Vier Jahre Attack Simulation für die Suva – und wie ihre Cybersecurity-Maturität dadurch erhöht wurde

In der dynamischen Welt der Cybersicherheit gibt es eine Konstante, welche sowohl Angreifer als auch Verteidiger betrifft: die Notwendigkeit der ständigen Verbesserung. Die Schweizerische Unfallversicherung (Suva) ist sich dessen bewusst und lässt daher seit Jahren regelmässig Angriffs-Simulationen durchführen, bei denen verschiedene Bereiche der IT-Security auf die Probe gestellt werden. Lesen Sie hier, wie unsere langjährige Zusammenarbeit Früchte trägt und warum Angriff die beste Verteidigung ist.

Cybersicherheit ist ein Prozess – Das weiss auch die Suva

Als grösste Unfallversicherung der Schweiz ist die Suva eine wichtige Akteurin in den Bereichen Prävention, Arbeitssicherheit und Gesundheitsschutz. Die Suva setzt dabei ihre Kundinnen und Kunden ins Zentrum ihrer Vision «Wir machen Arbeit und Freizeit sicher».

Den verantwortlichen Personen bei der Suva ist bewusst, dass die Cybersecurity-Maturität eines Unternehmens kein Zustand, sondern ein kontinuierlicher Prozess ist. Daher lässt die Suva ihre Systeme und Mitarbeitenden regelmässig auf die Probe stellen – und das seit Jahren. Nur so kann der Aufwand für erfolgreiche Angriffe auf einem hohen Niveau gehalten und potenziellen Angreifern effizient Widerstand geleistet werden.

Erstes Jahr: Identifizieren und Prüfen der Angriffsfläche

Bei der ersten Angriffs-Simulation, welche die Redguard AG für die Suva ausführen durfte, ging es vordergründig darum, zu eruieren, welche Bereiche dieses grossen Unternehmens besonders gefährdet sind, wo allenfalls bereits Überprüfungen durchgeführt wurden und welche Fokuspunkte im Rahmen der geplanten Simulation am sinnvollsten sind.

Nachdem das sogenannte Scoping und die Planung des Projekts abgeschlossen waren, legten unsere Security Tester los und führten Malware-Infektionen, Angriffe auf die extern erreichbare Infrastruktur, Social Engineering, Missbrauch von Partner-Zugängen sowie interne Angriffe durch.

Im durch die Security Tester erstellten Bericht zur Simulation wurde der Suva detailliert aufgezeigt, wo Schwächen vorhanden sind, und welche Massnahmen empfohlen werden, um diesen zu begegnen.

Zweites Jahr: Neue Techniken wie Identitätsdiebstahl

Auf Basis der Erkenntnisse aus der ersten Simulation wurden anschliessend die Fokuspunkte für das nächste Jahr definiert. Dabei wurden diverse Angriffe aus der ersten Simulation wiederholt, um zu prüfen, ob die zuvor identifizierten Schwachstellen adäquat adressiert wurden. Zudem wurden neue Techniken wie Identitätsdiebstahl angewandt und so beispielsweise versucht, mit Hilfe von Benutzern Zugriff auf Systeme zu erlangen.

Drittes Jahr: Physischer Zugriff trotz zunehmender Digitalisierung interessant für Angreifer

Im Folgejahr wurden erneut zuvor identifizierte Schwachstellen punktuell geprüft, um den Fortschritt zu prüfen sowie potenzielle Wege zu finden, um die implementierten Schutzmassnahmen zu umgehen.

Zudem wurde die physische Sicherheit ausgewählter Gebäude mittels Social Engineering auf die Probe gestellt. Genauso wie auch hoch motivierte Angreifer vorgehen könnten, welche von aussen keine Möglichkeit mehr finden, auf die internen Systeme zuzugreifen, versuchten auch unsere Security Tester physischen Zugriff auf das interne Netzwerk zu erlangen, um dort beispielsweise einen Netzwerk-Tap zu platzieren.

Über einen solchen Tap, welcher über das Mobilnetz einen VPN-Tunnel zu den Angreifern aufbaut, kann anschliessend remote auf das interne Netzwerk zugegriffen werden. Diesbezüglich zeigt unsere Erfahrung, dass bei nahezu allen Unternehmen das Platzieren eines solchen Netzwerk-Taps gelingt. Die grosse Frage ist jedoch, wie weit damit in das interne Netzwerk vorgedrungen werden kann (Netzwerkzonierung) und ob, respektive wie schnell, der Tap und darüber ausgeführte Zugriffe auf interne Systeme detektiert werden (Detektions- und Reaktionsfähigkeit).

Viertes Jahr: Purple-Teaming als Ergänzung

Das bewährte Konzept der Angriffs-Simulation, bei dem die verteidigenden Parteien zuvor nicht über das Projekt informiert werden, wurde bei der diesjährigen Durchführung mit einem sogenannten Purple-Teaming kombiniert. Dabei arbeitet die angreifende Partei (das Red Team) nicht mehr im Versteckten, sondern definiert zusammen mit der verteidigenden Partei (dem Blue Team), welche Angriffs-Taktiken und -Techniken simuliert werden sollen.

Dabei liegt der Fokus primär auf den Detektions- und Reaktionsfähigkeiten des Blue Teams. Dieses Vorgehen ermöglicht es, blinde Flecken in der Detektionsfähigkeit zu identifizieren, bevor diese bei echten Angriffen ausgenutzt werden können. Zudem bietet dieses Vorgehen die Möglichkeit, Reaktionen auf identifizierte Angriffe aktiv durchzuspielen und gegebenenfalls zu verbessern, bevor es sich um einen Ernstfall handelt.

Awareness-Event für Suva-Mitarbeitende

Ziel einer jeden Cybersecurity-Strategie sollte sein, den Aufwand für erfolgreiche Angriffe so hoch zu halten, dass sich Angreifer lieber ein einfacheres Ziel suchen.

Mit technischen Massnahmen lässt sich dieser Aufwand bereits stark erhöhen, motivierte und entsprechend ausgerüstete Angreifer lassen sich davon jedoch nicht abschrecken und suchen Wege, um die technischen Schutzmassnahmen zu umgehen. Dabei werden sie oft bei Mitarbeitenden fündig, welche sich für ihre Zwecke instrumentalisieren lassen (Social Engineering). Aufgrund fehlender Sensibilisierung wird fremden Personen Zutritt ins Gebäude gewährt, unbekannte Anhänge in E-Mails geöffnet oder Zugangsdaten auf Phishing-Seiten eingegeben.

Um diesem Problem zu begegnen, präsentieren wir die Resultate der Angriffs-Simulationen bei der Suva jeweils der gesamten IT-Abteilung. So wird aus der Abschlusspräsentation jeweils ein Awareness-Event, bei welchem die Mitarbeitenden aus erster Hand erfahren, wo die oft auch menschlichen Schwachstellen in der Unternehmung liegen und wie sie darauf reagieren können. Zusätzlich wird die Präsentation aufgezeichnet und kann so auch später noch zur Sensibilisierung neuer Mitarbeitenden verwendet werden.

Die Kundensicht

Roland Tobler, IT-Security Consultant bei der Suva, erlebt die Zusammenarbeit mit der Redguard AG wie folgt:

«Die durch die Firma Redguard durchgeführten Angriffs-Simulationen und Penetration-Tests haben massgeblich dazu beigetragen, das Sicherheitsniveau sowie die Resilienz unserer Organisation zu erhöhen und unsere Prozesse wirkungsvoller zu gestalten. Basis für den Erfolg bildeten die hohe Professionalität und hervorragende Kompetenz der durchführenden Mitarbeitenden.»

Wie hoch ist der Aufwand für einen Cyber-Angriff auf Ihr Unternehmen?

Cyber-Kriminelle entscheiden oft anhand des Aufwands, wie lohnenswert ein Angriff ist. Es ist daher von zentraler Bedeutung, die Angriffsoberfläche des eigenen Unternehmens zu kennen, regelmässig und aktiv nach Schwachstellen zu suchen und entsprechende Schutzmassnahmen umzusetzen, um eben diesen Aufwand hoch zu halten.

Dabei sollte nebst technischen Massnahmen auch der Faktor Mensch berücksichtigt werden. Wissen Ihre Mitarbeitenden beispielsweise, wie sie reagieren sollen, wenn sie eine unbekannte Person in den Büroräumlichkeiten antreffen und wo sie solche Beobachtungen melden können?

Wir helfen Ihnen gerne, diese und weitere Fragen zu beantworten und die sich daraus ergebenden Massnahmen umzusetzen. Lassen Sie sich jetzt unverbindlich beraten.


< zurück