Internationale Studie

Deutsche Unternehmen sind besonders verwundbar

05.04.2016
Von 
Markus Auer Sales Director Central Europe bei BlueVoyant. Davor war er als Regional Sales Manager Central Europe bei ThreatQuotient beschäftigt. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne.
Jede Organisation muss mit einem Cyberangriff rechnen. Zentralisiertes Incident Response bietet die Best-Practice-Lösung für die aktuelle Bedrohungslandschat
  • In Deutschland kommt es zu erheblich mehr Sicherheitsvorfällen als in Großbritannien oder in den USA. Das sagt zumindest eine aktuelle Studie.
  • Ein besonders große Risiko stellen die mangelnde Sichtbarkeit und Transparenz der Endpunkte dar. Durch immer mehr vernetzte (Mobil-)Geräte wächst diese Gefahr weiter rasant.
  • IT-Sicherheitsfachleute brauchen Lösungen, die automatisierte Reaktionen und die Integration von Drittanbieter-Sicherheitstools ermöglichen.

In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein neues Paradigma Assume the Breach: "Statt einer reinen Abwehr gegen Angriffe gehört es zum Risikomanagement einer Organisation, sich darauf einzustellen und darauf vorzubereiten, dass ein IT-Sicherheitsvorfall eintritt oder ein Cyber-Angriff erfolgreich ist. Dazu müssen Strukturen geschaffen, Verantwortlichkeiten benannt und Prozesse geübt werden, wie mit einem anzunehmendem Vorfall umzugehen ist."

Prävention statt Reaktion - das ist das Paradigma der IT-Sicherheit, das seit einiger Zeit gepredigt und zunehmend auch gelebt wird.
Prävention statt Reaktion - das ist das Paradigma der IT-Sicherheit, das seit einiger Zeit gepredigt und zunehmend auch gelebt wird.
Foto: GlebStock - shutterstock.com

Die Bedrohung ist ernst, doch wird sie von vielen Unternehmen nach wie vor unterschätzt. Dabei gibt es gleich mehrere Gründe, warum Unternehmen ihre Einstellung zum Thema IT-Sicherheit verändern müssen. Mitarbeitereigene Geräte (Bring your own Device = ByoD), Geräte aus dem Internet der Dinge (IoT) und andere nur temporär angeschlossene Devices verlangen Zugang zu den Unternehmensnetzen und schaffen neue Angriffsvektoren. Die Absicherung mobiler Endpunkte mit herkömmlichen Tools ist schwierig bis schier unmöglich. Sicherheitslösungen wie Virenschutz, Patch-Management und Schwachstellenanalysen gehen davon aus, dass die vorhandenen Endgeräte unternehmenseigen sind und statisch im Netz verbleiben - doch all das entspricht heute nicht mehr der Realität.

In Deutschland kommt es zu erheblich mehr Sicherheitsvorfällen als in Großbritannien oder in den USA. Vor Kurzem befragte Frost & Sullivan IT- und Sicherheitsfachkräfte aus Großunternehmen in diesen drei Ländern zu Sicherheitsvorfällen der letzten 12 Monate. Den deutschen Firmen war es dabei am schlechtesten ergangen: 83 Prozent der deutschen Umfrageteilnehmer räumten ein, dass sich bei ihnen fünf oder mehr Vorfälle ereignet hatten. In den USA waren es 67 Prozent und in Großbritannien 69 Prozent. Die Zahlen im Ausland sind schon alarmierend, doch nirgendwo ist die Ziffer so hoch wie in der Bundesrepublik.

Bei näherem Hinsehen zeigt die Umfrage, dass die Unternehmen besonders im Hinblick auf die Verwaltung von Smartphones, Tablets und Endnutzer-Computern verwundbar sind. So ereigneten sich zum Beispiel in 42 Prozent aller deutschen Unternehmen fünf oder mehr Sicherheitsvorfälle im Zusammenhang mit Smartphones oder Tablets - das ist ein wesentlich höherer Anteil als in Großbritannien (17 Prozent) und den USA (23 Prozent).

ByoD und IoT lassen sich absichern

Ein generelles Risiko, das sich in allen Antworten spiegelt, ist die mangelnde Sichtbarkeit und Transparenz der Endpunkte. Das Corporate Executive Board konstatiert, dass 40 Prozent der IT mittlerweile der Kontrolle durch die Netzwerkadministratoren entzogen ist. Unternehmen verfehlen ihre Compliance-Ziele und die Durchsetzung der Richtlinien in ihren Netzen, weil sie einen Teil der Endpunkte nicht erreichen können.

Angesichts der steigenden Zahl von IoT-Geräten ist es mit 802.1X-Protokollen allein nicht mehr getan. Die Sicherheitsteams können nicht davon ausgehen, dass die Agenten und Sicherheitseinstellungen für alle Geräte richtig konfiguriert sind - und IoT-Geräte unterstützen Agenten in der Regel überhaupt nicht. Die Zeiten der Netze voller Ethernet-basierter PCs sind vorbei, und an ihre Stelle treten Cloud-Umgebungen mit einer Vielzahl ganz unterschiedlicher Geräte.

Die digitale Integration ermöglicht neue Arbeits- und Denkweisen, doch unverändert gilt, dass IT-Systeme abgesichert werden müssen. Es gibt zeitgemäße Wege, um Datensilos und Blind Spots zu vermeiden. Lösungen zur Verwaltung mobiler Geräte und Agenten können dazu beitragen, Unternehmensnetze zu schützen, doch gibt es dabei einige Punkte zu beachten.

Das erste Problem bei Agenten ist, dass ihre Fähigkeit zum Schutz unterschiedlicher Betriebssysteme begrenzt ist; für einen dynamischen Rollout sind sie oft nicht geeignet. Geräte, die nicht ständig mit dem Netz verbunden sind, geraten somit leicht aus dem Blickfeld. Ein zweites Problem sind Fehlkonfigurationen von Agenten. Gerade in größeren Organisationen, deren IT-Umgebungen angepasst werden müssen, kommen solche Fehler häufig vor. Daraus ergibt sich Problem Nummer drei: Die Konfiguration kostet Zeit. Agenten auf Drittanbieter-Geräten zu installieren und zu verwalten, ist eine langwierige Aufgabe, die die IT-Abteilungen belastet. Zudem werden die verschiedenen Konzepte von ByoD und der Consumerization von IT nicht in jedem Unternehmen sofort strategisch richtig erfasst und entsprechend gelöst.

Integration, Sichtbarkeit und Transparenz

Gartner schlägt ein adaptives Sicherheitsmodell vor, bei dem Sicherheitsverletzungen mittels richtlinienbasierter, automatisierter Reaktionen auf Anfälligkeiten jederzeit adressiert werden können - und zwar nicht nur vor einem Ereignis, sondern auch während eines Angriffs und danach. Sichtbarkeit, Transparenz und Problembehebung müssen gewährleistet sein, um die Bedrohung zu minimieren. Mit anderen Worten: Der Fokus liegt nicht allein darauf, einen Angriff zu stoppen, sondern auch auf der Begrenzung des Schadens, den er anrichten kann.

Doch so gut sich das in der Theorie auch anhören mag - den meisten IT-Administratoren wird die Umstellung auf ein solches Sicherheitsmodell Schwierigkeiten bereiten. Wenn zu viele Sicherheitslösungen gleichzeitig laufen, ohne Informationen miteinander auszutauschen, wird kein nachhaltiges Schutzniveau erreicht. Das SC Magazine befragte unlängst 350 Führungsmitarbeiter und Consultants aus der IT-Sicherheitsbranche über ihre aktuelle Aufstellung im Hinblick auf Sicherheitstools. Dabei zeigte sich, dass 52 Prozent der Unternehmen mit mehr als einer Milliarde Dollar Umsatz über 13 Sicherheitslösungen im Einsatz haben. Und 78 Prozent der Befragten wünschen sich, dass diese Tools miteinander verbunden werden, damit sie mehr Wirkung zeigen und künftige Kompromittierungen leichter verhindert werden.

IT-Sicherheitsfachleute brauchen Lösungen, die automatisierte Reaktionen und die Integration von Drittanbieter-Sicherheitstools ermöglichen. In der "(ISC)² Global Information Security Workforce Study" lautete die häufigste Antwort auf die Frage nach der besten Technologie für mehr Sicherheit: "Network Monitoring und Network Intelligence". Der Umfrage zufolge favorisieren 75 Prozent aller IT-Fachleute Lösungen auf Basis des Netzwerkzugangs, um ihre Sicherheitskonzepte voranzubringen. Zudem ergab diese Umfrage, dass die Hälfte aller IT-Fachleute einen beträchtlichen Teil ihrer Zeit damit verbringen, neue Technologien wie ByoD, IoT und soziale Medien zu integrieren.

Fazit

Die Ergebnisse machen nicht nur deutlich, dass jedes Unternehmen in Gefahr ist, sondern auch, dass die IT-Fachleute unter Druck stehen. Die Umfrageergebnisse und das neue Paradigma des BSI zeigen, dass sich Firmen dem Risiko von Sicherheitsverletzungen stellen müssen. Sie müssen neue Lösungen finden, die dem IoT gerecht werden, denn andernfalls sind diese Sicherheitsverletzungen eine ernste Gefahr.

Doch gibt es auch Möglichkeiten, sich besser zu schützen: Mit richtiger Koordination können die vorhandenen Sicherheitslösungen Erkenntnisse austauschen und Richtlinien automatisch umgesetzt werden. Auf diese Weise können Organisationen von der digitalen Integration profitieren, ohne bedroht zu sein. Dazu muss aber jedes Gerät im Netzwerk erfasst werden - Sicherheit durch Sichtbarkeit.

Dies gilt auch für kleine und mittlere Unternehmen (KMUs), die sich oft für zu klein halten, um angegriffen zu werden. Gerade in Deutschland sind KMUs ein Rückgrat der Wirtschaft und verfügen über große Vertriebskanäle. Sie teilen Daten und Netzwerke mit Partnern, und so kann eine Sicherheitspanne weitreichende Konsequenzen haben.

Die Best-Practice-Lösung, um die Herausforderung von Assume-the-Breach-Szenarien zu meistern, ist eine zentralisierte Reaktion auf Incidents und kontinuierliches Monitoring jedes einzelnen Geräts. Intelligente Tools erlauben automatisierte Aktionen auf Vorfälle und richtlinienbasierte Durchsetzung von Policies. Auf diese Weise kann jedes Unternehmen Compliance sichern und Sicherheitsvorfälle entschärfen, bevor gravierender Schaden entsteht. (sh)