Eigentlich ist es eine Binsenweisheit: Die Digitalisierung erfordert ein völlig neues Verständnis von IT-Sicherheit. Immer mehr Devices im Netz, die zunehmende Vernetzung von Geräten und Maschinen (Internet of Things), neue Arbeitsformen und Arbeitsgewohnheiten von Mitarbeitern sowie der Siegeszug von Technologien wie Künstlicher Intelligenz. Doch die Bewältigung dieser Herausforderungen bereitet den Security-Verantwortlichen vielfach Kopfzerbrechen: insbesondere, weil die "alten" Instrumente nicht mehr funktionieren beziehungsweise nicht mehr ausreichen. Denn die Massenangriffe mit Viren, Würmern und Trojanern, die sich mit gängiger Sicherheitssoftware, Signaturen und Verhaltensregeln gut abwehren ließen, sind passé oder dienen nur noch der Ablenkung vom eigentlichen Problem.
Einig waren sich die Branchenexperten, die auf Einladung der COMPUTERWOCHE zum Thema Endpoint Security diskutierten, in einem zentralen Punkt: Endpoint Security ist und bleibt der Dreh- und Angelpunkt einer umfassenden IT-Sicherheitsstrategie in Unternehmen.
- Roundtable 2 Endpoint Security Management
Endpoint Security ist und bleibt Dreh- und Angelpunkt einer umfassenden IT-Sicherheitsstrategie in Unternehmen. Darin waren sich Branchenexperten, die auf Einladung der COMPUTERWOCHE diskutierten, einig. Die wichtigsten Statements der Diskutanten lesen Sie im Folgenden... - Tim Berghoff, G Data Software
"Häufig fehlt es noch an der nötigen Awareness für das Thema. In vielen Fällen dient der Virenschutz immer noch als Ersatz für den gesunden Menschenverstand. Anwender müssen spielerisch für das Thema sensibilisiert werden, zum Beispiel durch ein interaktives Quiz."<br /> "Wir sind in der IT-Security immer mehr gezwungen, prozessorientierter zu denken. Natürlich sind unsere klassischen Firewalls und Antivirenprogramme nach wie vor unverzichtbar. Aber es geht letzten Endes darum, das Unternehmen so zu schützen, dass es auch nach einer massiven Cyber-Attacke handlungsfähig bleibt." - Michael Haas, watchguard
"Mittelstand ist nicht gleich Mittelstand. Es gibt in diesem Marktsegment Firmen, die auf ein tradiertes – man könnte auch sagen konservatives – Sicherheitskonzept setzen und mobile Endgeräte, geschweige denn Bring your own Device, ausnahmslos verbieten. Und es gibt Unternehmen, darunter auch viele Start ups, die genau den gegenteiligen Ansatz verfolgen."<br /> "Auf Dauer wird man sich aber als Unternehmen dem mobilen Internet und der absoluten Endgerätefreiheit nicht verweigern können."<br /> "Es wird immer Mitarbeiter geben, die ihr Passwort auf einen Zettel notieren und diesen in unmittelbarer Nähe ihres Devices frei zugänglich aufbewahren." - Frank Kölmel, Palo Alto Networks
"Der Endpoint ist unverändert wichtig, aber die eigentliche Security-Intelligenz befindet sich heutzutage im Netz."<br /> "Der Endpoint ist je nach Branche und Unternehmen unterschiedlich. Im Pharmabereich ist es in einer Produktionsstraße die einzelne Maschine oder sogar eine einzelne Steuereinheit darin, in der Konsumgüterindustrie kann es beispielsweise eine Armbanduhr sein."<br /> "Die meisten CISOs haben kein Budget und sind nicht in das operative IT-Management eingebunden. Sie kümmern sich eher um Themen wie Compliance, Governance und Audits. Was wir bei unseren Kunden sehen, ist, dass die operative IT-Security-Verantwortung immer häufiger direkt in die Fachbereiche wandert – zum Beispiel in dedizierte Cloud-Teams." - Rüdiger Trost, F-Secure
"Wir reden im Zeitalter von 5G längst über das mobile Internet. Insofern ist die Abwehr gezielter Angriffe auf einzelne Endgeräte die Herausforderung, um die es geht - also zeitgemäße Detection & Response, und nicht so sehr das Überwachen der zentralen IT mit Gateways und Perimeterschutz."<br /> "Wir müssen das Bewusstsein der Mitarbeiter verändern. Endpoint Security ist nicht nur dort relevant, wo es einen Bildschirm gibt. Jedes Gerät, das über eine IP-Adresse verfügt, ist ein Endpoint."<br /> "Awareness-Schulungen sind gut und schön, reichen aber nicht aus. Man wird immer einen bestimmten Prozentsatz von Mitarbeitern im Unternehmen haben, die entweder naiv oder mutwillig agieren."<br /> "Security ist letzten Endes immer auch eine Kulturfrage. Unternehmen sollten eigentlich jeden Prozess so aufsetzen beziehungsweise hinterfragen, dass auch alle Security-Belange abgedeckt sind. Das sollte so selbstverständlich sein wie die Tatsache, dass man abends, bevor man das Büro verlässt, die Fenster schließt." - Peter Neumeier, Kasperky Lab
"Natürlich ist Endpoint Detection & Response das beherrschende Thema. Aber wir dürfen nicht vergessen, dass es bei vielen kleinen und mittelständischen Firmen noch ganz anders aussieht. Da verbirgt sich hinter der Firewall und einer Antivirensoftware nicht mehr sonderlich viel an weiterer IT-Security-Infrastruktur. Viele sind schon mit dem einfachen Patch-Management überfordert. Wenn dann noch Themen wie Bring your own Device dazu kommen, wird es ganz spannend. Und das ist ja auch nachvollziehbar, denn Unternehmen konzentrieren sich auf ihr Kerngeschäft; da fehlt das tiefere Wissen über Cyber-Sicherheit, und die Verteidigung möglicher Angriffe kommt entsprechend häufig zu kurz."<br /> "Die größte Schwachstelle ist und bleibt der Mensch infolge von Unachtsamkeit, Leichtsinn oder leider auch hin und wieder Mutwilligkeit. IT-Security ist insofern auch immer ein Top-down-Management-Thema. Geschäftsführung und IT müssen ständig versuchen, das Bewusstsein dafür zu schärfen. Eine ausgeprägte Awareness wird durch kontinuierliche Aufklärung und durch das Vorleben seitens der Führungskräfte geschaffen. Es nutzt wenig, mit einem halbtägigen Security-Workshop große Unruhe zu verbreiten, da das Thema zwei Tage später wieder vergessen ist. Besser ist es, auf Micro Learning, verschiedene Kursformate und kontinuierliche Vertiefung zu setzen, denn so wird die Belegschaft nachhaltig in die IT-Sicherheitsstrategie eines Unternehmens eingebunden." <br />"Als derzeitige Trends sehen wir vor allem Automatisierung sowie die stärkere Nutzung von Threat Intelligence Services." - Roland Messmer, Fidelis Security
"Neben dem fehlenden Know-how und unzureichenden personellen Ressourcen gibt es in den meisten Unternehmen noch ein weiteres Problem: einen Wildwuchs an installierten Security-Tools. Wir kennen Fälle, in denen bis zu 50 unterschiedliche Security-Lösungen im Einsatz waren."
Bedrohung verlagert sich vom Client ins Netz
Heutzutage geht es um gezielte Attacken auf das Endgerät einzelner Mitarbeiter und um das Eindringen in Netzwerke mit dem Ziel, sich dort über Wochen verdeckt zu bewegen und so das Unternehmen auszuspähen und/oder mit einem "Big Bang" wichtige Geschäftsprozesse lahmzulegen. Ebenfalls sehr verbreitet ist das Credential Stuffing, also der Missbrauch von gestohlenen Zugangsdaten wie Benutzernamen und Passwörtern, bei dem die Angreifer verstärkt auf automatisierte Verfahren mithilfe von Bots setzen. Im Fokus steht also nicht mehr nur die zentrale IT mit Gateways und Perimeterschutz. Auch wird es immer schwieriger, solche Attacken rechtzeitig zu entdecken, wenn zunächst alle IT-Systeme weiter stabil laufen und herkömmliche Sicherheits-Tools keinen Alarm melden. Der Schutz des klassisches Endpoints ist insofern nach wie vor wichtig, aber die eigentlich Security-Herauforderung liegt Branchenkennern zufolge im Netz.
Informationen zu den Partnerpaketen für die Studie "Endpoint Security Management 2019"
Nach wie vor kommt bei der Abwehr dieser Gefahren der IT-Security-Disziplin Endpoint Detection and Response (EDR) essenzielle Bedeutung zu. Im Wesentlichen geht es dabei darum, alle Aktivitäten auf PCs, Notebooks, Tablets, Smartphones und Druckern aufzuzeichnen und auf Schwachstellen zu analysieren. Wenn es dann bei der Anmeldung von Nutzern, beim Öffnen von Dateien, bei Speicherzugriffen und aufgebauten Netzwerkverbindungen Anzeichen für ein mögliches Eindringen Unbefugter gibt, kommen die "Response"-Features von EDR-Lösungen zum Einsatz, die den Angriff zielgerichtet abwehren.
Alles mit IP-Adresse ist ein Endpoint
Aber das Endgerät als Endpunkt steht heute längst nicht mehr nur als PC im Büro. Immer mehr Mitarbeiter nutzen auch im beruflichen Alltag das Smartphone - vorzugsweise das eigene. Doch auch das professionelle Managen von Bring your own Device (ByoD) greift aus Sicht von Branchenkennern im Sinne eines umfassenden Security-Ansatzes inzwischen viel zu kurz. Vielmehr ist Endpoint Security nicht mehr nur dort relevant, wo ein Bildschirm ist, sondern betrifft jedes Device mit einer IP-Adresse. Die Bandbreite reicht somit vom Sensor eines Maschinenbauteils bis zur Webcam.
"Der Endpoint ist je nach Branche und Unternehmen unterschiedlich. Im Pharmabereich ist es zum Beispiel in einer Produktionsstraße die einzelne Maschine oder sogar eine einzelne Steuereinheit darin, in der Konsumgüterindustrie kann es durchaus auch eine Armbanduhr sein", sagt Frank Kölmel, Vice President Central Europe bei Palo Alto Networks, und bringt so das Szenario auf den Punkt. Ganz zu schweigen vom autonomen Fahren, dass das Auto der Zukunft zum fahrenden Data Center mutieren lässt.
Es fehlt immer noch an Awareness
Die technologische Dynamik im Markt ist also frappierend - durch immer neue Anwendungsszenarien und durch immer größere Aufwände, die die Angreifer betreiben. Dennoch ist die Tragweite des Themas offenbar noch nicht jedem Unternehmen bewusst. "Häufig fehlt es noch an der nötigen Awareness für das Thema. In vielen Fällen dient der Virenschutz immer noch als Ersatz für den gesunden Menschenverstand", äußert sich Tim Berghoff, Security Evangelist DACH bei G Data Software, skeptisch.
Peter Neumeier, Head of Channel bei Kaspersky Lab, schlägt in die gleiche Kerbe: "Natürlich ist Endpoint Detection & Response das beherrschende Thema. Aber wir dürfen nicht vergessen, dass es bei vielen kleinen und mittelständischen Firmen noch ganz anders aussieht. Da verbirgt sich hinter der Firewall und einer Antivirensoftware nicht mehr sonderlich viel an weiterer IT-Security-Infrastruktur. Viele sind schon mit dem einfachen Patch-Management überfordert. Wenn dann noch Themen wie Bring your own Device dazu kommen, wird es ganz spannend." - einerseits nachvollziehbar, weil viele der kleineren Unternehmen weder personelle Ressourcen noch das Know-how sowie das Budget haben, sich um eine ausgefeilte Security-Strategie zu kümmern, andererseits höchst problematisch, weil es umfassende IT-Security eben nicht zum Nulltarif gibt.
Security-Tool-Wildwuchs
Doch damit nicht genug: Branchenkenner Roland Messmer von Fidelis Security macht noch ein weiteres Fass auf: "Neben dem fehlenden Know-how und unzureichenden personellen Ressourcen gibt es in den meisten Unternehmen noch ein weiteres Problem: einen Wildwuchs an installierten Security-Tools. Wir kennen Fälle, in denen bis zu 50 unterschiedliche Security-Lösungen im Einsatz waren."
Guter Rat ist insofern für die Anwender teuer. Immer mehr Firmen können kaum noch alle ihre Endpoints sicher managen und müssen sich genau überlegen, welche Security-Themen sie noch selbst abdecken können und welche nicht. Make or buy ist also auch hier die entscheidende Frage. Nicht nur für Rüdiger Trost, Head of Cyber Security Solutions DACH bei F-Secure, sind daher Managed Security Services inzwischen "alternativlos".
Managed Security Services gefragter denn je
Aber der Weg zu dieser Erkenntnis ist lang und mit Dornen gepflastert. Während schon mehr als die Hälfte der deutschen Unternehmen auf IT-Security-Services von externen Dienstleistern zurückgreift, können oder wollen sich kleinere Firmen diese oft nicht leisten, und die Führungskräfte streiten, was nötig ist und was nicht - so eines der zentralen Ergebnisse der COMPUTERWOCHE-Studie "Managed Security Services 2018". Gleichzeitig gab mehr als die Hälfte der befragten Führungskräfte zu Protokoll, dass die wachsende Komplexität von Cyber-Attacken für die IT-Abteilungen ein immer größeres Problem darstellt.
Dieses in Teilen widersprüchliche Stimmungsbild und Verhalten der Anwender trifft auf immer ausgefeiltere Methoden und leistungsfähigere Tools, die die einschlägigen Anbieter im Portfolio haben. So gehört unter anderem Machine Learning (ML) heute zu den fortschrittlichsten Technologien für die schnelle und präzise Bedrohungsanalyse. Gerade in Fällen, in denen sich Angreifer auch über kompromittierte Zugangsdaten und Nutzerrollen Zugriff auf das System verschaffen, kann eine ML-gestützte Analyse des Nutzerverhaltens ungewöhnliche Aktivitäten und damit eine mögliche Bedrohungslage erkennen.
Fortschritte mit Threat Intelligence
In eine ähnliche Richtung gehen so genannte Threat Intelligence Services, die sich on-premise oder cloud-basiert nutzen lassen, größtenteils automatisiert Data Feeds aus den verschiedensten Quellen und Anwendungssilos eines Unternehmens konsolidieren und daraus einheitliche Security-Reports ableiten können. "Wir sind in der IT-Security immer mehr gezwungen, prozessorientierter zu denken. Natürlich sind unsere klassischen Firewalls und Antivirenprogramme nach wie vor unverzichtbar. Aber es geht letzten Endes darum, das Unternehmen so zu schützen, dass es auch nach einer massiven Cyber-Attacke handlungsfähig bleibt", sagt Berghoff und fasst damit die Anforderungen aus Sicht der Industrie nochmals zusammen.
Die große Unbekannte in diesem Spiel ist indes nach wie vor der einzelne Mitarbeiter. Noch einmal Peter Neumeier dazu: "Die größte Schwachstelle ist und bleibt der Mensch infolge von Unachtsamkeit, Leichtsinn oder leider auch hin und wieder Mutwilligkeit. IT-Security ist insofern auch immer ein Top-down-Management-Thema. Geschäftsführung und IT müssen ständig versuchen, das Bewusstsein dafür zu schärfen. Eine ausgeprägte Awareness wird durch kontinuierliche Aufklärung und durch das Vorleben seitens der Führungskräfte geschaffen. Es nutzt wenig, mit einem halbtägigen Security-Workshop große Unruhe zu verbreiten, da das Thema zwei Tage später wieder vergessen ist."
Studie "Endpoint Security Management": Partner gesucht
Zum Thema Endpoint Security Management führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, welche Herausforderungen zunehmende Mobilität, Cloud-First-Strategien und andere Trends für den Endpoint-Schutz mit sich bringen. Zu den Fragen zählen: Wie sollten funktionierende Security-Policies aussehen und welche Management-Tools gilt es zu implementieren? Inwieweit lässt sich Endpoint Security auslagern?
Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann helfen Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 745) oder Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Endpoint-Security-Management-Studie finden Sie auch hier zum Download (PDF).