Die letzten Tage waren gelinde gesagt interessant, der Bundestag wurde wieder einmal gehackt und niemand weiß mehr als vorher. Mit all den fake News und Berichten ist es sehr schwer zu unterscheiden, was an diesem neuen Verstoß real ist und was nicht, oder ob es wirklich ein neuer Verstoß war.
Was wir beobachten, ähnelt einer schlecht choreographierten Tanzshow, bei der niemand weiß, was die anderen Personen tun. In deren Mitte haben wir den Kunden, der von Lieferanten und Supportern umgeben ist, die mit dem Schutz des Kunden betraut sind.
Die Koordination der wichtigsten Aufgaben während eines Verstoßes oder eines Sicherheitsvorfalls ist entscheidend und ausschlaggebend für den täglichen Betrieb und die eventuelle Rückkehr zur Normalität. Was wir bis zu einem gewissen Grad kritisch beobachten, ist die Behauptung einiger Zulieferer, dass ihre Netzwerke nie berührt werden oder betroffen waren. Eine forensische Analyse und ein kritischer Denker dürften diese unbewiesene Behauptung schnell in Frage stellen.
Und es ist unbewiesen, und was noch schlimmer ist, einfach grundsätzlich falsch! Warum? Naja, wenn die Netzwerke meiner Kunden von mir verwaltet werden, wie sind dann die Netzwerke nicht auf irgendeine Weise miteinander verbunden? Wenn sie es nicht sind, wie kann dieser Lieferant dieses Netzwerk wirklich so verwalten, als wäre es sein eigenes? Es riecht alles ziemlich “seltsam”, gelinde gesagt.
Konzentrieren wir uns also für einige Minuten darauf auf das Wer, das Wie, und wo diese Vorfälle als Prozesse definiert sind und was passiert – was denken Sie, ist das im “Grundschutzhandbuch” des BSI, in der Sicherheitsrichtlinie oder anderswo?
Es ist tatsächlich in ITIL sehr gut definiert, ja, ITIL!
ITIL, dieses Schimpfwort unter den meisten Hackern, Crackern und Sicherheitsberatern mit übermäßig aufgeblähten Egos. Dies (und andere Gründe) sind der Grund, warum die meisten Junior-Sicherheitsexperten ihre Sicherheitskonzepte und -architekturen nicht richtig und sicher umsetzen.
Wenn Sie ein bisschen so sind wie ich, waren Sie dabei, als die Räder gerade erst entwickelt wurden. Kurz danach beobachteten wir die Entstehung der ersten Versionen der britischen “Information Technology Infrastructure Library”, oder ITIL.
ITIL ist so wichtig, dass wir wahrscheinlich die einzigen Security-Trainer und das einzige Unternehmen in dieser Hinsicht sind (glaube ich), welches unsere Zertifizierungen damit beginnen und die Bedeutung der Kenntnis von ITIL unterstreichen! ITIL hilft Ihnen, wenn es richtig angewendet wird, Prozesse, Verfahren und die Arbeitsweise verschiedener Teams zu implementieren und vor, während und nach eines Angriffs oder Vorfalls wirksam und richtig zu kommunizieren.
Was wir auf der Grundlage der schnellen Reaktion einer bestimmten Behörde (in diesem speziellen Fall) sehen können, ist die Sicherheit ihrer eigenen Netzwerke, und damit darauf hinzuweisen, dass sie das Kundennetzwerk nicht als gleichwertig oder sicher angesehen haben. Die Reaktionen zeigen ebenfalls, dass sie wahrscheinlich nicht viel Bewusstsein für und Schulung in klassischen ITIL-Prozessen und -Verfahren haben, die sich mit Incident Response, Incident Management und Knowledge Management befassen.
Es ist wirklich bedauerlich, denn genau diese Leute glauben, dass sie die Netzwerke auditieren können, die jetzt von einem 20-jährigen Schüler geknackt wurden (wenn die Story wahr ist), der Zugang zu einem der kritischsten und wichtigsten Netzwerke und entsprechenden Daten in Deutschland hatte.
Warum schreiben wir das und weisen auf diese Umstände hin? Nun, wir können Ihnen beibringen, wie man das richtig machen kann; und zwar nicht, indem wir mit dem Finger auf Fehler zeigen und wild um uns schlagen, sondern indem wir Szenarien wie dieses und andere durchgehen, die Ihnen helfen können, Angriffe zu verhindern oder sie sogar zu erkennen, bevor sie zu einem erfolgreichen Einbruch werden.
Wenn Sie mehr erfahren möchten, fordern Sie bitte Informationen über unsere HDN Academy-Kurse und unseren Risk Intelligence-Ansatz und unsere Plattform CyberNSight an.