Milliarden für die IT-Sicherheit – Dennoch Angriffe so leicht wie nie
Unternehmensnetze werden immer komplexer, aber auch die Investitionen in die Entwicklung von Sicherheitstechnologien steigen stark. Dennoch scheint es, als ob es noch nie leichter war, ein Unternehmensnetzwerk zu infiltrieren als heute.
Cloud, Mobility, fehlende Fachkräfte, falsches Sicherheitsbewusstsein, IoT-Geräte, die Liste von potenziellen Einfallstoren für Cyberkriminelle lässt sich wohl noch eine Weile fortsetzen. Kritisch ist unter vielen Faktoren auch die Tatsache, dass die Kriminellen nicht mehr wie in alten Tagen darauf aus sind, Strukturen zu zerstören. Heute versuchen Kriminelle, möglichst lange unentdeckt in einem Netzwerk zu operieren, wie Tolga Erdogan, Director Solutions und Consulting beim IT-Dienstleister Dimension Data, bei der Podiumsdiskussion “IT meets Press” zum Thema Sicherheit erklärte. Dabei geht es vor allem darum, möglichst wertvolles Wissen aus einem Unternehmen heraus zu ziehen. Dafür beobachten Hacker ein Unternehmen häufig über mehrere Monate hinweg.
Dieser Kulturwandel und auch das massive Aufrüsten der Angreifer führt dazu, dass Unternehmen immer mehr Schwierigkeiten haben, einen Angriff überhaupt zu entdecken und dann abzuwehren. “Assume the Breach”, mit diesen knappen Worten bringt Milad Aslaner, Senior Product Manager Windows Commercial und Security bei Microsoft Deutschland, das Thema auf einen Punkt.
Heute sollte ein Unternehmen sich nicht fragen, ob ein Angriff möglich sei, sondern vielmehr davon ausgehen, dass dieser Übergriff bereits stattgefunden hat. Deshalb setze Microsoft inzwischen verstärkt auf Post-Breach-Lösungen. Die sollen nicht nur bei der Abwehr von Angriffen helfen, sondern auch forensische Tools für die Analyse von Übergriffen bereitstellen.
Dennoch verneint Erdogan von Dimension Data die Aussage, dass Compliance und Sicherheit heute schwerer geworden sind: “Nur die Auswirkungen eines Angriffs wiegen viel schwerer.” Erschwerend komme jedoch hier ein Skill-GAP hinzu. Ein Unternehmen, gerade im Mittelstand, habe heute massive Probleme, die geeigneten Kräfte zu finden, und wenn, dann “sind diese bei den Gehaltsgesprächen in einer extrem guten Verhandlungsposition”.
Und spätestens damit bekommt die IT-Sicherheit in Unternehmen auch eine politische Dimension. Mirco Rohr, Global Evangelist beim Antivirushersteller Bitdefender, kreidet an, dass die Ausbildung noch viel zu langsam sei und sich nicht entsprechend den Anforderungen der Sicherheitslage mitentwicklte.
Dem Mittelstand stehen aber auch noch andere Probleme ins Haus. Die Cloud bietet zunächst ein Sicherheitsniveau, das laut Rohr, “zunächst nicht so schlecht ist”. Doch hier müssen sich die Anwender auf die Versprechen der Anbieter verlassen.
Matthias Reinwarth, Senior Analyst bei KuppingerCole, sieht hier vor allem die Schwierigkeit, die Sicherheits-Services zu bewerten. Vielerorts wisse man nicht, ob die Daten beim Provider auch ausreichend gesichert würden. Viele Unternehmen unterhalten eine Vielzahl von Verträgen, da fällt es schwer, jeden einzelnen zu überprüfen. Doch indem man die Daten auslagert, gibt man die Verantwortung nicht ab.
“Die Verantwortung für die Sicherheit der Daten liegt immer beim Besitzer der Daten”, so Reinwarth weiter. Mögliche Auswege sieht der Berater etwa in dem Konzept Security by Design. Diese sollen Installationen ermöglichen. die von Haus aus sicher sind und auch einen sicheren Umgang gewährleisten. Auch dem Thema Identität bekomme in diesem Zusammenhang eine Bedeutung: Gefordert seien sicher authentifizierte Identitäten, die auch in Bereichen wie IoT für die entsprechenden Berechtigungen sorgen.
Auch in diesem Fall regt sich Kritik am Gesetzgeber. Spilker von der DATEV ist zwar überzeugt, dass Cloud-Angebote auch einen Mehrwert für die Sicherheit liefern können, doch sei hier eine eindeutige Rechtslage nicht gegeben. “Es gibt Regularien, die “Stand der Technik” vorschreiben – Wer definiert denn was das genau umfasst?” Anwender können sich hier also nicht auf eine eindeutige Rechtspsprechung berufen, sondern müssen sich auf die Angebote und Versprechen der Provider verlassen.
Nun ist die DATEV als Anbieter für sicherheitssensible Anwender wie Steuerberater und Kanzleien in einer bequemen Situation: “Jeder unserer Anwender kann über von uns definierte Schnittstellen Daten in unserem Rechenzentrum speichern und abrufen, und wir verteilen diese Daten dann verlässlich an die richtige Stelle. Wenn er unsere Cloud nicht als Datendrehscheibe nutzen würde, müsste er zum Teil hunderte verschiedene Kommunikationswege pflegen und absichern.”
Und genau diese unterschiedlichen Kommunikationswege können aber Lücken in der Absicherung verursachen. Um Ende zu Ende die Daten vor krimineller Manipulation zu Schützen empfiehlt Consultant Reinwarth Technologien während des Transports wie Hashing oder Verschlüsselung.
Doch auch damit alleine scheint es nicht getan: Dokumentation und Archivierung von Datensammlungen sollten über einen Security-Lifecycle besonders geschützt werden, fordert Erdogan, denn “über eine Technologie wie das Prüfsummenverfahren, das vor zehn Jahren als sicher galt, lachen heute Sicherheitsexperten”.
Hier könnten laut Reinwarth Blockchain-Technologien zum Einsatz kommen, komplette elektronische Prozesse abzusichern. Durch die Write-once-Read-Many-Technolgoie könne sichergestellt werden, dass übermittelte Daten nicht manipuliert werden.
Doch auch mit noch so ausgefeilten Technologien werde es nicht möglich sein, absolute Sicherheit zu gewähren. Auch ein Provider wie die DATEV, die enormen Security-Aufwand betreibe, wie Spilker versichert, könne das nicht gewähren: “Wir haben einen hohen Schutz durch Prävention, aber wir müssen auch auf Detection und Reaction fokussieren.”
Hacker können beispielsweise Stellenangebote abgreifen und eine Mail an die Personalabteilung schicken, die diese an die entsprechende Fachabteilung weiterleitet. In der Mail ist ein Link auf eine Ressource hinterlegt, wo weitere Unterlagen wie Zeugnisse etc. hinterlegt sein sollen. Doch genau da sitzt der Trojaner. Wie soll eine Personalabteilung das erkennen? “Natürlich haben wir unsere Mitarbeiter vor solchen Anschreiben gewarnt. Aber das können wir immer erst, nachdem eine neue Masche entdeckt worden ist.”
Man müsse also immer damit rechnen, dass etwas passiert, und sich entsprechend vorbereiten, um im Falle eines Falles den Schaden bestmöglich zu begrenzen. Denn es sei noch nie so einfach gewesen wie heute, “einen erfolgreichen Angriff zu starten, selbst für Laien”, so Erdogan.
Praxisleitfaden für den Schutz von Unternehmen vor Ransomware
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.