Nicht selten laufen IT-Infrastrukturen im 24/7-Betrieb und erfordern daher eine Überwachung der Verfügbarkeit der Systeme. Solche Monitoringsystemen können auch selbst definierte Anomalien erkennen und Alarmmeldungen, auch als Alerts bezeichnet, generieren und zuständige Personen informieren. Dieser Beitrag zeigt auf, welche Möglichkeiten es hierzu gibt und wie dadurch auch Cyberangriffe verhindert werden könnten.
Der Inhalt im Überblick
Wie entstehen Alerts?
Ähnlich wie in der analogen Welt kommt es auch in IT-Infrastrukturen immer wieder zu außergewöhnlichen und möglicherweise bedrohlichen Situationen. Zur Überwachung werden Monitoringsysteme, wie in einem früheren Beitrag beschrieben, eingesetzt. Diese können bei guter Konfiguration Anomalien im besten Fall erkennen und die Auffälligkeiten an die jeweils zuständigen Instanz melden. In bestem IT-Deutsch nennt man diese Alarmmeldungen analog zum englischen Pendant „Alerts“.
Dabei können diese Meldungen in unterschiedlichsten Bereichen und Ebenen entstehen. Im Folgenden werden einige Szenarien mit jeweils einer beispielhaften Meldung und einer möglicherweise daraus resultierenden Folge dargestellt:
Messung physischer Parameter wie Auslastung von Prozessoren, Arbeitsspeicher und Massenspeichern
- Meldung: „Die Festplatten eines Servers sind voll.“
- Folge: Ausfall oder fehlerhafte Ausführung von Anwendungen oder Systemen
Prüfung der Verfügbarkeit von Diensten
- Meldung: „Der Dienst für den Versand von Mails wurde beendet.“
- Folge: Ausfall der Mailkommunikation
Überwachung von Datenflussraten auf einer Firewall
- Meldung: „Die Bandbreite des Netzwerkes ist ausgelastet.“
- Folge: Verlangsamung des Datentransfers im Netzwerk
Darüber hinaus gibt es noch viele weiteren abbildbare Szenarien, in denen mit der richtigen Konfiguration IT-Infrastrukturen sich selbst überwachen können, ohne dass Menschen dauerhaft auf Bildschirme starren müssen, um Anomalien zu erkennen.
Welche Alarmierungswege gibt es?
Nun stellt sich vielen die Frage, wie man denn nun mitbekommt, wenn Ereignisse auftreten, die eine Kenntnisnahme oder ein Eingreifen erfordern. Hierfür gibt es verschiedene gängige Alarmierungswege, die mit mehr oder weniger Detailtiefe über ein Ereignis informieren. Häufig anzutreffend sind dabei:
- E-Mail
Die E-Mail ist der Klassiker unter der den Alarmierungswegen wegen seiner vielseitigen Einsatzmöglichkeit und einfachen Integration. Wahlweise können E-Mails bereits alle notwendigen Informationen enthalten oder über einen Link auf das Monitoringsystemen verweisen. - SMS/Pager
SMS und Pager werden für Alerts verwendet, um einen unabhängigen Kommunikationskanal über den Mobilfunk gegenüber beispielsweise dem Internetzugang für den Mailversand bereitzustellen. Der Einsatz ist eher seltener vorzufinden, da eine zusätzliche Infrastruktur bereitgehalten werden muss. Daher wird unter anderem aus Kostengründen auf diesen Alarmierungsweg oftmals verzichtet. - Push-Benachrichtigung über Apps
Eher der neueren Generation der Alarmierungswege zuzuordnen sind Push-Benachrichtigungen in den Apps der Monitoringsysteme. In vielen Fällen stehen darin schnell weitere Informationen rund um das Ereignis zur Verfügung, um die Situation noch besser bewerten und reagieren zu können. - Automatisierte Posts in Collaboration-Tools und Ticketsystemen
Ebenfalls beliebt sind automatisch erstellte Posts oder Tickets in Collaboration Tools, wenn mehrere Personen sich um Systeme gemeinsam kümmern und sich auf diese Weise sehr schnell und gezielt austauschen können. Wahlweise kann dies auch als Basis für eine Vorfallsdokumentation dienen, worin festgehalten wird, wer, was, wann und wie gemacht hat. Ebenso kann dies für zukünftige Ereignisse von Vorteil sein, um die Situation effizienter zu lösen.
Für alle aufgezeigten Alarmierungswege ist jedoch das Vorhandensein von Internet- oder Mobilfunkverbindung(en) eine zentrale Grundvoraussetzung. Je nach Kritikalität der Infrastruktur und dem Anspruch an die Verfügbarkeit muss dies bei der Planung und Implementierung berücksichtigt und besonders geprüft werden. Beispielsweise kann es empfehlenswert sein, neben zwei Internetleitungen auch einen oder mehrere Mobilfunkkanäle in Erwägung zu ziehen, um selbst bei einem Ausfall beider Internetleitungen Benachrichtigungen über den Mobilfunk empfangen zu können. Das Stichwort hierfür ist Redundanz, welches ebenso für die Möglichkeit zum Mailversand, aber auch für das Alerting-System selbst gelten kann.
Was ist kritisch und was nicht?
Nicht selten erzeugen Monitoringsystemen einige tausend Meldungen am Tag, wodurch es leicht zu einer Überbeanspruchung von Alertingsystemen kommen kann. Daher bedarf es einer Analyse der IT-Infrastruktur ähnlich einem Risikomanagement, allerdings mit dem Fokus auf technische Risiken.
In der Analyse können dann unter anderem folgende Aspekte eine Rolle spielen:
- Verfügbarkeit des Systems (Produktiv- oder Testsysteme)
- Kritikalität der enthaltenen Daten (personenbezogene Daten, schützenswertes Know-How)
- Position im Netzwerk (DMZ für veröffentlichte Systeme, Internes Netzwerk)
- Betrachtung von Zeiträumen (werktags, sonn- und feiertags; tagsüber und in der Nacht)
- Stufe der Benachrichtigung (Warnung, Alarm)
Im Ergebnis könnte beispielsweise festgehalten werden, dass ein Datentransfer vom Backup-System in die angemietete Cloud nachts als gewöhnlich eingestuft wird und bei einem Transfer während des Tages lediglich eine einmalige Warnung ausgeben wird. Hingegen sollte durch eine ungewöhnlich hohe Prozessorauslastung auf einem Dateiablageserver mit besonders sensiblen Daten am Wochenende ein kritischer Alarm ausgelöst werden.
Alerts im Rahmen der Abwehr eines Cyberangriffs
Wenn nicht gerade ein SIEM oder ein SOC ebenfalls im Einsatz sind, können auch Alerts aus einem Monitoringsystem Anzeichen für einen Cyberangriff aufdecken. Dies ermöglicht durch eine schnelle Reaktion der zuständigen Personen den Cyberangriff einzudämmen oder im besten Fall abzuwehren.
Zwei aktuell häufig beobachtete Szenarien sind bereits in diesem Artikel versteckt aufgezeigt worden:
- Abschaltung von kritischen Diensten
- Hohe Aktivität auf einem Dateiablageserver außerhalb der Geschäftszeiten
Beides sind typische Anzeichen von Ransomware-Angriffen. Hierbei wird zunächst die Kontrolle über ein System oder eine ganze Systemlandschaft übernommen. Im Anschluss werden Daten exfiltriert und zuletzt die Daten durch Verschlüsselung oder Zerstörung unbrauchbar gemacht werden. Sofern das Monitoring- und Alerting-System nicht selbst kompromittiert wird, können diese Systeme oftmals einen wertvollen Beitrag für die IT-forensische Aufarbeitung leisten.
Nicht selten hört man auch von Fällen einer übermäßigen Auslastung eines Netzwerks, was die Ursache eines Cyberangriff sein kann und zum Ziel hat, das Netzwerk selbst oder die betroffenen Systeme zum Erliegen zu bringen. Dabei kann dieser „Denial of Service“ benannte Angriff von einem einzelnen System ausgehen, aber auch von mehrere Systemen herbeigeführt werden. Auch wenn in diesem Beispiel der Schaden an den Systemen und der enthaltenen Daten im Vergleich zu einem Ransomware-Angriff eher gering ist, erlauben die Alerts auch wertvolle Rückschlüsse für eine bessere Abwehr solcher Attacken.
Alerts können „virtuelle Leben“ retten
Wie die beiden letzten Beispiele zeigen, kann die Überwachung einer IT-Infrastruktur durch gut definierte Anomaliedefinitionen die virtuellen Leben einzelner Systeme oder in größerem Umfang ganze Infrastrukturen vor dem Super-GAU bewahren. Im Umkehrschluss bedeutet dies aber auch die genaue Kenntnis aller Systeme zu haben, ihre Verhaltensweisen richtig zu deuten und die jeweilige Situation einschätzen zu können.