Mit der digitalen Transformation wandeln sich die Geschäftsprozesse und die IT-Landschaft in den Unternehmen massiv. Clouds, Mobility und das Internet of Things (IoT) basieren auf einer umfassenden Vernetzung der IT und einer immer engeren Verknüpfung von Geschäftsprozessen. Die Kehrseite der Medaille: Firmen und Behörden rücken auch hierzulande verstärkt in das Fadenkreuz von kriminellen Hackern.
Foto: Mashka - shutterstock.com
Täglich werden Unternehmen angegriffen und der weltumspannende Angriff mit der Ransomware "WannaCry" belegte ein weiteres Mal die Verletzlichkeit und das unzureichende Schutzniveau in vielen Unternehmen und Institutionen. An der Frequenz der Angriffe wird sich mittelfristig nichts ändern. Auf einen Rückgang zu hoffen wäre illusorisch. Es kommt jetzt darauf an, die Angriffsfläche so klein wie möglich zu halten, Systeme und Schnittstellen proaktiv zu überwachen und Wiederherstellungspläne in der Hinterhand zu haben.
Um herauszufinden, wo deutsche Unternehmen stehen, welche Strategien und Ansätze sie verfolgen und welche Technologien sie zur Absicherung nutzen, hat IDC die Studie "Next Gen Endpoint Security in Deutschland 2017" durchgeführt. Dazu wurden 280 IT-Entscheider und Anwender aus Unternehmen mit mehr als 100 Mitarbeitern in Deutschland befragt.
Foto: IDC, 2017
Die Ergebnisse wurden der IT-Fachpresse im Mai 2017 in München vorgestellt. Neben dem Studienautor Matthias Zacher teilten Milad Aslaner (Microsoft), Dr. Daniel Wagenführer (TA Triumph-Adler) und Richard Werner (Trend Micro) ihre Sicht auf den Markt mit den anwesenden Journalisten. Moderiert wurde die Diskussionsrunde von Lynn Thorenz, Leiterin des Bereichs Research und Consulting bei IDC.
Verschärfte Bedrohungslage
Fakt ist, dass mehr als die Hälfte der befragten Unternehmen sich in den vergangenen zwölf Monaten mit Angriffen auf ihre Informationstechnologie auseinandersetzen musste. Dass die Dunkelziffer bei IT-Sicherheitsvorfällen deutlich höher ist, liegt auf der Hand. Hackerangriffe werden also zu einer immer größeren Herausforderung.
Gelderpressungen, Wirtschaftsspionage, geopolitisch motivierte Attacken und Rufschädigung zählen aktuell zu den häufigsten Motiven der Angreifer. Ob Malware, Ransomware, Angriffe auf mobile Endgeräte oder gezielte Attacken auf definierte Personen oder Abteilungen: Für jede Attacke gibt es die passenden Werkzeuge.
- Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar. - Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar. - Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar. - Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
"Hierbei sehen wir einen verstärkten Fokus auf IoT und das Industrial Internet of Things (IIoT), aber auch auf Angriffe, die auf die Prozesse innerhalb von Unternehmen abzielen und dafür Passwörter beziehungsweise Identitäten benötigen", berichtet Richard Werner, Business Consultant bei Trend Micro. "Die Verteidigung kann deshalb nicht mehr nur auf ein Gerät begrenzt sein, sondern muss darauf fokussieren, wie ein Mitarbeiter sich innerhalb und außerhalb seiner IT-Infrastruktur bewegt."
Vom Gedanken, hundertprozentige Sicherheit erreichen zu können, müssten sich Unternehmen ohnehin verabschieden, ergänzte Werner. Um die Endpoints dennoch bestmöglich abzusichern, steht für Milad Aslaner, Senior Product Manager Windows Commercial und Security bei Microsoft Deutschland, eine wirklich tiefgehende Beschäftigung mit dem Thema sowie eine sorgfältige Analyse aller möglichen Schwachstellen im Unternehmen am Anfang aller Bemühungen.
Im Kern geht es um eine Neuorientierung des Security-Fokus vom bisher dominierenden "Prevent und Protect", das heißt einer eher reaktiv orientierten Sicherheitslandschaft, zum "Detect and Respond" mit dem Ziel einer kontinuierlichen Überwachung in Echtzeit und entsprechenden Maßnahmen als Reaktion auf Auffälligkeiten im System.
Foto: IDC, 2017
Die Akzeptanz notwendiger Veränderungen wächst, das unterstreichen auch die Studienergebnisse. Immerhin 77 Prozent der IT-Entscheider stufen "Detect und Respond" als wichtig oder gar sehr wichtig ein. In der Umsetzung der neuen Konzepte zeigen sich nach wie vor große Lücken, wie Meldungen über erfolgreiche Angriffe beinahe täglich beweisen. IT Security verändert sich, entwickelt sich dynamisch. "Eine Technologie, die heute als erfolgreich eingestuft wird, kann möglicherweise schon morgen von Angreifern analysiert und ausgehebelt werden", gibt Richard Werner zu bedenken.
Einigkeit bei allen Experten in der Runde herrscht darin, dass Endpoint Security nur im Zusammenspiel mit weiteren Security-Tools und Security-Prozessen im Unternehmen den höchstmöglichen Schutz bieten kann. "Ein integrativer Ansatz schützt Unternehmen besser als die Summe aller Security-Lösungen", sagt Milad Aslaner. Diese Message ist offenbar auch bei den Anwendern angekommen, 86 Prozent der befragten IT-Entscheider integrieren nach eigenen Angaben bereits Security-Lösungen. Die Integration unterschiedlicher Lösungen verschiedener Anbieter ist dabei das meist verbreitete Modell.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
In der Bewertung der verschiedenen Security-Prozessthemen steht die Integration an erster Stelle und unterstreicht noch einmal die Relevanz für die Anwender. Aus Sicht von IDC ist die Integration beziehungsweise Synchronisation verschiedener Lösungskomponenten ein zwingender Schritt für End-to-End Security-Architekturen. Das Auflösen bisheriger Security-Silos ist dabei ein unumgänglicher Schritt.