Attacken und deren Abwehr sind nicht nur Themen im Internet, sondern auch im Sport. Zum Beispiel im Kampfsport: Neben dem Willen zum Sieg, Talent und hartem Training ist es ausschlaggebend, so vielseitig und flexibel wie möglich zu sein, seinen Gegner zu studieren und seine Stärken und Schwächen zu kennen. Ein Sportler, der sich zu stark auf sich selber konzentriert, kann auf Dauer nicht bestehen. Er wird früher oder später auf einen Gegner treffen, der genau diese Schwäche auszunutzen weiss.
Um den Bogen vom Sport wieder zurück zum Thema zu spannen: Die Stärke der Flexibilität ist auch in der IT-Sicherheit von hoher, angesichts der modernen Art von Angriffen vielleicht sogar von entscheidender Bedeutung. Nötig ist dabei eine hohe Flexibilität, die einen auf die sich laufend ändernden Bedrohungen und Risiken optimierten, wirksamen Schutz zu realisieren erlaubt.
Eine mögliche erfolgreiche Methodik zum adaptiven Schutz besteht im wesentlichen aus vier Elementen:
1. Kenntnis der Angreifer, deren Stärken und Schwächen. Analyse der Bedrohung und des relevanten Risikos;
2. Kenntnis der eigenen Systeme (inklusive derjenigen der Kunden und Partner) und der zulässigen Aktivitäten auf den Applikationen und Daten. Analyse der eigenen Stärken und Schwächen;
3. Definition von Regeln zur Beurteilung des Missbrauchsrisikos von Abläufen und Aktivitäten auf den Systemen. Bestimmen von Schutzaktionen bei hohem Risiko und damit zur Abwehr von Angriffen;
4. Überwachung des produktiven Betriebs. Echtzeit-Beurteilung des Risikogrades und Auslösen von Aktionen bei hohen Risiken.
Der Erfolg basiert auf der Qualität der Regeln und der Wirksamkeit der Schutzaktionen. Diese sind individuell, und im Gegensatz zu wenig flexiblen Sicherheitssystemen ist daher für den Angreifer die Art und Effektivität des Schutzes nicht abschätzbar. Das erschwert dem Angreifer ein Ausnutzen etwelcher Schwächen sehr stark, da er diese in der Regel gar nicht kennen kann.
Die Beurteilung der Bedrohung und der Risiken für ein Unternehmen, dessen Kunden und Partner bestimmt den Aufwand, der in die einzelnen, voneinander abhängigen Schritte investiert wird. Ein Start mittels einigen einfachen Grundregeln und Aktionen kann nach geringem Aufwand erfolgen. Danach wird das Regelwerk je nach Bedarf sukzessive verfeinert und verbessert.
Adaptiver Schutz in vier Stufen
Strategie, Taktik, Stärken und Schwächen des Gegners: Je mehr man darüber erfahren und je besser man sich darauf einstellen kann, desto besser. Moderne Internetattacken haben heute hauptsächlich folgende Ursprünge:
- Organisiertes Verbrechen: Ziel ist die eigene Bereicherung durch zum Beispiel Kreditkartenbetrug, Wiederverkauf gestohlener Informationen oder verfälschte Banktransaktionen.
Möglichst gute Kenntnisse der eigenen Stärken und Schwächen erlauben eine gezielte Betonung der Stärken und eine Maskierung der Schwächen.
Im Falle von E-Business-Applikationen geht es darum, die verwendeten legitimen Systeme und Verhaltensweisen zu kennen. Zum Schutz einer B2C-Applikation werden zum Beispiel folgende Profile und Informationen erstellt und gepflegt:
Allgemeine Sicherheitsgrundsätze und spezifische Regeln werden formuliert, damit sie automatisch angewendet werden können. Sie beruhen stark auf den verfügbaren Informationen über Angreifer und eigene Systeme und Aktivitäten und erlauben, normale Aktivitäten von Attacken zu unterscheiden.
Zum Beispiel kann man im Fall einer B2C-Applikation nicht davon ausgehen, dass ein Benutzer nach Eingabe einer korrekten Benutzernamen/Passwort-Kombination auch wirklich der legitime Benutzer ist. Ein Angreifer kann mittels einer erfolgreichen Social-Engineering- oder Pharming-Aktion diese Informationen gestohlen haben.
Eine einfache Regel kann nun lauten, dass wenn ein Benutzer ein bisher von ihm nicht verwendetes Gerät benutzt, der Risikograd einer Attacke erhöht wird. Mittels weiteren Regeln (einfache Beispiele: Verwendung eines neuen Providers, eines neuen Browsers und so weiter) wird der Risikograd weiter angepasst. Versucht besagter Benutzer plötzlich untypische Aktionen auszulösen, wird das Risiko weiter erhöht, und bei Überschreitung definierter Schwellwerte werden automatisch Aktionen ausgelöst.
Aktionen können zum Beispiel Transaktionen stoppen oder eine zusätzliche, stärkere Authentisierung verlangen. So kann der Benutzer beispielsweise zur Angabe weiterer Informationen wie Antworten auf vordefinierte Fragen oder der Eingabe eines One-time-Passworts (das über einen anderen Kanal wie zum Beispiel SMS übermittelt wird) aufgefordert werden. Bei noch höheren Risikograden können Sessionen unterbrochen, Konten gesperrt und zusätzliche Regeln, die spezifisch auf das neue Angreiferprofil zuge-schnitten sind, erstellt werden.
Neben der Analyse der historisierten Daten und der reaktiven Anpassung von Regeln und Aktionen ist natürlich die proaktive Verhinderung von Attacken ausschlaggebend.
Für jede Session wird aufgrund der Profile und Regeln ein laufend aktualisierter Risikograd geführt, der sich möglicherweise mit jeder Aktion des Benutzers verändert. Ist das Risiko schon beim Zugangsversuch zu hoch, wird der Angriff bereits dort gestoppt. Hat ein Angreifer sich erfolgreich als legitimer Benutzer ausgeben können, werden insbesondere vor Ausführung von Transaktionen oder vor Einsicht in sensitive Daten der aktualisierte Risikograd mit den Schwellwerten verglichen und allenfalls entsprechende Aktionen ausgelöst.
Wird zum Beispiel während einer Session eine zusätzliche Authentisierung verlangt und ist diese erfolgreich, kann der Risikograd herabgesetzt und die vom Benutzer verlangte Transaktion oder Einsicht möglicherweise freigegeben werden. Schlägt die zusätzliche Identifikation fehl, können stärkere Aktionen, im Extremfall die Sperrung des Kontos, die Sperrung des Benutzers und die Benachrichtigung des echten Benutzers über einen anderen Kanal ausgeführt werden.
Überwachung des Betriebs am Beispiel des Adaptive Access Manager
Die beschriebene Methodik ist ohne eine entsprechende Unterstützung durch geeignete Werkzeuge nicht umsetzbar. Die Überwachung des Betriebs muss sehr performant erfolgen, Aktionen müssen mit anderen Systemen, wie etwa einem CRM-System für Rückrufe, integriert werden. Die Analyse der Daten und die Definition und Pflege der Regeln muss möglichst einfach verständlich und benutzerfreundlich sein. Über Analysefunktionen und informative Reports sollen die Methodik und deren Umsetzung jederzeit verbesser-, überprüf- und belegbar sein.
Die Einführung eines entsprechenden Werkzeugs erfolgt am besten stufenweise. Ein guter Einstieg kann durch die Einführung einer virtuellen, starken Authentisierung erfolgen. Diese ist Server-basiert und kommt ohne die aufwendige und teure Verteilung von Software oder Hardware an die Benutzer aus.
Pharming-Attacken können zum Beispiel durch die Verwendung individueller Eingabemasken verhindert werden. Der Benutzer erkennt anhand eines von ihm gewählten Hintergrundbildes sofort, ob er mit dem gewünschten Server verbunden ist oder nicht. Die Eingabe von Benutzernamen, Passwörtern und Antworten auf vordefinierte Fragen kann über eine virtuelle Tastatur erfolgen, was den Diebstahl von Log-in-Informationen durch Keylogger verunmöglicht.
Zusammen mit der Verwendung von grundlegenden Profildaten des Benutzers kann eine effektive und doch kosteneffiziente Multi-Faktor-Authentisierung verwirklicht werden. Die folgenden Faktoren werden verwendet:
1. Wissen: Passwort, Antworten auf Probefragen
2. Haben: Geräteprofil
3. Sein: Standortprofil, Verhaltensprofil
Geräte- und Standortprofil können sehr rasch gebildet und verwendet werden. Das Verhaltensprofil wird über die Zeit verfeinert, und alle Profile werden dann für die laufende Risikobeurteilung herangezogen. Falls für bestimmte Applikationen und Benutzer bereits starke Authentisierung über Tokens, Smartcards oder andere Methoden vorhanden sind, können diese natürlich integriert und weiterverwendet werden.
Durch die Anwendung der beschriebenen Methode kann ein flexibler und wirksamer Schutz gegen moderne Internetattacken realisiert und aufrechterhalten werden. Der Einstieg erfolgt über schnelle Erfolgserlebnisse, wie zum Beispiel eine virtuelle, starke Authentisierung, und wird dann schrittweise weiterentwickelt, bis zum optimierten adaptiven Schutz.
Ähnlich wie im anfangs erwähnten Kampfsport führen auch in der Internet-Security Flexibilität, die Fähigkeit, sich wechselnden Verhältnissen anzupassen, und der Wille, sich ständig zu verbessern, letztlich zum Erfolg.
