Schwerwiegende Cyber-Angriffe auf Unternehmen und kritische Infrastrukturen beherrschen die wöchentliche Berichterstattung. Viele Vorfälle der jüngeren Vergangenheit, wie etwa der Tod einer deutschen Patientin aufgrund eines Ransomware-Angriffs auf eine Uni-Klinik im September 2020, oder die großflächige Unterwanderung von Infrastrukturen wie im Falle von SolarWinds 2020, unterstreichen die brisante Lage. Neben diesen beispielhaften Berichten verdeutlicht auch der Cybercrime Bericht 2019 des Bundeskriminalamts mit einem Anzeigenanstieg gegenüber dem Vorjahr von 69,7% aufgrund widerrechtlichen Zugriffs auf ein Computersystem, sowie 291,3% wegen Datenverarbeitungsmissbrauch, die wenig erfreuliche Security-Statistik.
Während jahrzehntelang der Fokus der Cyber Security Domäne auf Prävention und Perimeter-Sicherheit lag, hat sich die Ausrichtung in den letzten Jahren in Richtung Reaktion gewandelt. Es gilt als allgemein anerkannt, dass eine komplexe Infrastruktur auf Dauer nicht erfolgreich vor Angriffen geschützt werden kann. Daher ist es wichtig, das Zeitfenster der Angreifer – vom initialen Eindringen bis zu deren Entdeckung und dem Ergreifen von ersten Gegenmaßnahmen – auf die kürzest mögliche Zeitspanne zu reduzieren. Damit verringern sich auch die Möglichkeiten der Angreifer, schon das initiale Eindringen in ein Netz für einen erfolgreichen Angriff zu nutzen (d.h. das Erreichen der eigentlichen Ziele sicherzustellen, wie das Exfiltrieren von Daten oder das Lahmlegen einer Infrastruktur). Das Erkennen von Angriffen und die rasche Reaktion darauf sind daher essentielle Fähigkeiten für Organisationen – nicht nur für die Großindustrie, sondern insbesondere für kritische Infrastrukturanbieter (KI), als auch für den in Österreich so wichtigen KMU Sektor. Gerade diese agieren jedoch oft unter enormen Kostendruck, was den üblicherweise ressourcenaufwändigen Einsatz komplexer Cyber Security Lösungen entgegensteht. Zudem sind Betreiber wesentlicher Dienste nach dem NISG auch dazu verpflichtet, Cyber Security Lösungen nach dem Stand der Technik zum Einsatz zu bringen.
Ziel des Projekts ist daher die Erarbeitung von Best Practices für Cyber Security Monitoring und Logging (CyberMonoLog) basierend auf den bekannten Angriffstechniken und unter besonderer Berücksichtigung jener, welche nicht durch allgemein angewandte Best Practices/Standards bereits effektiv unterbunden werden. Angriffstechniken, welche aus wirtschaftlicher oder technischer Sicht typischerweise reaktiv behandelt werden, müssen durch Monitoring aufgedeckt werden. Letztendlich liegt dem Projekt somit ein Optimierungsproblem zugrunde: Es ist für eine Organisation unmöglich, alle bekannten Angriffstechniken mit ökonomischen Mitteln zu erkennen. Die Forschungsfrage ist daher, welche Datenquellen (bzw. davon emittierten Ereignisse) mit welchen Methoden analysiert werden müssen (Ranking), um mit vorab festgelegtem Ressourceneinsatz die meisten relevanten Angriffstechniken zu erkennen. Die Ergebnisse des Projekts sollen möglichst praxisnahe Best Practice Guidelines zur Umsetzung einer Monitoring-Strategie für KMUs und KIs sein. Die Ausführungen werden sich auf den bekannten Stand der Technik stützen und die Anwendbarkeit der Ergebnisse durch eine Cross-Validierung mit externen Stakeholdern sowie Bedarfsträgern und Behörden und Experten von CERT.at sichergestellt. Rechtliche Aspekte (Daten-schutz, arbeits-/dienstrechtliche Belange) werden berücksichtigt.
Projektleiter
Dr. Dr. Florian Skopik, AIT Austrian Institute of Technology
Auflistung der weiteren Projekt- bzw. KooperationspartnerInnen
SBA Research gemeinnützige GmbH (gGmbH)
Computer Emergency Response Team / NIC.at
TU Wien (Prof. Haslinger)
Bundesministerium für Inneres (BMI)
Bundeskanzleramt (BKA)
Kontakt:
Dr. Dr. Florian Skopik
Thematic Coordinator Cyber Security
Security & Communication Technologies
Center for Digital Safety & Security
AIT Austrian Institute of Technology GmbH
Giefinggasse 4 | 1210 Wien | Austria
M +43 664 8251495 | F +43(0) 50550-4150
florian.skopik@ait.ac.at | http://www.ait.ac.at
