Schutz vor Cyberangriffe

Werden in Zukunft abgehärteten Sicherheitslösungen eingesetzt?

Bild: ©tippapatt/stock.adobe.com

Flughäfen in Deutschland, Postdienste in Großbritannien und Krankenhäuser in Frankreich: Cyberangriffe kennen keine Grenzen. Jede Organisation kann zum Ziel von Cyberangriffen werden. Doch das bedeutet nicht zwangsläufig, ein Opfer zu werden. Werden 2023 ‚abgehärtete‘ Cybersicherheitsprodukte Fuß fassen? Seit Ende 2014 wurden mehrere zivile Unternehmen angegriefen – unabhängig von dessen Größe und den getroffenen Cybersicherheitsmaßnahmen. Leider kursieren immer noch solche ausgefeilte Angriffe. Die Techniken wurden dabei weiterentwickelt und zielen nun auf die Cybersecurity-Produkte selbst ab. Durch die Deaktivierung oder Kompromittierung der Schutzlösung erhoffen sich Cyberkriminelle, eine Sicherheitslücke nutzen zu können, um erweiterte Privilegien auf der infizierten Maschine zu erlangen. Das von den Produkten gebotene Sicherheitsniveau muss daher ständig überwacht und abgehärtet werden, denn – wie der CISA-Katalog der bekannten Schwachstellen veranschaulicht – kein Anbieter ist gegen diese Attacken immun. Aus diesem Grund wird das Thema Stärkung und Abhärtung (Hardening auf Englisch) von Sicherheitsprodukten zu einer großen Herausforderung. Dieser Ansatz wurde ursprünglich in der militärischen Welt entwickelt, um hochsensible IT-Ressourcen zu schützen, und besteht darin, „die Angriffsfläche eines Systems, einer Software oder eines Produktes zu reduzieren, um es sicherer zu machen“, erklärt Uwe Gries, Country Manager DACH bei Stormshield. In der Praxis auf System- oder Infrastrukturebene umfasst der Abhärtungsansatz eine Kombination von Techniken: eine optimale Konfiguration von Betriebssystemen, eine regelmäßige Überprüfung von privilegierten Konten und Firewall-Regeln, Beschränkungen für zugelassene IP-Adressen und strengere Regeln im Zusammenhang mit der Verwendung von Passwörtern. Im Bereich der Cybersicherheitslösungen kann die Abhärtung (beispielsweise) in Form einer Microservices-Architektur oder der Umsetzung vom Prinzip des geringsten Privilegs für Dienste erfolgen. Für Anbieter stellt es eine Aussage von Qualität und Professionalität dar: „Die Intention ist es, zu verhindern, dass das Cybersicherheitsprodukt für bösartige Zwecke missbraucht wird, z.B. als Trojaner oder durch das Einfügen von Hintertüren“, fügt Gries hinzu. „Immer mehr öffentliche Ausschreibungen vom Staat oder von öffentlichen Strukturen wie Krankenhäusern enthalten spezifische Anforderungen in Bezug auf Sicherheitsaspekte und die Notwendigkeit, abgehärtete Produkte zu implementieren“, bemerkt Gries.

Obwohl sich militärische Informationssysteme von zivilen unterscheiden, weisen sie ähnliche Eigenschaften sowie gemeinsame Technologien, Hardware und Software auf. Aufgrund der hochsensiblen Infrastruktur und Daten, die sie schützen, müssen Cybersicherheitsprodukte militärischen Grades besondere Anforderungen erfüllen – beispielsweise durch bestimmte Konfigurationen. Es bleibt nur noch, Best-Practice-Übergänge zu schaffen. Die Abhärtung der Produkte bietet einen solchen Übergang. Die Vertrauenswürdigkeit der Lösung ist ein weiteres und ebenso wichtiges Merkmal. Einige europäische Länder haben Qualifizierungsprogramme für Cybersicherheitsprodukte durch ihre nationalen Sicherheitsgremien entwickelt (wie die ANSSI in Frankreich, das BSI in Deutschland, die ACN in Italien, das CCN in Spanien und das NCSC in Großbritannien). Um eine zwischenstaatliche Anerkennung der Qualifikationen zu ermöglichen, wurde eine europäische gegenseitige Vereinbarung unterzeichnet. Das Ziel ist einfach: robuste, zuverlässige Lösungen für den Schutz sensibler Dienste zu identifizieren. Die ANSSI definiert ein qualifiziertes Produkt als robust und teilt diese Qualifikation Produkten zu, die die Anforderungen der ANSSI erfüllen und, basierend auf einer Analyse des Quellcodes für den Software-Teil, nach strengsten Kriterien zertifiziert sind. Zudem müssen sie noch garantiert frei von Backdoors sein. Diese Definition zeigt deutlich, dass diese Lösungen nicht nur für militärische Zwecke gedacht sind. Tatsächlich nutzen bereits einige zivile Unternehmen qualifizierte Sicherheitsprodukte: Die europäische NIS2-Richtlinie umfasst auch Subunternehmen und Dienstleister mit Zugang zu kritischen Infrastrukturen in der Riege der wesentlichen und wichtigen Organisationen. Dies sind alles zivile Unternehmen, die sich nun mit dem Konzept der Qualifikation beschäftigen sollten.

Wenn eine robuste, zuverlässige Sicherheitslösung sensible Regierungsdienste schützen kann, ergibt es auch Sinn, sie zum Schutz sensibler Unternehmensdaten zu verwenden. „Bei Stormshield konzentrieren wir uns darauf, robuste, schlüsselfertige Produkte durch intensive Integrations- und Entwicklungsarbeit zu liefern“, erklärt Gries. Qualifizierte und abgehärtete Sicherheitsprodukte sind sowohl für den militärischen als auch für den zivilen Einsatz geeignet. Man braucht lediglich einen vertrauenswürdigen Partner.

Das könnte Sie auch Interessieren