Vor dem Hintergrund der digitalen Transformation und der sich wandelnden Bedrohungslage ist die umfassende Absicherung von IT-Systemen – und insbesondere der Endgeräte – nach wie vor eine der größten Herausforderungen für deutsche IT-Organisationen – das hat die kürzlich vorgestellte IDC-Studie "Next Generation Endpoint Security" bestätigt, für die im April 2017 mehr als 280 deutsche IT-Entscheider befragt wurden.
Endpoint-Absicherung der nächsten Generation?
Der Endpunkt ist für die Mitarbeiter in den Fach- und IT-Abteilungen die Schnittstelle zu den IT-Systemen – und damit gleichzeitig ein für Angreifer zentraler Angriffspunkt. Die Anforderungen an die IT Sicherheit ändern sich dynamisch. Die Ergebnisse der Studie zeigen auch, dass sich der Umgang mit Security in den Unternehmen gewandelt hat. Der Fokus verschiebt sich weiter vom reaktiven Ansatz "prevent and protect" hin zur kontinuierlichen Überwachung in Echtzeit, kombiniert mit entsprechenden Reaktionen auf Auffälligkeiten im System. Der "detect and respond"-Ansatz in Kombination mit Advanced-Security-Lösungen ermöglichen Unternehmen, ihre Organisation vorausschauend abzusichern. Dennoch hat erst die Hälfte der Unternehmen diesen Ansatz implementiert.
Hinzu kommt: Technologie alleine reicht nicht. Zur umfassenden Absicherung müssen IT-Security-Verantwortliche – gemeinsam mit allen Stakeholdern im Unternehmen – ihre Geschäftsprozesse umfassend überarbeiten sowie klassische IT-Security-Silos mit Hilfe stärkerer Integration und Automatisierung der Prozesse überwinden. Obwohl die Mehrheit der befragten Firmen ihre bisher weitgehend reaktiven Sicherheitskonzepte aufgeben und proaktive Security-Konzepte implementieren, zeigen sich in der Umsetzung immer noch große Lücken. Die Unternehmen müssen handeln, um nicht nur ihre IT, sondern alle datengetriebenen Assets umfassend schützen zu können.
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
5 Tipps für mehr Endpoint Security
Der Weg zu mehr Endpoint Security ist ohne Frage steinig. IDC hat einige Handlungsempfehlungen formuliert, die Unternehmen bei der Umsetzung unterstützen sollen:
Evaluieren Sie den Status Ihrer Security-Landschaft: Überprüfen Sie Ihre Sicherheitslandschaft akribisch und verschaffen Sie sich dabei einen detaillierten Überblick. Welche Security-Lösungen verwenden Sie bereits und welche Funktionalitäten bringen die Lösungen mit? Auf dieser Grundlage können Sie aufbauen. Beantworten Sie nun unter anderem die Frage, wo konkret Sicherheitslecks bestehen und wie Sie diese mittels gezielten Investitionen stopfen können.
Handeln Sie proaktiv, um Ihre Endpoints zu schützen: Verabschieden Sie sich endgültig von reaktiven Security-Ansätzen und minimieren Sie Ihre Risiken durch eine proaktive Überwachung. Investieren Sie verstärkt in analytische Ansätze. Kombinieren Sie dabei für die bestmöglichen Ergebnisse den klassischen Schutz der Endpoints mit aktiven analytischen Überwachungs- und Erkennungs-Tools, um Auffälligkeiten in Echtzeit zu identifizieren und rechtzeitig reagieren zu können.
Treiben Sie die Integration von Security-Tools sowie die Automatisierung von Security-Prozessen voran: Brechen Sie Security-Silos auf und integrieren Sie verschiedene Lösungskomponenten Ihrer IT-Security-Architektur. Automatisieren Sie zudem manuelle Prozesse so weit wie möglich, um die Fehleranfälligkeit zu verringern und die Mitarbeiter zu entlasten. Nur auf diese Weise nutzen Sie das volle Potenzial aus, das Ihnen moderne und ganzheitlichen IT-Security-Lösungen ermöglichen.
Bekommen Sie das Fehlverhalten Ihrer Mitarbeiter in den Griff: Sensibilisieren Sie ihrer Mitarbeiter stärker für einen sicheren Umgang mit Endpoints, in dem Sie beispielsweise potenzielle Bedrohungsszenarien aufzeigen. Bieten Sie Trainings- und Awareness-Maßnahmen an und achten Sie dabei auf einen ansprechenden Mix aus gut aufbereiteten Stories und Cases sowie klassische Schulungen. Mit all Ihren Aktivitäten werden Sie jedoch nur erfolgreich sein, wenn sie zum einen nachhaltig sind und sie zum anderen den Alltag Ihrer Kollegen – also der Anwender – so wenig wie möglich beeinflussen.
Nutzen Sie das Beratungsangebot der Anbieter und ziehen Sie den Bezug von Managed Services in Betracht: Beobachten Sie die Entwicklungen im Umfeld von IT-Security und seien Sie offen für neuen Lösungsansätzen. Viele Advanced-Security-Lösungsansätze sind erklärungsbedürftig, zudem ist das Instrumentarium an existierenden Sicherheitslösungen komplex und umfassend. Nehmen Sie daher die Lösungsanbieter in die Pflicht und lassen sich eingehen beraten. Dieses Vorgehen minimiert zumindest das Risiko, Security-Tools ineffizient oder gar falsch einzusetzen. Versäumen Sie es auch nicht, Security-Lösungen aus der Cloud auf Herz und Nieren hinsichtlich des Einsatzszenarios für Ihre Organisation zu prüfen.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten