Ein Projekt vom

Institut für Internet-Sicherheit

Jetzt für den Master bewerben!

Förderer

Partner

Live-Hacking

   

securityNews

Aktuelle Sicherheitsupdates

Aktuelle IT-Sicherheitslage

info    Gefahr durch Schwachstellen
info    Malware-Aktivität
info    Spam-Aktivität
Stand: 20.11.2017, 09:11Uhr

Expertenkommentar

Prof. Norbert Pohlmann

Institut für Internet-Sicherheit – if(is)

„Professionelle Hacker sind immernoch in der Lage, unsere Systeme anzugreifen. Wir haben zu viele Fehler in der Software, worüber man erfolgreich hacken kann. Außerdem ist Malware eines der größten Probleme, das wir haben. Der Schutz vor Malware ist nach wie vor ungenügend. (...)“ [mehr]

Cybersecurity: Vom Produkt zur Kultur

„Die Zeit zum Umdenken ist gekommen. Traditionelle IT-Security-Maßnahmen haben versagt.“ Behauptungen dieser Art hören wir aus der IT-Security-Industrie immer öfter – häufig im Zusammenhang mit Medienberichten über gezielte Angriffe oder solche mit großer Wirkung wie zuletzt „WannaCry“. Oft knüpft man daran die Aufforderung, in neue Erkennungs- und Abwehrtechnologien zu investieren. Dahinter steckt die falsche Annahme, Cybersecurity sei lediglich eine Frage des richtigen Produkts. Dieser Ansatz ist zum Scheitern verurteilt – Cybersecurity ist eine Kultur.

Vier Punkte sind entscheidend, um Daten und Systeme wirklich vor Angriffen zu schützen.

Bild: ectacom GmbH



Natürlich braucht jedes Unternehmen moderne IT-Security-Werkzeuge, die zu seiner individuellen Bedrohungslage passen. Aber damit ist es längst nicht getan. Denn es sind nicht in erster Linie „traditionelle“ Security-Maßnahmen, die versagen. Entscheidend ist unser Umgang mit dem Thema IT-Sicherheit, das größte Risiko besteht vor allem in mangelndem konsequentem Handeln. Cybersecurity ist keine Technologie, kein Produkt; es gibt sie nicht „out of the box“. Cybersecurity ist vielmehr eine unternehmensweite Kultur, ein Zusammenwirken von Technologien, Maßnahmen, Aktionen und Menschen, gesteuert von einem ganzheitlichen Konzept, angepasst an die individuellen Kommunikationsprozesse eines Unternehmens und an ihre Schwachstellen. Sie ist nicht allein Sache der IT-Abteilung, sondern der kompletten Organisation und aller Mitarbeiter. Die Chefetage muss dafür sorgen, dass diese Kultur gelebt wird und Security-Richtlinien nicht zum Papiertiger werden.

Patch- und Risiko-Management
Viele Analysten bestätigen die zunehmende Anzahl gezielter Angriffe auf Unternehmensnetzwerke. Allerdings bestätigen sie auch, dass 99,9 Prozent aller erfolgreich ausgenutzten IT-Schwachstellen bereits länger als ein Jahr bekannt sind (Quelle: DBIR 2015). Das hat die Ransomware-Welle unter dem Namen „WannaCry“ erneut schmerzhaft deutlich gemacht. Für diesen Angriff wurde eine sehr alte Schwachstelle namens „EternalBlue“ ausgenutzt, die bereits zu Windows-XP-Zeiten existierte und in die neueren Versionen von Windows übernommen wurde. Anfang des Jahres wurde diese Schwachstelle durch Offenlegung geheimer Dokumente der NSA, die „EternalBlue“ über fünf Jahre lang genutzt hatte, bekannt und von Microsoft geschlossen. Leider aber genießt heute ein konsequentes Patch-Management keine besonders hohe Priorität. Genau dies hat der „WannaCry“-Angriff ausgenutzt. Anwender von über 230.000 infizierten Rechnern in 150 Ländern – größtenteils solche ohne Sicherheitsupdates – sahen sich am 12. Mai 2017 mit verschlüsselten Dateien und Lösegeldforderungen konfrontiert.

Es liegt also auf der Hand: Alleine durch ein konsequentes Patch- und Risiko-Management sowie durch regelmäßige Backups wichtiger Daten ist man in der Lage, Eintrittswahrscheinlichkeit und Angriffsfläche deutlich zu reduzieren.

Security-Technologien sind kein Allheilmittel
Doch nicht nur die steigende Anzahl von Cyber-Attacken stellt Unternehmen vor Herausforderungen. Auch die immer größer werdende Auswahl an Security-Lösungen ist für viele Unternehmen unüberschaubar geworden. Manchmal entsteht der Eindruck, dass man mit so mancher neuen „Cyber-Technologie“ Probleme bekämpft, die man ohne sie gar nicht hätte.

Security-Technologien sind Werkzeuge, die jedes Unternehmen einsetzen muss, um sich zu schützen. Denn die Flut an Daten über das Geschehen im Netzwerk – Kommunikation, ausgeführte Anwendungen, System- und Datenzugriffe etc. – lässt sich ohne solche Werkzeuge nicht beherrschen. Welches aber dabei das „beste“ Tool ist, ist nicht entscheidend. Und selbst wenn man die vermeintlich „richtigen“ Tools (zumindest was uns die IT-Security-Industrie aktuell als diese verkaufen möchte) im Einsatz hat, ist das allein noch keine Garantie für Sicherheit. In vielen Unternehmen fehlt es an fachlicher Expertise, diese Tools effizient zu nutzen oder ihre Aufgabe im Kontext der gesamten IT-Umgebung zu erkennen. Dafür braucht es viel Wissen – vor allem aber Erfahrung. Denn wer wirklich Sicherheit etablieren will, sollte seine IT-Umgebung gut kennen, um Abweichungen schnell identifizieren zu können. Immer noch gilt der alte Leitsatz: Wir müssen jede unsere Schwachstellen kennen und schützen, ein potenzieller Angreifer braucht aber nur eine, um erfolgreich zu sein.

Ist-Stand analysieren
Das bedeutet: Um sich gut schützen zu können, muss man wissen, was die eigenen Angriffsflächen sind. Je mehr Informationen man also über die Prozesse im Unternehmen hat (wem werden zum Beispiel Dienste angeboten, mit wem erfolgt eine bestimmte Art der Kommunikation usw.), umso bessere und gezieltere Maßnahmen können ergriffen und überwacht werden. Dies, gepaart mit dem Wissen über aktuelle Gefährdungen und Angriffsmethoden, stellt bereits das beste Fundament für eine effiziente IT-Security-Strategie da. Das gilt nicht nur für die Daten, die wir verarbeiten, sondern auch für die dafür genutzten Systeme. Wer weiß wirklich in jedem Fall, welche Systeme sich an einer Kommunikation beteiligen, wem diese gehören und wie deren Zustand ist? Aber bei der Analyse eines Sicherheitsvorfalls sind genau diese Informationen unerlässlich. Denn ohne sie lässt sich das Ereignis nicht bewerten – da der Kontext fehlt.

Ein Beispiel: Man erkennt einen ungewöhnlichen Anstieg des Datenvolumens in einer ausgehenden, unverschlüsselten Kommunikation in die USA. Dies könnte ein Indiz für einen Datenverlust sein. In einem anderen Kontext dagegen wäre alles in Ordnung: Die Marketing-Abteilung führt ein besonders großes Update zum in den USA liegenden CDN (Content Delivery Network) durch. Dies kann ich als Analyst nur bewerten, wenn ich die Kommunikationspartner, die eingesetzten Systeme und die vereinbarte Übertragungsart kenne. Also Informationen in ihrem Kontext bewerten, das ist der Schlüssel.

Als erstes sollte man sich daher einen Überblick über den aktuellen Ist-Zustand sowie die eigene Erwartungshaltung verschaffen. Dabei sollten vier Fragen im Vordergrund stehen:

  •    Welche sicherheitstechnischen Erwartungen habe ich an meine Infrastruktur?
  •    Bin ich aktuell in der Lage, diese Erwartungen technologisch zu erfüllen?
  •    Bin ich in der Lage, meine eingesetzte Technologie effizient zu nutzen?
  •    Wie wird Sicherheit im Unternehmen von der Geschäftsführung positioniert?

Gerade Letzteres ist nicht selten ein Problem. Zu oft noch wird Sicherheit nur als ein „Problem“ der IT gesehen. Sicherheit schützt die Wertschöpfung im Unternehmen und kann somit essenziell mein Geschäft beeinflussen. Deshalb betrifft sie alle Abteilungen und jeden einzelnen Mitarbeiter.

Es gibt viele Wege, Informationen über den Ist-Zustand einer Infrastruktur zu erhalten. Diese müssen nicht immer viel Geld kosten. Empfehlenswert ist ein strukturiertes Vorgehen, das individuelle Prozesse, Schwachstellen und IT-Sicherheitsniveaus umfasst und dabei technische und organisatorische Aspekte berücksichtigt – bei Bedarf mit externer Unterstützung.

Gezielt investieren
Wer seine IT-Infrastruktur und ihre Schwachstellen kennt, kann – und sollte – gezielt in Technologien investieren. Das Problem: Technologien veralten rasend schnell, gerade im Security-Bereich. Ist es möglich, vorhandene Technologie nachträglich „klüger“ zu machen, vielleicht sogar automatisch? Sogenannte externe „Bedrohungsintelligenz“ (Threat Intelligence) will dafür eine Lösung bieten. Mit maschinenverwertbaren „Threat Feeds“ sollen vorhandene Überwachungs- oder Blocking-Technologien in die Lage versetzt werden, aktuelle Angriffsmuster besser zu erkennen. Damit besteht die Möglichkeit, Verteidigungsstrategie (semi ) automatisch zu verbessern.

Aber auch hier sollte die eigene Erwartung mit der Realität in Übereinstimmung gebracht werden. Die vielen frei verfügbaren Feed-Quellen und kommerzielle Daten sind zweifelsohne interessant. Aber etwas Skepsis ist gewiss angebracht, zumindest beim Begriff „Intelligence“. Denn nur, wenn diese Daten in den Kontext meiner Unternehmung gebracht werden können, entsteht dadurch echte und neue Intelligenz.

Die Mitarbeiter tragen die Kultur
Das Fazit: Es stimmt tatsächlich – die Zeit zum Umdenken ist gekommen. Jedes Unternehmen hat es selbst in der Hand und bestimmt den Weg zu mehr IT-Security. Aber Technologie ist dabei immer nur ein Baustein. Dreh- und Angelpunkt ist vielmehr der Mitarbeiter, das vermeintlich schwächste Glied in der Security-Abwehrkette. Denn zugleich sind die Mitarbeiter auch das wertvollste Gut eines Unternehmens.

Warum also nicht das wertvollste Gut mit Wissen und Praxis anreichern, um das schwächste Glied zum stärksten zu machen? Aus- und Weiterbildung der eigenen Mitarbeiter vermittelt das notwendige Wissen über Bedrohungen (auch über gezielte Angriffe mit Social Engineering); kontinuierliche interne Kommunikation fördert das leider oft fehlende Security-Bewusstsein (Awareness) und ein konsequent sicherheitsbewusstes Verhalten. Zu einem ganzheitlichen Sicherheitskonzept gehören nicht nur innovative Geräte, Netzwerke und Applikationen – entscheidend ist eine passende Security-Unternehmenskultur.

Nermin Smajić, Director Services & Senior Security-Solution Architect, ectacom GmbH

Datum: 13.07.2017
Die News wird bereitgestellt von: itsicherheit-online.com