Cyber Security

Was hat es mit der 1-10-60-Regel auf sich?

In einer Minute den Angreifer erkennen, in zehn Minuten den Schaden untersuchen und in 60 Minuten beheben. Diese 1-10-60-Regel hat nun ein Cybersicherheits-Unternehmen aufgestellt, um Angriffen auf Unternehmensnetzwerken zu begegnen. Doch ist diese Regel mehr als ein Marketingbluff? Factory hat mit einigermaßen skeptischen Sicherheitsexperten gesprochen.

Von
IT Cyber Security Cyberabwehr Ikarus FH St. Pölten TU Graz

Über sechs Tage benötigen Unternehmen, um Cyberangriffe zu entdecken, auszuwerten und zu beheben. Das ist das Ergebnis einer Studie, die ein US-amerikanisches Cybersicherheitstechnologie-Unternehmen durchgeführt hat. Im Rahmen dessen wurden 1.900 IT-Entscheidungsträger und IT-Sicherheitsexperten aus über zehn Ländern befragt. 80% der Befragten gaben an, dass sie in den letzten zwölf Monaten nicht in der Lage waren, Eindringlingen in ihrem Netzwerk den Zugriff auf ihre Zieldaten zu verwehren. Die Ursache hierfür sehen 44 Prozent in einer langsamen Erkennung.

Was steckt hinter der „1-10-60“-Regel?

Um innerhalb der Breakout-Zeit auf Attacken zu reagieren, empfiehlt der IT-Sicherheitskonzern Crowdstrike die 1-10-60 Regel, die besagt: „Bedrohungen in einer Minute erkennen, in zehn Minuten untersuchen und in 60 Minuten beheben.“ Was hat es mit dieser Methode auf sich, wie können Unternehmen davon profitieren?

Crowdstrike hat die 1-10-60-Formel konstruiert und die erst kürzlich veröffentlichte Studie durchgeführt. Das Unternehmen erklärt, wie die Regel umgesetzt werden soll und plädiert, dass „zukunftsorientierte“ Unternehmen die Formel unbedingt bei einer Cyberattacke anwenden sollen. Zuerst soll Transparenz zu allen Systemen eines Netzwerks hergestellt werden, sodass bekannte und unbekannte Anomalien innerhalb des Netzwerks rascher festgestellt werden können. Unternehmen sollen Werkzeuge nutzen, „die mit einer Kombination aus maschinellem Lernen, Endpoint Detection und Response (EDR) und Antivirenprogrammen der nächsten Generation arbeiten.“ Nur so seien verdeckt agierende Angreifer schnell erkennbar und wirksam zu bekämpfen.

White Paper zum Thema

Utopie oder berechtigte Formel?

Josef Pichlmayr, Geschäftsführer von Ikarus und Vorstandsmitglied von Cybersecurity Austria, hält wenig von der Marketing-Floskel: „Im Normalfall dauert es bis zu 160 Tage, um eine Cyberattacke erfolgreich abzuwehren. Die IT-Lücken müssen nicht nur gefunden und wieder geschlossen, sondern auch das Design muss neuüberdacht werden.“

© ICT Austria

Josef Pichlmayr steht der Regel skeptisch gegenüber.

Wichtig sei, die Motive, den Anlass und die Vorgehensweise des Eindringlings herauszufinden. Er empfiehlt, beim Feststellen einer Anomalie im System folgendermaßen vorzugehen: Wenn man nicht selbst ein Team mit fundiertem Know-how und Expertise in Bezug auf Cybersecurity verfügt, sollte man sich extern von einem Forensiker helfen lassen. Der IT-Sicherheitsspezialist spricht sich für eine in Österreich entwickelte Software namens Cybertrap aus. Mit der Software wird dem Eindringling vorgegaukelt, sich in einem System des Unternehmens zu befinden. Jedoch weilt der Angreifer in einer Art Labor, sodass die Motive und Vorgehensweisen von dem attackierten Unternehmen untersucht, beobachtet und analysiert und der Angriff abgewehrt werden kann.

„Angriff ist kein punktuelles Ereignis“

Sebastian Schrittwieser, Leiter des Instituts für Sicherheitsforschung, meint, Sicherheitslücken innerhalb von einer Minute zu finden, sei völlig unrealistisch. Er bezieht sich auf eine Cisco-Studie vom letzten Jahr, die ergab, dass die durchschnittliche Zeit für eine Abwehr 101 Tage beträgt. „Man darf einen Cyberangriff nicht als punktuelles Ereignis sehen, sondern als einen Prozess. Je spezialisierter die Attacke, desto länger dauert es, sie zu meistern.“, so der Spezialist für IT-Sicherheit. Dabei müssen viele Fragen gestellt werden: Worauf hat es der Eindringling abgesehen? Wird ein einzelner Mitarbeiter ausspioniert? Wurde nur ein Passwort erraten?

© IAIK Graz

Herbert Leitold: "Es reicht nicht mehr darauf zu vertrauen, dass eine einmal installierte Firewall oder der Virenschutz an den PCs Angriffe schon abwehren werden, sondern sie sollten Maßnahmen setzen, dass Angriffe auch rasch erkannt werden."

Präventivmaßnahmen und ständige Kontrolle über das eigene System

Der IT-Experte betont, das Wichtigste sei der konstante und umfassende Überblick über die Aktivitäten innerhalb des Systems. Die Standarderkennungen von Frühwarnungssystemen seien hilfreich, man solle sie aber auch beachten und ernstnehmen. Er erwähnt einen Riesen-Hack auf das US-amerikanische Handelsunternehmen Target. Dabei kam es zu einem desaströsen Data Breach, bei dem über 50 Millionen Kreditkartennummern erfasst wurden, weil die bereits alarmierenden Antivirenprogramme ignoriert wurden. Auch, um die Lücken zu schließen, die zustande gekommen sind, seien 60 Minuten zu kurz. Das ausschlagekräftigste Ergebnis laut Studie ist, dass Unternehmen zu langsam Angriffe erkennen. Jedoch komme es nicht darauf an, wie schnell man einen Angriff abwehrt, sondern auf die Präventivmaßnahmen und die ständige Kontrolle über das eigene System. Denn nur, weil sich ein Eindringling ins System geschlichen hat, bedeutet das nicht, dass sofort ein Schaden passiert ist. Deshalb sei die 1-10-60-Regel auch nicht sinnvoll.

Auf Vorfälle aktiv vorbereiten

Als „plakativ formulierte Empfehlung des Studienherausgebers CrowdStrike“ nennt Herbert Leitold, Generalsekretär Zentrum für sichere Informationstechnologie an der TU Graz, die 1-10-60-Regel. Das sei für einen Hersteller von Tools, die dies unterstützen können, wohl legitim und Reaktionszeiten auf Vorfälle seien auch wichtig. Der Experte meint, dass Unternehmen, die zunehmend von ihren Daten und ihrer IT abhängig sind, aktiv auf Vorfälle vorbereitet sein müssen. Es genüge nicht mehr, auf eine einmalig installierte Firewall oder Virenschutz zu vertrauen.

© FH St. Pölten

Sebastian Schrittwieser betont, dass eine Cyberattacke nicht ein punktuelles Ereignis, sondern ein langwieriger Prozess ist.

Zu einem wirksamen Schutz gehören sowohl technische Maßnahmen wie Intrusion Detection Systeme, die Anomalien erkennen, alarmieren und umfassen wie auch organisatorische Maßnahmen wie ein Festlegen der Vorgehensweisen und Schulungen der Mitarbeiter. Nur so wird man rasch und richtig auf einen Cyberangriff reagieren können. Es sei nämlich meist keine Frage mehr, ob es zu einer Cyberattacke kommt, sondern wann dieser erfolgreich ist und ob man das dann auch erkennt und richtig darauf reagiert. Denn: Cyberkriminalität steigt.

Verwandte tecfindr-Einträge