Auffällige Verhaltensmuster im Netzwerk erkennen: Warum die Anomalie-Früherkennung entscheidend für Ihre IT Security ist

von

Lesezeit: Minuten ( Wörter)

Der Alptraum jedes Unternehmens ist ein erfolgreicher Cyberangriff: Daten sind verschlüsselt und Systeme blockiert. Die IT Security hat die Aufgabe, genau dieses Worst Case Szenario zu verhindern. Eine moderne sowie umfassende Cyberverteidigung basiert auf einer Vielzahl an Strategien und Abwehrtechniken. Eine der entscheidendsten ist heutzutage die Anomalieerkennung. Dieser Artikel beleuchtet, warum diese Technik so effektiv im Kampf gegen Cyberangriffe ist und wieso ein IT Security Frühwarnsystem zu jeder sinnvollen IT-Sicherheitsstrategie gehört.

Was ist eine Anomalieerkennung?

Bei der Anomalieerkennung handelt es sich um eine Methodik, die ungewöhnliche Aktivitäten im Netzwerk identifiziert. Als Anomalie sind Vorgänge definiert, die von der Norm abweichen und unerwartet sind. Solche Aktivitäten deuten auf unbefugte Zugriffe hin. Diese stehen zum Beispiel im Zusammenhang mit Cyberattacken. Durch diese Eigenschaft hat die Anomalieerkennung das Potenzial, Cyberattacken in einem frühen Zustand zu erkennen.

Die Allianz für Cybersicherheit hat in ihrem Bericht über das Monitoring und die Erkennung von Anomalien eine Reihe von Beispielen für ungewöhnliche Aktivitäten in Netzwerken aufgelistet. So gehören die Verbindung eines neuen Gerätes mit dem Netzwerk oder Traffic von einer unbekannten IP-Adresse, die außerhalb des eigenen Netzwerks liegt, zu anomalen Ereignissen. Weitere Vorgänge, die eine Analyse erfordern, sind der Datenverkehr über ein unübliches Protokoll oder plötzlich auftretende hohe Nutzung von Bandbreite.

Welche Rolle spielt das Netzwerkmonitoring bei der Anomalieerkennung?

Das Netzwerkmonitoring ist eine der zentralen Techniken, mit der sich Anomalien erkennen lassen. Im Rahmen des Monitorings erfolgt eine Erfassung aller Aktivitäten innerhalb eines Netzwerks. Dazu gehören Informationen über Datenverbindungen, die Netzwerkauslastung oder die aktiven Kommunikationsprotokolle. Das Monitoring sammelt diese Informationen zentral und stellt diese dort zur Analyse bereit. Dabei überwacht das Monitoring den gesamten Bereich des Unternehmensnetzwerks. Dies umfasst kabelgebundene und drahtlose Netzwerke sowie auch Netzwerkbereiche in der Cloud.

Diese Systeme stellen die notwendigen Informationen bereit, mit denen eine Erkennung von ungewöhnlichen Aktivitäten in Echtzeit möglich ist. Teilweise sind diese Programme für das Monitoring in der Lage, Warnmeldungen zu ungewöhnlichen Vorfällen auszugeben. Es ist dann jedoch noch eine manuelle Kontrolle notwendig, mit der analysiert wird, ob hinter einem Vorgang eine Cyberattacke oder eine andere bedrohliche Aktion steckt. Basierend auf dieser Analyse leitet die IT Security dann konkrete Maßnahmen ein, etwa die Deaktivierung von Accounts oder die Sperrung von IPs, von denen illegale Zugriffe ausgehen.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Welche Bedeutung hat die Anomalieerkennung in ICS-Netzwerken?

Die Allianz für Cybersicherheit spricht in ihrem Bericht explizit die sogenannten Industrial Control Systeme (ICS) und die Sicherheit in diesen Netzwerken an. Hierbei handelt es sich um industrielle Steuer- und Regelungssysteme. Diese Technik agiert häufig abseits von IT-Standards mit proprietären Protokollen. Im Zuge der Digitalisierung und IoT wurden ICS jedoch vielfach in IT-Netzwerke integriert, um einen einfachen Zugang auf die Steuerung oder Sensordaten zu ermöglichen.

Die Allianz für Cybersicherheit weist darauf hin, dass moderne Produktionsnetze durch diese Eigenschaften besonders gefährdet sind. ICS verfügen selbst über kaum oder gar keine Abwehrmechanismen gegenüber Cyberangriffen. Dementsprechend ist es nur schwer möglich, illegale Zugriffe direkt an den Steuer- und Regelsystemen zu erkennen. Aus diesem Grund sind besondere Methoden für die Gewährleistung der Sicherheit notwendig. Vor allem, da solche industriellen Steuer- und Regelungssysteme in der kritischen Infrastruktur, beispielsweise der Energieerzeugung, zum Einsatz kommen.

Das Netzwerkmonitoring spielt hier laut der Allianz für Cybersicherheit eine zentrale Rolle. Ein IT Security Frühwarnsystem auf Basis einer Erkennung von Anomalien ermöglicht es, unbefugte Zugriffe auf diese Systeme zu identifizieren und schnellstmöglich zu unterbinden. Diese Cyberattacken auf IC-Systeme finden nämlich meist über reguläre IT-Technik und die verbundenen Netzwerke statt. Das Monitoring der Netzwerkaktivitäten mach es möglich, Zugriffe zu erkennen und zu protokollieren.

Welche Aktivitäten erkennt ein IT Security Frühwarnsystem als Anomalie?

Es gibt eine Reihe von Aktionen, die ein solches IT Security Frühwarnsystem identifiziert. Grundsätzlich sind dies alle Aktivitäten, die von der Norm abweichen. Bei modernen Tools für das Netzwerkmonitoring kommt ggf. auch Künstliche Intelligenz (KI) zum Einsatz. Diese bewertet die Vorgänge und entscheidet, ob eine bestimmte Aktivität verdächtig ist oder nicht. Zu solchen Anomalien gehören unter anderem Zugriffe zu ungewohnten Zeiten oder auffällige Ereignisse, wie ein Port- oder Adress-Scan. In ICS-Netzwerken sind dies darüber hinaus Abweichungen vom regulären Protokoll oder außergewöhnliche Sensordaten.

Welche Lösungen eignen sich für das Netzwerkmonitoring und die Anomalieerkennung?

Die Umsetzung der beiden Konzepte erfordert zwei Komponenten. Zum einen ist dies die technische Lösung. Zum anderen aber auch die Ressourcen. Nur wenn beide Punkte erfüllt sind, sind schnelle Reaktionen möglich. Netzwerkmonitoring und auch eine Anomalieerkennung verfehlen ihren Sinn, wenn keine schnelle Handlung gewährleistet ist. In der Praxis wird häufig ein Security Operations Center (SOC) für die Umsetzung eingesetzt. Das SOC ist eine besondere Abteilung der IT Security. Diese überwacht 365 Tage im Jahr und zu jeder Tageszeit die Aktivitäten im Netzwerk sowie die eingehenden Meldungen und Warnungen. Mit einem entsprechend hohen Aufwand ist die Einrichtung eines SOC verbunden. Für kleine und mittlere Unternehmen ist es in aller Regel undenkbar, ein solches SOC einzurichten und mehrere Personen abzustellen, um ein IT Security Frühwarnsystem einzurichten.

Der technische Aspekt lässt sich mit Software umsetzen. Es gibt eine Vielzahl an Programmen für das Netzwerkmonitoring. Diese Programme analysieren in Echtzeit die Vorgänge im Netzwerk und stellen entsprechende Berichte bereit. Jedoch ist Personal für die Auswertung erforderlich. Die Software allein sorgt für keinerlei Sicherheit. Sie informiert nur übersichtlich über die Aktivitäten im Netzwerk. Ein IT-Sicherheitsexperte überwacht und analysiert diese Meldung. Er wird sofort aktiv, falls verdächtige Aktivitäten vorliegen. Erfolgt keine lückenlose Kontrolle der eingehenden Meldungen in Echtzeit, ist das IT Security Frühwarnsystem nicht effektiv. Hacker haben dann ausreichend Zeit, das Netzwerk ungestört zu infiltrieren und den Cyberangriff zu starten.

Managed Services - Profitieren von Konzepten, die optimal zum Unternehmen und Bedarfssituation passen.

Um dies zu verhindern und unabhängig vom Einsatz eigener Ressourcen zu sein, bietet sich ein Managed Security Service wie Active Cyber Defense von secion an. Der Service überwacht automatisch und laufend alle Netzwerkaktivitäten. Unternehmen, die als IT-Sicherheitslösung den Active Cyber Defense Service einsetzen, sind weder für die Einrichtung noch die Kontrolle der Netzwerkaktivitäten verantwortlich. Diese Aufgaben übernimmt secion als Dienstleister. Im laufenden Betrieb erfasst der Active Cyber Defense Service alle Aktivitäten innerhalb des Netzwerks. Es erfolgt eine Auswertung des Datenverkehrs, der Zugriffe auf das Netzwerk und weiterer Faktoren, an denen sich anomale Aktivitäten in Netzwerken erkennen lassen. Somit ist der Active Cyber Defense Service auch dafür geeignet, Zugriffe auf IC-Netzwerke zu kontrollieren. Im Falle einer auffälligen Aktivität im Netzwerk sendet der Active Cyber Defense Service unverzüglich eine Warnmeldung an das secion-eigene SOC-Team, das den Vorfall analysiert und gegebenenfalls Maßnahmen ergreift. Somit ist eine Reaktion in Echtzeit sichergestellt. Der Active Cyber Defense Service von secion agiert damit als effektives IT Security Frühwarnsystem und sorgt so für einen aktiven Schutz vor Cyberbedrohungen.

Wie akut der Bedarf einer solchen aktiven Abwehr von Cyberbedrohungen ist, zeigt sich an zwei Punkten: Zum einen sind die immer häufiger auftretenden verheerenden Cyberangriffe ein Beleg dafür, dass viele Netzwerke nach wie vor eklatante Schwächen aufweisen. Betroffen sind immer häufiger auch KRITIS-Betreiber sowie öffentliche Einrichtungen. Besonders die gefährlichen Attacken mit Ransomware machen hier Schlagzeilen in den Nachrichten, wie zuletzt bei dem Hack der Colonial Pipeline in den USA oder auch dem Angriff auf die IT-Verwaltung des Landkreises Anhalt-Bitterfeld.

Zum anderen zeigen auch die Gesetzesänderungen, dass dringender Handlungsbedarf vorhanden ist. Die Bundesregierung hat mittlerweile das IT-Sicherheitsgesetz 2.0 verabschiedet. Dieses widmet sich besonders der Abwehr von Cyberbedrohungen im Bereich der kritischen Infrastruktur (KRITIS). So besteht seit Mitte Mai 2021 für bestimmte Unternehmen die Pflicht, Systeme für eine aktive Angriffserkennung zu implementieren. Dies betrifft in erster Instanz KRITIS-Betreiber wie Organisationen aus den Bereichen Energie, Transport, Verkehr oder Ernährung. Das Gesetz schreibt vor, dass Systeme vorhanden sein müssen, die in der Lage sind, im laufenden Betrieb Parameter sowie Merkmale kontinuierlich und automatisch zu erfassen. Ebenfalls muss eine Auswertung in Echtzeit gewährleistet sein. Diese gesetzlichen Vorgaben sind auch für Unternehmen aus anderen Bereichen ein Weckruf. Ohne ein effizientes IT Security Frühwarnsystem sind Organisationen den gezielten und raffinierten Advanced Persistent Threats (APT) häufig schutzlos ausgeliefert. Dies öffnet den Weg für die besonders gefährlichen Ransomware-Attacken. Mit vergleichsweise geringen finanziellen und organisatorischen Mitteln ist es hingegen bereits heute möglich, sich effektiv vor solchen APTs zu schützen. Als IT-Sicherheitslösung ist der Active Cyber Defense Service von secion zu nennen.

In absehbarer Zeit ist davon auszugehen, dass gesetzliche Vorgaben Methoden zur aktiven Abwehr für Cyberangriffe für andere Unternehmen verpflichtend vorschreiben oder zumindest empfehlen. Abgesehen davon ist es im eigenen Interesse eines jeden Unternehmens, eine IT-Sicherheitsstrategie zu implementieren, die das eigene Netzwerk bestmöglich vor allen potenziellen Gefahren schützt. Zu einer solchen Strategie gehört auch ein IT Security Frühwarnsystem mit einem Netzwerkmonitoring und der Erkennung von Anomalien.

Fazit

Die stetig wachsende Zahl an Cyberangriffen macht deutlich, dass ein IT Security Frühwarnsystem für die Abwehr von Cyberbedrohungen immer wichtiger wird. Ein solches System lässt sich mithilfe des Netzwerkmonitorings und einer Anomalieerkennung umsetzen. Grundlage für eine effiziente Umsetzung ist jedoch eine lückenlose Kontrolle und Analyse der Daten. Dies aus den eigenen Ressourcen zu gewährleisten, ist kosten- und zeitintensiv. Deshalb ist es für die meisten kleinen und mittleren Unternehmen herausfordernd, diese Funktionen mit eigenen Mitteln umzusetzen.

Die Auslagerung der Anomalieerkennung an einen IT-Security Dienstleister ist aus diesem Grund sinnvoll. Secions Managed IT Security Service ACD stellt die entsprechenden Funktionen für die proaktive Netzwerküberwachung bereit und ermöglicht so die schnelle Reaktion auf außergewöhnliche Aktivitäten. Auf diesem Weg bauen Unternehmen ein effektives IT Security Frühwarnsystem auf, ohne ein eigenes SOC betreiben zu müssen. Besonders für KRITIS und Unternehmen mit ICS-Netzwerken sind solche Lösungen in der Zukunft notwendig, um die IT-Sicherheit zu gewährleisten.

Wie stellen Sie Anomalieerkennung sicher? Kontaktieren Sie uns - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück