Hackern die Beute vermasseln
Während die Zahl der Hackerangriffe stetig steigt, kennen viele Unternehmen nicht einmal ihre potenzielle Angriffsfläche. Die bei der Telekom entwickelte Plattform „Fischfang“ schafft Übersicht im Meer der IT und angelt Schwachstellen treffsicher heraus. Auch im Datenschutz hat sich die Lösung bewährt.
In Zeiten der Digitalisierung genügt schon geringes Fachwissen, um Unternehmen und Organisationen anzugreifen und zu schaden. Dabei trifft es auch Organisationen, die üppig in die IT-Sicherheit investieren. Drei Dinge spielen Hackern und Spionen besonders in die Karten: Organisationen mangelt es an Übersicht über ihre IT-Systeme. Die Zahl der veröffentlichten Schwachstellen nimmt zu. Und es ist möglich, Sicherheitslücken innerhalb von Stunden im großen Stil auszunutzen.
Die IT-Infrastruktur vieler Organisationen gleicht einem weiten Meer. Mit einer neuen Lösung geht die Telekom auf Fang nach Schwachstellen.
Vor allem in großen Unternehmen mangelt es an einem Überblick über die IT-Infrastruktur. Stetig kommen neue Anwendungen oder Features hinzu – und damit mögliche Einfallstore. Multicloud-Strategien und künftige 5G-Anwendungen machen die Lage zusätzlich unübersichtlich.
Plattformbetreiber und Softwareanbieter melden vermehrt Sicherheitslücken. Die Betreiber der Open-Source-Sicherheitsplattform „Snyk“ haben in den letzten zwei Jahren einen Anstieg um 88 Prozent beobachtet.
Das Zeitfenster Patches zum Schließen von Lücken einzuspielen ist klein. Oft bleiben nur Stunden. Mit enormer Bandbreite und starker Hardware ist es möglich, in nur 15 Minuten alle vier Milliarden IPv4-Adressen nach einer bestimmten Schwachstelle zu durchsuchen. Übertragen in die analoge Welt heißt das: Einbrecher können in einer Viertelstunde vier Milliarden Gebäude nach einem offenen Fenster durchsuchen.
„Fischfang“ geht diese Herausforderungen an. Die von IT-Sicherheitsexperten und -expertinnen der Telekom entwickelte Lösung kombiniert auf eine neue Weise Systeme so, dass die Angriffsfläche eines Unternehmens in Echtzeit identifiziert und bewertet werden kann. Dabei übernimmt die Plattform Handgriffe, die von Datenanalyst*innen ritualhaft immer wieder aufs Neue auszuführen wären, um ein genaues Bild der Sicherheitslage zu erhalten. Die Automatisierung dieser Prüfroutinen spart Zeit, Kosten und macht die Arbeit effizienter.
Mit wenigen Klicks zum IT-Inventar
Automatisch und ohne Vorwissen über die Organisation ermittelt „Fischfang“ ein Inventar der IT-Infrastruktur und hält es kontinuierlich aktuell. Ein Knackpunkt besteht darin, die Systeme zu validieren – Beifang unerwünscht! IP-Adressen, Domains, Subdomains und Netzblöcke, die „Fischfang“ findet, dürfen nicht veraltet sein oder von Kunden genutzt werden. Um sicher zu gehen, kommt eine künstliche Intelligenz (KI) zum Einsatz. Die KI fahndet nach Merkmalen wie Impressum, Zertifikaten, Farbe, Logos. Sie lernt die Charakteristiken des Unternehmens kennen und sortiert andere Systeme aus. Die Auswahl ist valide. Sie kann voll- oder semiautomatisiert erfolgen.
Einen Überblick über die IT-Infrastruktur zu haben, ist deshalb so wichtig, weil Angreifer das schwächste Glied suchen. Um einem Hauptsystem zu schaden, reicht eine Schwachstelle in einer vermeintlich unbedeutenden Zusatzsoftware.
Gefahren bannen leicht gemacht
Die Beute des Fangs wird auf Schwachstellen untersucht und in Datenbanken gespeichert. Erfasst werden unter anderem Informationen zu Software-Versionen und Anmeldeschnittstellen.
Meldet ein Softwareanbieter eine Sicherheitslücke, fischen die Expert*innen der Telekom in ihrer Datenbank nach Systemen, die diese Software nutzen. Mit Hilfe verschiedener Komponenten wird die Zahl der potenziell verwundbaren Systeme weiter eingekreist. Dieser Verbund an Komponenten arbeitet sehr genau, verhindert Fehlalarme. Im Vergleich: Eine teure Software vom Markt lieferte in einem Fall 8.000 Systeme, die es genauer zu betrachten galt, „Fischfang“ hingegen nur 20 – und damit ein Maß, das von den Sicherheitsexperten und -expertinnen gut zu handhaben ist.
Automatische Sicherheitskategorisierung
Schon jetzt helfen Cluster und die Klassifizierung von IT-Systemen mit ähnlichen Merkmalen dabei, Probleme leichter zu erkennen und die Sicherheitslage besser zu beurteilen. Um dies weiter zu verbessern, arbeitet die Telekom zusammen mit Forschungsinstituten an einer automatisierten maschinenlern- und regelbasierten Klassifizierung von Systemen.
Verschiedene Einsatzgebiete
„Fischfang“ unterstützt das Cyber Emergency Response Team (CERT) der Deutschen Telekom effektiv und versetzt es in die Lage, adäquat auf kritische Schwachstellen zu reagieren. Darüber hinaus setzt die Deutsche Telekom „Fischfang“ ein, um zu prüfen, ob die Datenschutzgrundverordnung (DSGVO) umgesetzt ist und überall Cookie-Benachrichtigungen sowie ein gesetzliches Impressum vorhanden sind. Ein Weg, um hohe Bußgelder zu vermeiden.
Weitere Anwendungsfelder wurden getestet oder sind in Planung. Besonderes Augenmerk liegt auf der Supplychain-Sicherheit. Denn eine Schwachstelle muss nicht zwangsläufig im eigenen Unternehmen liegen. Sie kann auch der Lieferkette entspringen.
Eine Lösung für alle
Die Spezialisten der Telekom haben „Fischfang“ generisch gestaltet, um auch andere Organisationen bedienen zu können. Potenzielle Kundschaft sind alle Organisation mit einer internet- und intranetgebundenen IT-Infrastruktur.
