.
Speaker 2:Das jetzt nicht, aber Hättest du das lieber? Ja, das kann ich nicht sagen. Wenn die dabei sind, die wissen ganz genau, die können einschätzen. Ziehen wir die jetzt durch komplett? oder sagen wir, wir haben jetzt sehr viele Informationen, weil was du brauchst, sind IOCs Indicator of Compromise. Also du kannst dann halt. Du hast Artefakte, wo du siehst, der Angreifer hat diese Webseite benutzt, der Angreifer hat diese Dateien benutzt. Die waren so groß, die hatten diese Dateiendung und so weiter.
Speaker 2:Diese Informationen, die möchtest du haben, damit du im weiteren Verlauf des Angriffs und in der Recovery feststellen kannst ist das System betroffen oder ist es nicht betroffen? Weil am liebsten würdest du natürlich alle Systeme aus dem Backup wiederherstellen und sofort wieder loslegen. Du weißt aber nicht, waren diese Systeme schon kompromittiert und wurden kompromittiert gebackupt? Das heißt, wenn du sie wiederherstellst, hast du denselben Spaß schon wieder. Also musst du Indikatoren haben, um Sachen aus dem Backup wieder herstellen zu können, ansonsten kannst du es vergessen. Ansonsten musst du eigentlich sagen, alles wird fresh neu gemacht, weil ich habe keine Möglichkeit festzustellen, ob das System komponiert wurde, und das ist ja auch nicht realistisch. Du hast deine Daten, du hast deine Datenbanken etc. Wenn du die wegwirfst, ein Unternehmen ohne Daten, kannst du genauso zumachen. Das heißt, du bist angewiesen auf deine Backups. Du musst aber sicherstellen, dass, wenn du deine Weil ansonsten heißt es keine Backups recoveren, und das heißt eben das Gleiche der Laden steht trotzdem still.
Speaker 3:Du brauchst die Daten. Lass uns mal über typische Stolpersteine in dieser Phase sprechen. Also, warum eine Aufklärung vielleicht nicht vollständig werden kann? Ich nenne, was und du sagst, aus welchem Grund das ein Stolperstein sein kann. Warst und du sagst, aus welchem Grund das ein Stolperstein sein kann? Ja, als erstes hätte ich. Es sind keine vollständigen Lockdaten vorhanden. Ja, absolut.
Speaker 2:Also hier verliert sich dann irgendwo der Weg. Du hast selber von der Killchain gesprochen. Wenn ich diese Lockdaten nicht habe, kann ich immer nur bestimmte Sequenzen sehen. Ich kann aber nicht verstehen. Also ich kann zum Beispiel auf einem System ich habe jetzt meine Windows-Logs auf einem PC dann sehe ich, okay, der Angreifer hat sich hier eingeloggt. Dann sehe ich vielleicht noch, der Angreifer hat eine Verbindung aufgebaut zu einem anderen System, ich weiß, wo er hingeht. Ich kann mich weiter langhangeln zur nächsten Stelle, und diese Logs habe ich vielleicht nicht mehr. Also gerade wenn ich Logs nur lokal auf dem System habe, gehe ich als Angreifer hin und lösche, das Lockmanagement habe ja, und dann tappe ich im Dunkeln und kann eigentlich auch nicht mehr nachvollziehen, was wir dann machen müssen. Zum Beispiel hast du ein Unternehmen mit 500 Servern, und wir müssen uns alle 500 Server manuell angucken, weil wir eben diese Kette nicht mehr nachvollziehen können. Also müssen wir auf alle Systeme drauf, und wenn dann eben die Locks gelöscht sind, was momentan in 90% der Fälle passiert, müssen wir auch aufgeben und sagen Moment, und manchmal weitermachen.
Speaker 3:Also, die Logs sind quasi die Basis. Das habe ich verstanden. Jetzt gibt es aber ja auch den Fall oder ich habe es zumindest schon mal mitbekommen in Sicherheitsvorfällen, dass ein Logging auch falsch konfiguriert sein kann. Was meinst du damit genau?
Speaker 2:Also zum einen natürlich der Zeitraum, also Retention, in dem ich das aufbewahre. Ein Angriff dauert im Durchschnitt 180 Tage, sagt man so, bis das Ganze von. Ich komme rein bis zu, ich führe aus. Gibt es Statistiken drüber, wo man sagt, 180 Tage, wenn ich meine Logs jetzt aber nur 30 Tage aufbewahre oder 10 Tage, weil ich eben den Speicher nicht habe? und das ist oftmals so. Wenn du kein zentrales hast und nur lokal So eine Firewall hat, als Default-Einstellung, ich logge für 30 Tage, sag ich jetzt mal, ja, du kannst es vergessen, du kannst gar nicht mehr feststellen, was der Angreifer dort alles getan hat. Und in dem Moment, wo du dann reingehst und wir dann als Experten sagen, jetzt lassen wir uns mal die letzten sechs Monate nachvollziehen, was da passiert ist, oh, ne, die Einstellung ist, ich logge nicht alles mit, ich brauche nicht alle Details.
Speaker 2:Okay, damit das System nicht vollläuft, weil du willst also eine Firewall auch nicht mit unendlich viel lokalen Speicher ausstatten. Und wenn du eine Firewall hast, die gar nicht mehr lokal speichert, gibt es ja immer mehr, die dann die Daten, die Logs in die Cloud schickt, dann will natürlich der Anbieter nicht vollgespammt werden, weil er bezahlt den Speicher in der Cloud natürlich. Das heißt, wir wollen das auf einem niedrigeren Niveau halten, und wir kommen dann in den Sicherheitsverfolg Und ich unwirtschaftlich. Ich verstehe das, aber man muss sich eigentlich damit auseinandersetzen, wenn man diese Systeme anschafft und einmal vom Experten halt sich zeigen lassen. Welches Locklevel brauche ich eigentlich, damit ich, wenn was passiert, auch alles nachvollziehen kann?
Speaker 3:Ja, verstehe ich. Nächster Punkt wäre Systeme wurden beim Instant Respond sofort abgeschaltet oder formatiert.
Speaker 2:Ja gut, das ist tatsächlich der von. Ich zerstöre meine eigenen Spuren, formatiert natürlich ganz schwierig alles weg. Aber selbst wenn du denkst, ich schalte das System nur ab, was schnell passiert, und du sagst, es ist gerade eine Verschlüsselung im Gange ich weiß nicht, welches System gerade verschlüsselt, von wo das ausgeht, weil du hast meist ein Quellsystem das geht dann durchs Netzwerk und führt die Verschlüsselung auf allen anderen Systemen aus oder verteilt den Virus entsprechend. Und du sagst dann, als Vorsichtsmaßnahme fahre ich jetzt alles runter. Was passiert?
Speaker 2:Der Arbeitsspeicher wird komplett geleert, und wir verlieren wertvolle Informationen, die wir benötigen, um unsere Analyse durchführen zu können. Das bedeutet, was kann ich alternativ machen? Du kannst bei physikalischen Systemen zum Beispiel hingehen und den Netzwerkstecker ziehen. Damit mache ich sie von außen nicht mehr verfügbar. Wenn ich eine virtuelle Maschine habe, die natürlich keine Kabel hat, kann ich in das Management gehen und kann diese Maschine pausieren, anhalten, oder ich kann den Netzwerkadapter deaktivieren. Da gibt es viele Möglichkeiten, und hier ist es eben auch ganz wichtig, im Internet Response vorher als Unternehmen auch schon festzulegen wie möchte ich darauf reag? genau weil jetzt musst du dir überlegen, wenn es von einem Konzern zum Beispiel, wo die Administratoren auf fünf Kontinente verteilt sind, und du hast 150 Leute im Team Du hast da vielleicht zehn dazwischen, die intuitiv richtig halten und sagen ich pausiere die Maschine, ist doch klar, wegen dem Arbeitsspeicher.
Speaker 2:Du hast aber auch noch dann hunderte andere Leute, die einfach hingehen, panik bekommen und sagen was mache ich jetzt? Ja, ich fahre das Ganze runter natürlich. Dann stoppe ich das, und deswegen musst du ganz klar auch vorher definieren welche Maßnahme möchtest du treffen in so einem Fall, und dann kannst du das Ganze auch strukturiert angehen.
Speaker 3:Du hast jetzt eben gesagt, angriffe sind im Schnitt 180 Tage im System, bevor du dann was von diesem Angriff überhaupt spürst oder mitbekommst. Was was von diesem Angriff überhaupt spürst oder mitbekommst, was machen die denn da eigentlich? Also, wenn ich mir überlege, ich habe jetzt 180 Tage lang einen Zugriff auf eine Infrastruktur, da kann ich ja alles und nichts machen, aber was sind so typische Dinge, die ein Angreifer da tut?
Speaker 2:Also nichts ist eher unwahrscheinlich. Stell dir vor, du kommst in so einen riesen Villa, anwesend, 2000 Quadratmeter, mit einer Garage für sechs Autos, und du bist ein Dieb, und du gehst da rein, und du bist schon in der Tür drin, und du sagst, ich mach jetzt nix. Und da steht ein Porsche, und du kannst dir das Bild vor Augen vorstellen. Und so kannst du dir das vorstellen, weil die Hacker wissen ja auch, wo komm ich rein, und die sehen, das ist ein Unternehmen mit 3000 Mitarbeiter, weltmarktführer etc. Und die wissen, hier ist was zu holen. Die wissen noch nicht was, also nehmen die sich die Zeit. Als allererstes sorgst du dafür weil du könntest ja erwischt werden dass du dir Backdoors anschaffst. Das heißt, du legst dir Benutzer an, um wieder, falls dein Benutzer gesperrt wird, dass du über einen anderen Benutzer wieder reinkommen kannst. Du legst dir VPN-Verbindungen an, irgendwo, wo es da bleibst. Da bist du schon mal ein paar Tage unterwegs.
Speaker 3:Aber auch das, das muss ich ja erstmal hinbekommen. Also, wenn ich jetzt irgendwie ich komme irgendwie in dieses System aber dass ich mir jetzt einen neuen Benutzer anlege, also quasi die Tür zur Villa nochmal aufmache, damit mehr Leute reinkommen, dafür bräuchte ich auch schon irgendwie erhöhte Rechte. Das müsste ich mir ja erstmal irgendwie organisieren.
Speaker 2:Ist das so einfach? Das geht ja relativ einfach. Wenn ich einmal drin bin auf einem System, dann kann ich. Da gibt es hunderte Techniken von Privilege Escalation. Ich bin ein stinknormaler Benutzer. Jetzt kommt es natürlich darauf an, wie stark ist dein Betriebssystem gehärtet, wie gut bist du aufgestellt?
Speaker 2:Ein beliebtes Thema ist lokale Admin-Rechte. Die brauchen wir unbedingt. Ohne lokale Admin können wir nicht arbeiten, und so weiter. Du nimmst einen auf einmal einen Benutzer, der hat lokale Admin-Rechte, und damit kannst du lokal alle Passwörter auslesen, beispielsweise. Da kommst du schon mal einen Schritt weiter. Und da gibt es Techniken für Ich muss einmal reinkommen, klar, ich mache einmal Privileged Escalation. Das kann jetzt vielleicht noch deine Endpoint Security erkennen, wenn die gut ist. Es gibt aber auch Wege, mittel und Wege, wie ich das einfach unterwandere. Also, wenn ich genügend Zeit habe, dann finde ich Möglichkeiten, und wenn ich jetzt auch noch kein Logging habe oder kein SOC, keine Detections habe, dann kann ich 500 Mal Privileged Escalation ausprobieren, ohne dass ich entdeckt werde, und es beim 500. Mal klappt. und jetzt merkst du vielleicht auch, wo die 180 Tage herkommen.
Speaker 2:Der spielt natürlich ein bisschen rum und hat es dann geschafft, sich erhöhte Rechte zu beschaffen, und dann, wenn er das gemacht hat, fängt die Discovery an. Ich gucke mir im Netzwerk an, was habe ich hier für Server? welche Betriebssysteme habe ich? schwache Betriebssysteme, windows XP beispielsweise im Einsatz? easy, drei Sekunden bin ich drin. Gehe, geh dann von da weiter beweg, mich weiter an die Systeme und fang dann erst an auszuspionieren. Weil, was ja passiert, ist die Verschlüsselung.
Speaker 2:Okay, dafür brauche ich kein Wissen, ich haue ja alles weg. Aber in der Regel ist die Verschlüsselung einfach nur eine weitere Möglichkeit, geld zu verdienen, aber auch die Möglichkeit für den Hacker, seine Spuren zu verwischen, wenn ich alle Systeme verschl. Vor allem habe ich so eine Bombe gezündet, dass keinen gerade mehr interessiert, was hier passiert ist. Alles, was dann interessiert, ist höchste Priorität, ist Wiederherstellung. Und was habe ich als Hacker vielleicht vorher gemacht? Ich bin hingegangen und bin an die Datenbank gegangen, ich habe mir Informationen über Produktion beschafft, wie wird das Produkt gefertigt? Ich habe mir Kalkulationen beschafft. Beides kann ich. Ich sage du, du baust Auto X, ich habe hier alle Daten, die du brauchst, um dieses Auto Y zu bauen.
Speaker 2:Das Auto kommt erst in drei Jahren auf den Markt, hier sind alle Informationen. Und du möchtest auch noch wissen, zu welchem Preis das verkauft wird, weil du möchtest ein ähnliches Auto bauen, das aber 1000 Euro weniger kostet. Hier ist die Kalkulation dazu, und das findet statt, und das Unternehmen, wenn es vers zu finden gerade sagen wir mal, du hast jetzt Volkswagen oder so ein bisschen hochgegriffen, weil die Komplexität ist immens. Aber du bist jetzt irgendwie so ein Automobil, automotive-zulieferer Die haben ja auch mal gut und gerne 5000 Mitarbeiter, sind auf allen Kontinenten aktiv, haben sehr komplexe Netze, und da gehe ich jetzt erstmal durch. Und in der Regel haben die meisten halt eben noch keine Netzwerksegmentierung, kein ordentliches Berechtigungskonzept, weil nur so kann das ja passieren. Und es ist auch nicht einfach, weil wir als Showsecure haben jetzt 80 Mitarbeiter, wir haben die Firma gegründet, wir waren Securityfreaks, wir haben von Anfang an unsere komplette Infrastruktur so aufgebaut, dass du gar keine Lust hast, uns zu hacken, weil du beißt dir die Zähne aus.
Speaker 2:Ein Automobilhersteller oder Automotive-Zulieferer, der seit 100 Jahren irgendwie am Markt ist, hat historisch gewachsene Netze, der hat eine Produktionsstätte, die auf 20 Jahre ausgelegt ist und die vor 10 Jahren gebaut wurde, und die hat natürlich nicht Standardtechnik, und das ist eine extrem anspruchsvolle Umgebung, die du halt betreiben musst, und das wissen die Hacker ja auch. Und wenn du reinkommst und du siehst, in welcher Domäne du bist, und du siehst, das ist so ein Unternehmen und das ist Automotive, dann weißt du, ich finde hier XP-Maschinen, und ich weiß, die Produktionszahlen sind nicht so segmentiert, wie sie sein sollten In den meisten Fällen und sagen congratulations, ihr habt es richtig gemacht. Aber die Mehrheit hat es nicht. Man kann ihnen auch keinen Vorwurf machen, weil das ist ein Riesenprozess. Du brauchst da teilweise fünf bis zehn Jahre, um das Ganze alles wieder aufzuräumen. Und Budget ist natürlich auch ein anderes Thema.
Speaker 3:Du hast ja jetzt schon über, sag ich mal strategisch wertvolle Daten gesprochen, die im Darknet dann gehandelt werden, wie zum Beispiel eben Produktionspläne für ein Automobil. Auch wenn da natürlich, wie du schon richtig sagst, sehr viel dazugehört, kennt man ja dann von Verbrauchern Diebstahl von Kreditkartendaten und sowas. Das habe ich mal nachgelesen ist gar nicht so viel wert. Die werden da teilweise schon unter einem oder zwei Euro gehandelt, weil die eben keine lange Haltbarkeit haben. Die werden eben schnell die Masse macht es daraus, sind veränderbar und das relativ schnell. Gesundheitsdaten sind auch immer sehr wertvoll, weil die eben nicht so veränderbar sind. Eine Krankheit, eine schwere Erkrankung lässt sich eben nicht so schnell beheben. Es gibt aber immer wieder Unternehmen, die auch sagen ja, so wertvolle Daten, das haben wir eigentlich gar nicht. Das höre ich oft. Also, es gibt ja jetzt auch nicht den klassischen Automobilzulieferer, aber es gibt ja auch keine Ahnung Dienstleister, die auch anderthalbtausend Mitarbeiter haben oder mehr. aber auch die verfügen natürlich über sensible Daten.
Speaker 2:Also jedes Mal, wenn mir das ein potenzieller Kunde sagt, unsere Daten sind ja gar nicht so sensibel dann sage ich super, dann lassen Sie mich eine Webseite aufbauen. Wir nehmen alle Ihre unwichtigen Daten und uploaden die auf die Webseite und machen das der Öffentlichkeit verfügbar. Was halten Sie davon?
Speaker 2:Also nee das können wir nicht machen. Also, die Daten, die können wir doch nicht einfach so veröffentlichen. Aber Sie haben doch gesagt, die sind nicht wichtig. Also, wenn ich das höre alles ist wichtig, und du hast ja allein schon personenbezogen du hast über Kreditkartendaten gesprochen. Aber was zum Beispiel auch interessant ist, sind Personalausweise. Die halten auch ein bisschen länger, und mit einem Personalausweis von dir kann ich so tun, als wäre ich, du. Ich kann Verträge auf deinen Namen abschließen, ich kann eine ganze Menge. Ich will keinen hier motivieren. Deswegen höre ich auch mit dem Beispiel Du kannst diese Daten im Darknet kaufen.
Speaker 2:Das kann mir auch, und so passiert das. Also guck mal, du kannst im Darknet, du kannst dir Waffen kaufen, du kannst dir Drogen kaufen, du kannst einen Auftragsmord beauftragen, du kannst quasi alles machen. Das möchtest du aber nicht mit deiner Identität machen. Und wenn du dir zum Beispiel ein Kilo Kokain bestellen möchtest, dann holst du dir bei der deutschen Post so eine Postbox. Das machst du nicht auf deinen, weil du musst deinen Ausweis angeben und so weiter. Du musst deine Identität hinterlegen.
Speaker 2:Du nimmst eine Identität von jemand anders, nimmst diese Postbox, lässt dir ein Kilo Kokain dahin liefern, und der einzige Weg, wie die Polizei nachvollziehen kann, dass du da gerade Kokain entgegen nimmst, ist, wenn sie daneben stehen, dich filmen und dich dabei erwischen, dass du das tust, weil alles, was im digitalen Raum passiert, sehr schwierig nachzuvollziehen Mit Tor-Browser beispielsweise, der dann über mehrere Hops geht, wo du es gar nicht mehr nachvollziehen kannst an der Stelle. Und deswegen das ist für die interessant, und gleichzeitig heißt es aber auch für das Unternehmen ich muss eine Meldung machen öffentlich, dass hier personenbezogene Daten manipuliert wurden, und das macht keinen Spaß. Also, erstmal macht es keinen Spaß, dann mit der Datenschutzmung und klappst zusammen, weil du dir denkst uh ja, dieses GVO kam ja damals, ich hab die ganzen erstellt. Ob die noch aktuell sind und überhaupt schlüssig sind, weiß ich nicht, und ob das überhaupt den Anspruch erfüllt, den die Datenschutzbehörde da an dich hat, das weiß auch keiner so richtig an der Stelle. Und dann stehst du da vorlegen, und wenn es dem Datenschutzmenschen dann nicht gefällt, was er sieht, weil er sagt, es veraltet, es ist nicht so, wie es sein sollte, etc. Dann hast du ein Problem.
Speaker 2:Ein Problem, ja, weil dann kriegst du Auflagen, finanzielle Strafen, die nicht unerheblich sind an der Stelle, und das möchtest du nicht Undworten kann, was ein bisschen asozial ist kriegst du diese Thematik hinterher, die dann nochmal im Nachfolge nach dem Vorfall nochmal richtig böse werden kann, weil, wenn du schon 20 Millionen im Vorfall verloren hast, und du kriegst dann noch eine Strafe basierend auf deinem Konzernumsatz, und du musst nochmal 5 bis 10 Millionen bezahlen dann kommst du irgendwo an den nehmen.
Speaker 3:Das Thema Ja. Also halten wir fest eigentlich jedes Unternehmen verfügt über sensible Informationen, allein wenn Mitarbeitende angestellt sind. Wenn du Mitarbeitende hast, dann verfügst du ja über Personalakten, und da sind persönliche, sensible Daten enthalten. Das Gleiche gilt meistens jedes Unternehmen hat irgendwelche Kunden. Auch da arbeitest du ja in der Regel mit Ansprechpartnern. Du hast da auch sensible Informationen. Also merken wir uns das. Wenn du dem Unternehmen einen Rat geben müsstest, was sollte man im Vorfeld tun, damit so eine forensische Aufklärung überhaupt möglich ist? Was wäre das Also?
Speaker 2:Prio 1. Ich sag mal so Kosten nutzen. Vielleicht nicht Prio 1, aber wenn wir uns Kosten nutzen anschauen, dann hab einen Log-Server Irgendwo. Der kostet dich nichts außer Speicherplatz und ein bisschen Ressourcen. Es gibt mittlerweile Open-Source-Tools, linux-basiert, die du dir da hinstellen kannst. Da kostet dich gar nichts an Lizenzkosten, und du pumpst die Logs erstmal wohin, und du nimmst dir den billigsten Speicher. Meinetwegen, da muss kein SSD, super high-flashy Ding sein, das ist der billigste Speicher, den du hast, und du pumpst die erstmal weg. Wenn wir dann nämlich kommen im Sicherheitsvorfall, haben wir zumindest Daten dort, so, und das kostet dich gar nichts. Wenn du natürlich mehr machen möchtest klar, schaff dir ein System an, das Daten visualisieren kann, gehe ein bisschen weiter an der Stelle, wobei ich dann wieder sage wir gehen dann schon in Richtung SIEM mit einem SOC, wo du sagst okay, anschaffen des Systems ist einfach, ich kaufe mir eine Lizenz, bestelle das Ganze, ich habe sie implementieren und betreiben sehr schwierig, sehr schwierig zu tun, sehr komplexe Materie, und es gibt sehr wenige Leute im Markt, die sind gerade sehr heiß begehrt.
Speaker 2:Die arbeiten dann bei uns zum Beispiel, die das Ganze machen, und um so ein SIEM zu betreiben, vernünftig, brauchst du mal mindestens zwei, drei davon, und du hast meist den Fall in Unternehmen selbst mit 10.000 Mitarbeiter, dass du zwei, drei IT-Security-Leute da hast, und du bräuchst eigentlich zwei, drei Leute, nur um die Plattform zu betreiben. Ich rede noch nicht davon. Analys, das ist der Hauptpunkt. Also Logging, logging, logging, logging, das ist es.
Speaker 3:Wer nichts loggt, der hat auch keine Chance auf Aufklärung.
Speaker 2:Hat sich zwar nicht gereimt, aber trotzdem gut angehört. Stimmt.
Speaker 3:Okay, Was können wir noch festhalten? Wir haben darüber gesprochen, dass viele Angriffe im Unklam bleiben und dass das vielleicht auch gar nicht so entscheidend ist. Viel entscheidender das hast du auch gesagt ist eben, dass das Unternehmen schnell reagieren und sich um die Recovery bemühen, also Dinge wieder aufbauen, dass wieder gewirtschaftet werden kann. Das ist das eigentlich Entscheidende. Natürlich ist es super schön, wenn man am Ende auch eine vollständige Cyber-Kill-Chain hat, um eben daraus lernen zu können. Aber eine vollständige Cyber-Kill-Chain wird dir jetzt nicht dabei helfen, die Produktion wieder ans Laufen zu bringen. Da musst du halt andere Dinge noch tun.
Speaker 2:Ein wichtiger Punkt noch in dem Zusammenhang Recovery nicht um jeden Preis no-transcript. Die dann einfach aus dem Backup wieder hergestellt haben, sagen, wir machen das irgendwie selber, das klappt schon, in drei Tagen sind wir wieder da, Die waren in drei Tagen da. Die waren aber in sieben Tagen wieder gehackt und nochmal verschlüsselt, Und da hast du keinen Bock drauf, würde ich dir sagen. Also sicher, wenn Recover Sicherheit, Ergänzung.
Speaker 3:Dann haben wir über Daten gesprochen. Jedes Unternehmen, das haben wir festgestellt, hat wichtige Daten, vor allem auch Daten, die gegebenenfalls strategisch nutzbar gemacht werden können von Angreifern, und das heißt, wenn man die an den Mitbewerber verkauft. und ich denke, damit haben wir diese Identification-Phase ganz gut durchgesprochen. Andreas, ich danke dir, dass du mal wieder zu Gast warst bei unserem Podcast, sehr gerne.
Speaker 2:Ich bin auch sehr, sehr positiv überrascht, weil, als du mir das Thema genannt hast, dachte ich ah, Identification, ja, was soll das denn? Du guckst dir das ein bisschen an, was da passiert, und dann machst du halt naja, ich bin halt betriebsblind, ich mache die ganze Zeit nichts anderes als das, und als wir jetzt so drüber gered, gemerkt wow, das ist schon einiges. Und ich hoffe, dass unsere Zuhörer was mitnehmen können, weil wenn, im Fall der Fälle habe ich diese Podcast-Folge gehört, und ich bin schon mal erheblich viel besser aufgestellt als ohne diese Podcast-Folge, deswegen hier nochmal auch wenn wir jetzt am Ende der Folge sind gut gemacht, dass ihr euch diese Folge angehört habt.
Speaker 3:Ihr werdet es mir danken falls ihr vielleicht, schneiden wir das einfach ins Intro.
Speaker 1:Wäre nicht schlecht.
Speaker 3:Freut euch auf die Folge Das wäre nicht schlecht. Genau das ist das Wichtige dass man hier mal was mitnimmt, was man im Unternehmen nutzen kann. Und gerade diese erste Phase, da entscheiden sich einfach schon Dinge, und deswegen wollte ich mit dir darüber sprechen. In diesem Sinne bleib sicher und gesund, andreas. Vielen Dank und liebe Grüße Tschüssi.
Speaker 1:Das war's aus dem Cybersecurity Basement. Check die Shownotes. folg uns auf Social Media und abonniere den Podcast Stay safe da draußen.