3. Bedrohungslandschaft und Angriffsvektoren
3.1 Klassifikation von Bedrohungen
Bedrohungen der IT-Sicherheit lassen sich nach verschiedenen Kriterien systematisieren:
Nach Ursprung:
- Externe Bedrohungen (Cyberkriminelle, staatliche Akteure, Hacktivisten).
- Interne Bedrohungen (unzufriedene Mitarbeiter, Fahrlässigkeit).
- Systemimmanente Bedrohungen (technische Ausfälle, Naturkatastrophen).
Nach Intention:
- Vorsätzliche Angriffe (Malware, Social Engineering, Advanced Persistent Threats).
- Fahrlässige Handlungen (unsichere Passwörter, mangelnde Updates).
- Zufällige Ereignisse (Hardware-Defekte, Softwarefehler).
Nach Angriffsziel:
- Datenorientierte Angriffe (Datendiebstahl, Datenlöschung).
- Systemorientierte Angriffe (Systemübernahme, Denial of Service).
- Netzwerkorientierte Angriffe (Man-in-the-Middle, Session Hijacking).
3.2 Relevante Angriffstypen
Malware: Schadsoftware umfasst Viren, Trojaner, Ransomware und Spyware. Gemein haben all diese Angriffsarten, dass das betroffene System infiltriert wird und entweder Daten ausgelesen, bzw. mitgelesen oder blockiert werden können. Insbesondere Ransomware-Angriffe haben in den vergangenen Jahren exponentiell zugenommen und stellen für Unternehmen und kritische Infrastrukturen eine erhebliche Bedrohung dar.
Social Engineering: Psychologische Manipulation von Personen zur Umgehung technischer Sicherheitsmaßnahmen. Phishing, Pretexting und Baiting sind gängige Techniken. Bedeutet, man „bedient sich der Personen“, die mit der Software arbeiten und erhält durch diese eine Zugriffsmöglichkeit.
Zero-Day-Exploits: Ausnutzung bisher unbekannter Schwachstellen, die weder den Entwicklern noch anderen, die sie beheben können, bekannt sind und somit ausgenutzt werden können bis Sicherheits-updates verfügbar sind.
Advanced Persistent Threats (APT): Langfristig angelegte, gezielte Angriffe hochqualifizierter Akteure, typischerweise mit staatlicher Unterstützung, zur Spionage oder Sabotage.
4. Technische Sicherheitsmaßnahmen
4.1 Präventive Maßnahmen
Kryptographie: Verschlüsselungsverfahren (symmetrisch und asymmetrisch) bilden die Grundlage für die Sicherung der Vertraulichkeit und Integrität von Daten. Der Einsatz aktueller Verschlüsselungsstandards (z.B. AES-128,192 oder 256, TLS, RSA, OpenPGP, Post-Quantum-Kryptographie) ist essentiell. Das BSI gibt auch immer wieder technische Richtlinien für den Einsatz aktueller Verschlüsselungsverfahren heraus (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html).
Zugriffskontrollen: Implementierung des Prinzips der minimalen Rechtevergabe (Principle of Least Privilege) und rollenbasierter Zugriffskontrolle (RBAC). Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit erheblich.
Netzwerksegmentierung: Aufteilung des Netzwerks in logische Segmente zur Begrenzung der lateralen Bewegung von Angreifern innerhalb des Netzwerks. Solche Sicherheitsmaßnahmen werden bereits von der Datenschutz-Compliance gefordert.
Secure Software Development: Integration von Sicherheitsaspekten in den gesamten Softwareentwicklungszyklus (Security by Design). Code-Reviews, statische und dynamische Codeanalyse sowie Penetrationstests sind unverzichtbar.
4.2 Detektive Maßnahmen
Intrusion Detection Systems (IDS): Automatisierte Erkennung von Angriffsmustern durch signatur- oder anomaliebasierte Verfahren.
Security Information and Event Management (SIEM): Zentrale Sammlung, Korrelation und Analyse von Sicherheitsereignissen aus verschiedenen Quellen zur Erkennung komplexer Angriffsmuster.
Logging und Monitoring: Umfassende Protokollierung von Systemereignissen und kontinuierlicher Echtzeit- Überwachung zur frühzeitigen Erkennung von Sicherheitsvorfällen. Während das Logging auf die strukturierte und nachvollziehbare Erfassung einzelner Ereignisse und Systemzustände abzielt, dient das Monitoring der fortlaufenden Echtzeitüberwachung zur Analyse von Leistungsparametern und Systemverhalten. In ihrer funktionalen Ergänzung bilden beide Instrumente eine zentrale Grundlage für die Gewährleistung der Systemstabilität sowie für eine zeitnahe und effektive Reaktion auf sicherheitsrelevante oder betriebliche Vorfälle.
4.3 Reaktive Maßnahmen
Incident Response: Etablierung strukturierter Prozesse zur Bewältigung von Sicherheitsvorfällen, umfassend Identifikation, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung (Post-Incident Analysis).
Backup und Disaster Recovery: Regelmäßige Datensicherungen und getestete Wiederherstellungsverfahren zur Minimierung von Datenverlusten und Ausfallzeiten.
Patch Management: Systematische und zeitnahe Installation von Sicherheitsupdates zur Schließung bekannter Schwachstellen.
