Lösung — Überwachung

Deception Systems

Heute als sicher geltende Technologien können morgen schon überholt sein und als Einfallstor für Cyber-Kriminelle dienen. Dazu kommt, das ständig wachsende Arsenal und die steigende Professionalität der Kriminellen. Unzählige Beispiele für die Entdeckung von Schwachstellen in weitverbreiteter Software und deren unbefugter Nutzung stehen stellvertretend für die Subjektivität des Begriffs Sicherheit in der Informationstechnik. Daraus kann abgeleitet werden, dass moderne Systeme für das plötzliche Auftreten von vorher unbekannten Schwachstellen gewappnet sein müssen. Diese Eigenschaft wird Resilienz genannt und kann durch mehrschichtige Sicherheitskonzepte realisiert werden.

Besonders eingebettete Systeme haben dabei ein erhöhtes Risiko. Oft werden aktuelle Patches nicht eingespielt, nicht vom Hersteller bereitgestellt oder der Hersteller existiert nicht mehr. Gepaart mit der verhältnismäßig langen Laufzeit von industriellen Komponenten droht ein Netzwerk aus stark anfälligen Geräten. Dieses Problem wird sich mit der Ausbreitung des Internet der Dinge noch weiter verschärfen. Besonders die Gefahr von Herstellerausfällen ist in einem jungen und fluktuierenden Markt, wie er bei Internet der Dinge-Anwendungen gegeben ist, allgegenwärtig. Ebenfalls eine große Rolle für eine Gefahrenbewertung spielt die erhöhte Gefahr für Leib und Leben durch die verstärkte Verschmelzung physikalischen und der digitalen Welt. So können beispielsweise Roboterarme oder autonome Fahrzeuge nahen Arbeitern in Produktionsstraßen oder vielen weiteren Szenarien verletzen.

Auch das Risiko einer Sabotage der Produktqualität und damit verbundenen Produktausfällen während der Einsatzzeit sind ein denkbares Szenario in welchem nicht nur Gefahr für die Reputation, sondern auch Leib und Leben von Mitarbeitern, Kunden und unbeteiligten Personen droht. Abschließend ist festzustellen, dass absolute Sicherheit digitaler Systeme nicht zu erreichen ist und die Gefährdungslage durch kriminelle Aktivitäten sich rasch verschärft, während der Einfluss digitaler Technologien auf die physikalische Welt zunimmt.

Deception Systems und insbesondere Honeypots sind sogenannte Defense-in-Depth Technologien, also Abwehrsysteme die hinter den primären Schutzmechanismen positioniert sind. Versagen die primären Schutzmechanismen, wie zum Beispiel Firewalls oder Authentifizierungsmechanismen, bewegen sich Angreifer zumeist frei durch das eigentlich als sicher betrachtete Netzwerk und suchen nach lohnenden Zielen, wie zum Beispiel Datenbanken im Falle von Spionageaktivitäten oder Produktionsanlagen im Falle vom Sabotage. Honeypots imitieren solche Ziele und ziehen daher die Aufmerksamkeit der Angreifer auf sich. Dabei imitieren sie nicht nur die realen Systeme, sondern spielen dem Angreifer oft auch eine Sicherheitslücke vor, um ein attraktiveres Ziel darzustellen. Sobald Sie angegriffen werden, kann ein stiller Alarm ausgelöst werden und das genau Vorgehen des Angreifers aufgezeichnet und analysiert werden.

Der große Vorteil dieser Systeme ist die Vermeidung von sogenannten falsch-positiv Klassifizierungen. Diese kommen vor, wenn die Angriffserkennung, zum Beispiel ein regelbasiertes Intrusion Detection System, eine legitime Aktivität als Angriff klassifiziert und einen Alarm auslöst. Studien zeigen, dass Sicherheitsbeauftragte mehrere tausend solcher Alarme pro Tag erleben und daher notgedrungen einem Großteil nicht weiter nachgehen können. Honeypots weisen im Normalbetrieb keinerlei Aktivitäten auf, daher können keine falsch-positiven Alarme ausgelöst werden. Wird eine Aktivität auf dem System erkennt, so muss es sich daher um einen Angriff handeln. Neben den klassischen, Computer imitierenden, Honeypots, bieten Deception Systems ein breites Arsenal an Fallen und Falschinformationen um Angreifer zu täuschen. So können gewöhnliche Dokumente mit falschen Informationen versehen werden oder bei Betrachtung heimlich den PC des Angreifers ausspionieren und damit wertvolle Informationen zum Ursprung und der Motivation des Angriffs liefern.

Deception Systems in Form von Dokumenten werden zu den sogenannten Honeytokens gezählt. Diese Tokens können sich neben üblichen Dokumentformaten auch als Datenbankeintrag, Mailadresse oder Speicherbereich manifestieren. Auch eine als Banking-App getarnte Alarmfunktion auf Mobiltelefonen ist denkbar. Wird die App genutzt, kann beispielsweise automatisch das Telefon gesperrt, ein Alarm ausgelöst oder sensitive Daten auf dem Gerät gelöscht werden.