IT-Security: Immer Ärger mit den Endpoints
Die sogenannten Endpoints – also die von den Nutzern verwendet Smartphones, PCs, Tablets, Notebooks und eventuell weiteren Geräte – abzusichern, ist schon lange eine wichtige Aufgabe der IT. Doch vielfach wird in einer neuen Welt immer noch versucht, sie mit Mitteln von vorgestern zu bewältigen.
Wohl kein anderer Bereich der Unternehmens-IT entwickelt sich so schnell und hat so eine breite Produktpalette hervorgebracht wie das Segment der Endpoints – also der Geräte, mit denen Nutzer mit IT-Systemen interagieren. Während das früher nur der PC war, kamen im Laufe der Zeit Notebooks, Smartphones, Tablets sowie eigentlich privat genutzte PCS, Notebooks und Mobilgeräte, die aber gelegentlich zum Zugriff auf Firmen-IT verwendete werden, hinzu. Das liegt auch daran, dass hier Consumer-Technologie am leichtesten in die Firmen hineingetragen werden kann.
Und aufgrund der immer besseren Ausstattung sind inzwischen eigentlich auch Netzwerkdrucker und netzwerkfähige Multifunktionsgeräte als Endpunkte zu sehen, steckt in ihnen doch letztlich auch ein mehr oder weniger großer Computer, was sie vom einfachen, ausführenden Peripheriegerät zum komplexeren, aber auch angreifbaren, oft über das Internet erreichbaren Gerät macht.
IT-Sicherheitsanbieter und Verantwortliche für IT-Sicherheit in Firmen haben sich nach Kräften bemüht, mit der Entwicklung Schritt zu halten. Für die Anbieter war das durchaus lukrativ, konnten sie doch immer wieder neue Produkte auf den Markt bringen oder zumindest bestehende Produkte um kostenpflichtig zu erwerbende Zusatzmodule erweitern. So wurden Anti-Malware-Suiten, Security-Software für Server, Software für Zugriffskontrolle und Benutzerverwaltung, URL-, Web- und Content-Filter, aber auch Tools für das Patch Management, Data Loss Prevention oder Schwachstellen-Scans zumindest in größeren Firmen nahezu Standard.
In der Folge verfügen Firmen inzwischen über ein ganzes Arsenal an Abwehrmechanismen. Die sind nur teilweise in einem Produkt vereint, oft kommt dazu eine Vielzahl von Produkten von mehreren Herstellern zum Einsatz. Und selbst, wenn manche vom selben Anbieter stammen, ist doch noch lange nicht gesagt, dass sie sich einheitlich verwalten lassen, haben doch auch die Anbieter auf neue Anforderungen häufig durch Zukäufe in dem Segment reagiert und lässt die vollständige Integration in das Hauptprodukt teilweise lange auf sich warten.
Einer Befragung von IDC im April bei mittelständischen und großen deutschen Firmen zufolge sind daher 18 Security-Lösungen für die Abwehr diverser Schachstellen bei mindesten 50 Prozent der Befragten im Einsatz. Ziel der Umfrage war es herauszufinden, inwieweit “Next Gen Endpoint Security” bei den Firmen bereits angekommen ist.
Darunter versteht IDC laut Ausführungen von Matthias Zacher, Manager Research & Consulting bei dem Unternehmen, Security-Ansätze, die über die traditionellen hinausgehen, indem sie zum Beispiel auch Schutzmethoden umfassen, die nicht ausschließlich auf Signaturen basieren, die Nutzung auf den Endpunkt ausgerichteter Analyse- und Schutzwerkzeuge (im Gegensatz zu den herkömmlichen, das Firmennetz als solches als schützenswert behandelnder Tools), die Sandboxing, Verhaltensbasierende Analysen, heuristische Methoden, Integritätsprüfungen für Dateien, aber auch die Nutzung von Managed Security Services und Cloud Security Services. Das gesamte Konzept ist in der untenstehenden Grafik noch einmal dargestellt.
Die veränderte Situation bei den Endpoints hat aber auch dafür gesorgt, dass es nicht einfach ausriecht, das Gerät als solches auf dieselbe Art und Weise abzusichern, wie früher PCs. IDC rechnet zu den Handlungsfeldern, die zur Absicherung von Endpoints in Unternehmen abgedeckt werden müssen, auch die Kontrolle von Apps, Inhalten, der Gateways, der Messaging-Technologien und der Übertragungswege.
Von reaktiven Security-Konzepten zu “Detect und Respond”
Das Thema Endpoint Security an sich hat bei den Befragten deutschen Firmen durchaus hohe Priorität. Beispielsweise rangiert “Sicherheit von Mobilen Devices” mit 37 Prozent hinter “Absicherung von Cloud Services“ (42 Prozent) und “Dokumentensicherheit” (37 Prozent) bei den Befragten zusammen mit “Absicherung virtualisierter Systeme” auf Rang drei der derzeit als vordringlich erachteten Handlungsfelder im Bereich IT-Security. Dennoch zieht IDC das Fazit: “Zwar sehen die Unternehmen den Nutzen moderner ganzheitlicher IT-Security, bei der Umsetzung haben viele Firmen aber noch deutlich Luft nach oben.”
Nach Ansicht der Marktforscher werden sich Unternehmen auch im Hinblick auf die fortschreitende Digitalisierung künftig nur dann effektiv schützen können, wenn sie die bisher verfolgten, weitgehend reaktiven Security-Konzepte aufgeben und proaktive Ansätze wie “Detect und Respond” gezielt umsetzen. Dabei käme es darauf an, “die Angriffsfläche so klein wie möglich zu halten, Systeme und Schnittstellen proaktiv zu überwachen und Wiederherstellungspläne verfügbar zu haben.”
Digitalisierung fängt mit Software Defined Networking an
In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.
Von den “proaktiven Ansätzen” empfiehlt IDC ausdrücklich “Detect und Respond”. Ziel hier müsse eine “kontinuierliche Überwachung in Echtzeit und entsprechenden Maßnahmen als Reaktion auf Auffälligkeiten im System” sein. Die Befragten IT-Entscheider sind sich hier weitgehend mit IDC einig: 77 Prozent von ihnen sehen “Detect und Respond” als wichtig beziehungsweise sogar sehr wichtig an. Allerdings nutzen den Ansatz erst 50 Prozent. 31 Prozent planen dieses Jahr immerhin erstmals Investitionen, um solch einen Ansatz umsetzen zu können. Weitere 7 Prozent planen bereits für 2018 damit.
Integrierte Security-Konzepte unerlässlich
“Endpoint Security kann nur im Zusammenspiel mit weiteren Security-Tools und Security-Prozessen im Unternehmen den höchstmöglichen Schutz bieten. Ein integrativer Ansatz schützt Unternehmen besser als die Summe aller Security-Lösungen”, betont IDC. Auch diese Botschaft ist in den Unternehmen weitgehend angekommen: 86 Prozent der befragten IT-Entscheider integrieren bereits Security-Lösungen. Außerdem steht bei ihnen bei der Bewertung der Security-Prozessthemen die Integration an erster Stelle.
Dem Wunsch trägt auch Microsoft Rechnung. Milad Aslaner, Senior Product Manager Windows Commercial und Security bei Microsoft Deutchland, verwies anläßlich der Vorstellung der Studienergebnisse durch IDC in München vor Journalisten auf das Windows Defender Security Center, das mit dem Creators Update für Windows 10 ausgeliefert wurde. “Die neue Übersicht bietet Nutzern einen zentralen Ort für die Verwaltung der integrierten Sicherheits-Features. Dort erhalten Anwender eine Übersicht zu vorhandenen Lösungen und kontrollieren, welche Schutzfunktionen eingesetzt werden.” Das Windows Defender Security Center ist dazu in die fünf Bereiche Antivirus, Geräteperformance, Firewall, Netzwerkschutz sowie App- und Browserkontrolle gegliedert.
Liste der zu sichernden Endpoints wird immer länger
Aber natürlich sind Windows und Windows-basierende Endpoints nur ein Baustein in einem umfassenden Security-Konzept. IDC hat ausdrücklich in seiner Studie in die Liste der zu sichernden Endpoints Netzwerkdrucker mit aufgenommen – nicht nur aufgrund diverser Vorfälle und Forschungsergebnisse im Frühjahr.
Richard Werner, Business Consultant bei Trend Micro Deutschland, geht aber noch einen Schritt weiter. Bezugnehmend auf Ergebnisse der Trend-Micro-Forschungsabteilung zu potenziellen künftigen Angriffsflächen und -vektoren erklärte Werner anlässlich der Vorstellung der IDC-Studie in München: “Wir sehen einen immer stärkeren Fokus auf den Bereich IoT und IIoT (Industrial Internet of Things), aber auch auf Angriffe, die auf die Prozesse innerhalb von Unternehmen abzielen und dafür Passwörter beziehungsweise Identitäten benötigen.”
Trend Mico sehe die Verteidigung deshalb nicht mehr auf ein Gerät begrenzt, sie müsse vielmehr darauf ausgerichtet sein, “wie ein Mitarbeiter sich innerhalb und außerhalb seiner IT-Infrastruktur bewegt. So sind die Standardeingabemedien wie Laptop und Smartphone genauso relevant, wie Cloud-Dienste, beispielsweise Office 365 oder Dropbox.”
Die Entwicklung bei Trend Micro gehe deshalb dahin, “alle Bedrohungsinformationen dieser Systeme zusammenzuführen und so den IT-Sicherheitsverantwortlichen einen genauen Überblick über relevante Angriffe zu verschaffen, die Angriffsoberfläche zu minimieren und sogar in begrenztem Maße zurückzuschlagen.”
Wie man gefährliche E-Mails identifiziert
Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.
Das sieht Helmut Nohr, Channel Sales Director bei Sophos, ähnlich: Seiner Auffassung nach müssen Security-Lösungen “miteinander kommunizieren, ähnlich wie beim Allradantrieb eine integrierte Abstimmung finden, um die größtmögliche Traktion, also Durchschlagskraft, zu erzielen.” Ein weiteres entscheidendes Thema ist seiner Auffassung nach die Integration neuer Technologien und Trends wie Big Data Analytics oder Machine Learning in bestehende IT-Security-Konzepte. ´
Nohr weiter: “Wir beobachten den Markt sehr genau und arbeiten ständig daran, Lösungen für neue Bedrohungen in unser Portfolio zu integrieren.” Beispiel dafür sei die Übernahme des Deep-Learning-Spezialisten Invincea im Februar dieses Jahres.
Mit ihren Ansichten und Plänen stehen aber weder Trend Micro noch Sophos alleine da. Sie sind weitgehend Konsens in der IT-Security-Branche. Wie weit sich ein Anbieter zu einem der zahlreichen verfügbaren “Trend-Fenster” hinauslehnt, hängt im Wesentlichen davon ab, wie weit er sich darin der Konkurrenz überlegen fühlt.
Anwenderunternehmen müssen deshalb allerdings nicht gleich den Lieferanten wechseln: Umso besser und fortgeschrittener die Integration ihres IT-Security-Konzepts ist, umso einfacher wird es für sie sein, Teilaspekte innerhalb des Gesamtkonzeptes zu verlagern. Und dass die Anwender das verstanden haben und darauf tendenziell hinarbeiten, zeigt die aktuelle IDC-Umfrage ebenfalls -zwar nicht in einem speziellen Antwortpunkt, aber zwischen den Zeilen dafür umso deutlicher.