Insights
Wie sich Behörden mit Angriffserkennung vor Cyberangriffen schützen
Mitarbeiter im VS-NfD-Umfeld sind immer häufiger im Home Office tätig oder arbeiten mobil von unterwegs. Mit ihren sensiblen Informationen sind sie damit besonders attraktive Ziele für Cyber-Angriffe. Wie lassen sich solche dynamischen IT-Landschaften umfassend und rechtskonform nach IT-Grundschutz absichern?
Während der COVID-19 Pandemie lag der Fokus vieler IT-Sicherheitsverantwortlichen darauf, mobile IT-Infrastrukturen gegen Angriffe von außen zu schützen. Nicht nur die Frequenz und Anzahl, sondern auch die ausgefeilte Durchführung der Attacken stellen eine große Herausforderung für die IT Security dar. Wichtig zu wissen ist: Derzeit werden mehr als 80 % der zielgerichteten Angriffe von Innentätern bewusst oder unbewusst gestartet. Dadurch werden weitere Zonen der IT-Infrastrukturen bzw. Rechnernetzwerke infiziert und kompromittiert. Dabei findet oft über einen längeren Zeitraum keine Kommunikation an die Angreifer außerhalb der Organisation statt, so kann sich z. B. Schadsoftware in dieser Zeit unbemerkt ausbreiten. Beim Auf- und Ausbau mobiler VS-NfD-Ökosysteme sollten diese Risiken priorisiert betrachtet und vollumfänglich und dauerhaft in das IT-Schutzkonzept der Organisation integriert werden.
IT-Grundschutzvorgaben erfüllen
Behörden und Organisationen im Geheimschutz sind zu besonderer Sorgfalt beim Schutz ihrer Kommunikationsinfrastrukturen verpflichtet. Sie müssen bei der Arbeit mit VS-NfD eingestuften Dokumenten bestimmte Vorgaben beachten, etwa beim Einsatz geeigneter IT-Sicherheitstechnologien.
So ist nach IT-Grundschutz DER.1.A9 und DER.1.A16 der Einsatz von Detektionssystemen an ausgewählten neuralgischen Stellen im Netzwerk vorgeschrieben. Diese Systeme sollten nicht nur die wichtigen Übergänge innerhalb der Organisation kontrollieren. Auch das VPN-Gateway wird zum zentralen Knotenpunkt, so dass es mit einem Detektionssystem zur Netzwerküberwachung gekoppelt werden muss. genua schafft u. a. mit speziell dafür zugelassenen VPN-Lösungen die notwendigen technologischen Voraussetzungen, etwa mit genuscreen als VPN-Gateway oder genucard als VPN-Client.
Mit AI, Data Analytics und Anomalieerkennung aktiv auf Bedrohungen reagieren
Da nach DER.1.A17 auch die Möglichkeit der automatischen Reaktion in VS-Verarbeitungsnetzen erforderlich ist, kann diese Lösung keine reine passive Überwachungslösung sein. Sie muss aktiv eingreifen, um gewünschte Kommunikation innerhalb der Netzwerke zu erlauben, dabei zugleich Angriffe oder auch Schatten-IT frühzeitig zu erkennen und zu unterbinden.
Um dies konform zum IT-Grundschutz zu erfüllen, entwickelte genua die IT-Security-Lösung cognitix Threat Defender. Diese erkennt Angriffe und Anomalien und unterscheidet sie von dynamischen, aber gewollten Kommunikationsmustern. Technologisch bietet sie mehrere Vorteile, die den Aufbau zukunftsfähiger Sicherheitssysteme in VS-NfD-Netzwerken maßgeblich unterstützen. Eine besondere Rolle spielen die folgenden Funktionen:
Analyse des gesamten Datenstroms in Echtzeit
Per transparentem Inline-Processing analysiert cognitix Threat Defender den gesamten Datenstrom. Dies wird mit Meta-Informationen aus dem Datenstrom sowie aus externen Quellen wie Intrusion Detection Systemen (IDS) und Threat-Intelligence-Plattformen angereichert und über Zeit und Netzwerkteilnehmer korreliert. Dabei erfährt man, wer im Netzwerk mit wem wann kommuniziert: cognitix Threat Defender zeigt aufsummiert, welche Assets in der letzten Stunde oder den vergangenen 30 Tagen wie viel Datenverkehr initiiert (Source Assets) bzw. beantwortet (Destination Assets) haben sowie den Datenverkehr zwischen den Assets.
Auf Basis dieser und weiterer Informationen modelliert der Anwender das mögliche Verhalten der Akteure bzw. Devices im Netzwerk, so dass unerwünschtes oder unbekanntes Verhalten zur Alarmierung der IT-Sicherheitsverantwortlichen oder zu dessen automatischer Unterbindung führen kann.
Sofortige Reaktion auf Unregelmäßigkeiten und Bedrohungen
Dieses aktive Eingreifen und Blockieren der Kommunikation erweitert das Spektrum der Reaktionsmöglichkeiten von einer dynamischen Zonierung (nur einzelne Netzbereiche werden als Kommunikationspartner gesperrt) bis hin zu vollständiger Isolation (infizierten Geräten wird jegliche Kommunikation im Netzwerk untersagt). Somit wird eine Reaktion auf Unregelmäßigkeiten und Bedrohungen in Echtzeit ermöglicht.
Die Kommunikation zwischen den Clients bzw. den Außenstellen und der Zentrale sowie die Kommunikation im internen Netzwerksegment wird zusätzlich mit der Detection & Response Funktion von cognitix Threat Defender abgesichert. Dabei erfolgen eine Analyse und Verhaltensmodellierung des gesamten Netzwerkverkehrs inkl. der Netzwerkteilnehmer. Mittels AI-gestützter Funktionen wie einer Protokoll-/Applikationserkennung der Deep Packet Inspection (DPI) und einer musterbasierten IDS erhält der Anwender ein vollständiges Bild der Kommunikation. Je nach Schutzbedürfnis können Vorfälle dann "nur" an ein Security Incident und Event Management (SIEM) gemeldet oder direkt mit Sanktionen belegt werden.
Absicherung von Videotelefonie und VoIP
Die im Home Office üblichen Videokonferenzen sind durch eine Kombination mit weiteren Lösungen von genua ebenfalls geschützt. So sorgt zum Beispiel genuscreen durch Einhaltung der Technischen Richtlinien TR-02102-1 und TR-02102-3 des BSI für die sichere Kommunikation der VPN-Teilnehmer. Um Videotelefonie und VoIP sowie kollaborative Arbeitsmethoden effektiv nutzen zu können, ist eine Kommunikation der VPN-Teilnehmer untereinander im internen (entschlüsselten) Bereich, aber auch zu den Workstations erlaubt. Ein VoIP-Telefonat wird beispielsweise im VPN-Tunnel von Mitarbeiter A zur VPN-Zentrale übertragen, dort entschlüsselt und zu cognitix Threat Defender weitergeleitet, um dann wieder im Klartext zur VPN-Zentrale und verschlüsselt zu Mitarbeiter B übertragen zu werden.
Insbesondere in Kombination mit genuscreen (als VPN-Gateway oder Core Router) gewährleistet cognitix Threat Defender somit die Vertraulichkeit und Sicherheit der Kommunikation und damit die Absicherung von mobilen NfD-Netzwerken. Als Bestandteil des IT-Security-Ökosystems in Deutschland verfügt genua zudem über eine einzigartige Expertise bei der rechtssicheren Einbindung von IT-Sicherheitstechnologien, sei es beim IT-Grundschutz, der Umsetzung des IT-SiG 2.0 oder weiterer gesetzlicher Vorgaben.
Bildquelle: © engel.ac – stock.adobe.com