In der Diskussion darüber, wie IT-Sicherheit in Zukunft aussehen wird, ist eine Erkenntnis wichtig: 100-prozentige Sicherheit nicht gibt. Dieser Satz, der bei IT-Sicherheitsexperten erst seit einigen Jahren zu hören ist, bildet die Basis für eine Security-Strategie, die den Endpoint in den Fokus nimmt.
So führte der IDG-Roundtable zu dem Thema auch sehr schnell in diese Richtung. Nicht die Abwehr eines Angriffes sollte das Hauptziel der Security-Anstrengungen sein, sondern die richtige Reaktion darauf. Nur dann sei es möglich, eine Kultur im Unternehmen zu etablieren, bei der Vorfälle von Mitarbeitern aktiv gemeldet werden. Endpoint Security bedeutet also auch: gelebte Sicherheit statt Angst vor Sanktionen. Je stärker diese Kultur verinnerlicht wird, desto besser können die notwendigen Daten gesammelt werden. Deren Auswertung führt wiederum dazu, Gefahren früher erkennen und entsprechend reagieren zu können.
- Roundtable Endpoint Security Management
Diverse Experten aus der Industrie debattierten beim COMPUTERWOCHE-Roundtable "Endpoint Security Management" über Trends in diesem Umfeld. Im Folgenden lesen Sie die wichtigsten Kernaussagen der Diskussionsteilnehmer... - Martin Weiß, Sophos
"Auf Endpoint-Ebene stellt der Faktor Mensch noch immer das größte Risiko dar. Sobald ein Mitarbeiter Neuerungen im Betrieb als störend identifiziert, wird die Nutzung dieser Technologie erst mal kritisch gesehen. Die Folge ist oft die Entstehung von Schatten-IT und damit von Endpunkten, die noch schwerer zu kontrollieren sind. Schließlich sind alle Geräte im System potenzielle Einfallstore. Eine Verbesserung der Sicherheit geht daher nur gemeinsam – Sensibilisierung ist hier das passende Schlagwort." - Maik Wetzel, ESET
"Der 'Security by Design'-Ansatz ist gerade in Zeiten wachsender Komplexität noch zu stark unterrepräsentiert. Viele Unternehmen setzen Systeme ein, bei denen Funktionalität und nicht Sicherheit im Fokus stand und die daher per se nicht sicher sind. Das bedeutet: Zuerst wird investiert und modernisiert und erst danach an die Sicherheit gedacht. In Zeiten von IoT, in denen sogar eine Leuchtdiode einen Endpoint darstellen kann, müssen aber entsprechend ganzheitliche Systeme von Anfang an mitgedacht werden. Das verlangt nach mehr Berücksichtigung von IT-Sicherheitsaspekten bei der Systemplanung und Forensik und einer offenen Herangehensweise an Themen wie KI und Machine Learning, um auf datengetriebene Prozesse auch mit datengetriebenen Security-Konzepten zu reagieren." - Matthias Canisius, SentinelOne
"Die Zukunft der Endpoint Security dreht sich vor allen Dingen um eine Frage: Wie sehr werden wir in der Lage sein, das Verhalten bisweilen unbekannter, neuer Bedrohungen auf Endpoints zu analysieren und dann auch entsprechend zu reagieren – bevor diese durchschlagen? Als Endpoint gilt dabei alles, was in irgendeiner Form kommuniziert, also Informationen sendet oder/und empfängt, vom kleinsten Endgerät bis hin zu jedem Menschen in einem Netzwerk. Das schafft eine gigantische Menge an potenziellen Einfallstoren, die wir nur mithilfe autonom agierender Systeme kontrollieren können." - Thomas Schmidt, Capgemini
"Das Security-Verständnis wandelt sich gerade deutlich – weg von der klassischen und hin zu einer holistischen Sichtweise. Wo es früher reichte, einfach Mauern um ein Gesamtsystem herum zu ziehen, besteht heute die Kunst eher darin, Anomalien aus unzähligen Daten zu erkennen und das Schließen einer Sicherheitslücke mit den Geschäftsprozessen eines Unternehmens in Einklang zu bringen. Das kann zu einem bestimmten Anteil durch KI-Technologien gelöst werden, in letzter Instanz wird es aber immer darauf ankommen, den Menschen mitzunehmen." - Udo Schneider, Trendmicro
"Alles, was in irgendeiner Form mit dem Gesamtsystem kommuniziert, kann als Endpoint betrachtet werden und hat einen entsprechenden Schutzbedarf. Absolute Sicherheit gibt es dabei nicht. Diese Erkenntnis führt gerade zu einem Bewusstseinswandel: weg von der reinen Prävention hin zur angemessenen Reaktion bei Vorfällen. Hier ist es vor allem wichtig, Nutzer nicht zu sanktionieren, sondern sie zu ermutigen, ein Fehlverhalten auch wirklich zu melden. Nur so können die notwendigen Erkenntnisse überhaupt erst generiert werden." - Rüdiger Weyrauch, FireEye
"Aktuell dauert es im Schnitt über 100 Tage, bis ein Sicherheitsvorfall überhaupt bemerkt wird! Um der wachsenden Komplexität von Bedrohungen gerecht zu werden, braucht es Ansätze, die den Endpoint verstärkt mit in den Blick nehmen. Damit kann dieses Zeitfenster im besten Falle verkürzt werden, und man hat zusätzlich die Möglichkeit, neben der schnelleren Erkennung auch investigative Untersuchungen und Forensik durchführen zu können." - Frank Limberger, Forcepoint
"Wer den Normalzustand nicht kennt, merkt auch nicht, wenn Anomalien auftreten. Diese mittels Behavior Analytics zu erkennen ist aber der Kern jeder wirkungsvollen Endpoint Security. Das Verhalten des Endpoints zu verstehen spielt die entscheidende Rolle. Denn wie unbekannt ein Schadcode auch sein mag, er erzeugt Anomalien dort, wo er ausgeführt wird. Der Einsatz Künstlicher Intelligenz bietet bei der Suche nach Verhaltensabweichungen die große Chance, aus Millionen einzelner Ereignisse die Anomalien mit dem höchsten Gefahrenpotenzial zu ermitteln. Die finale Entscheidung, wie mit einer Bedrohung umgegangen wird, liegt dennoch immer beim Menschen."
Der anfälligste Sicherheitsfaktor
Von diesen Gefahren gibt es in Unternehmensnetzwerken genug, wie die Round-Table-Teilnehmer immer wieder betonen. Schließlich könne alles, was in irgendeiner Weise mit dem Gesamtsystem kommuniziert, als Endpoint gesehen werden - und muss entsprechend geschützt werden, wie Maik Wetzel vom Softwarehersteller ESET anmerkt: "In Zeiten von IoT, in denen sogar eine Leuchtdiode einen Endpoint darstellen kann, müssen entsprechend ganzheitliche Systeme von Anfang an mitgedacht werden."
Foto: Michaela Handrek-Rehle
Vor allem ein Faktor ist dabei, so die einhellige Meinung in der Runde, der anfälligste beziehungsweise der am schwersten zu kalkulierende: der Mensch. Mitarbeiter umgehen oftmals unbewusst Sicherheitsregeln oder schaffen sogar unbekannte, neue Endpunkte durch private Geräte und tragen so zum Aufbau von Schatten-IT bei. Unwissenheit, Bequemlichkeit und wenig Bereitschaft, Gewohnheiten zu ändern, sind ebenfalls häufige Gründe für viele Sicherheitsvorfälle.
Informationen zu den Partnerpaketen für die Studie "Endpoint Security Management 2019"
Technik und Mensch müssen deshalb in einem tragfähigen Sicherheitskonzept gleichermaßen berücksichtigt werden - und das am besten von Anfang an. Security by Design, also die Berücksichtigung angemessener Sicherheitsmaßnahmen schon in der Phase des Aufbaus einer Architektur, spielt hier eine zentrale Rolle. Sicherheit kann heute nicht mehr als einfaches Add-On hinzugefügt werden, sondern muss das Gesamtsystem durchdringen und überall dort ansetzen, wo ein Datenaustausch stattfindet. Eine entsprechend systematische Vorgehensweise wird dadurch unerlässlich.
Foto: Michaela Handrek-Rehle
Doch in Zeiten wachsender Komplexität ist dieser Ansatz in Unternehmen laut Wetzel noch viel zu unterrepräsentiert: "Viele Unternehmen setzen Systeme ein, bei denen Funktionalität und nicht Sicherheit im Fokus steht und die daher per se nicht sicher sind. Das bedeutet: Zuerst wird investiert und modernisiert und erst danach an die Sicherheit gedacht."
Von der klassischen zur holistischen Sichtweise
Die aktuell flächendeckend stattfindende Zunahme von Endpoints in einem Netzwerk schafft dabei die Notwendigkeit von ebenso ganzheitlichen Sicherheitskonzepten. Zudem gilt es, bei der Auswahl der Methoden umzudenken. An die Stelle der Abschottung eines ganzen Netzwerkes beispielsweise durch die klassische Firewall rücken immer häufiger forensische Ansätze, die sich ganz auf das Verhalten jedes einzelnen Endpunkts und dessen Interaktion mit anderen Endpunkten konzentrieren.
Foto: Michaela Handrek-Rehle
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert die IT-Forensik in seinem Leitfaden (PDF) als "streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen, unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung". Alle Endpunkte in einem Netzwerk werden dabei kontinuierlich überwacht, analysiert und ausgewertet.
"Das Security-Verständnis wandelt sich gerade deutlich - weg von der klassischen und hin zu einer holistischen Sichtweise. Wo es früher reichte, einfach Mauern um ein Gesamtsystem herum zu ziehen, ist es heute eher die Kunst, Anomalien aus unzähligen Daten zu erkennen und das Schließen einer Sicherheitslücke mit den Geschäftsprozessen eines Unternehmens in Einklang zu bringen", bemerkt Thomas Schmidt von Capgemini.
Foto: Michaela Handrek-Rehle
Diese holistische Herangehensweise, die das Gesamtsystem erfasst und auf Basis von Wahrscheinlichkeiten agiert, ist dabei die einzige Möglichkeit, auch in Zeiten eines exponentiell zunehmenden Datenaufkommens den Überblick zu behalten. Eine wichtige Rolle spielt hier das Verhalten aller Endpunkte im Normalzustand - und diesen festzustellen ist keineswegs trivial. Die Definition dessen, was "normal" ist, gestaltet sich für jeden Anwendungsfall verschieden und hängt immer von anderen Indikatoren ab. Ein bekanntes Beispiel ist das "Flight Risk", also die Wahrscheinlichkeit, dass ein Mitarbeiter oder eine Führungskraft die Absicht hat, in naher Zukunft das Unternehmen zu verlassen. Wenn diese Person nun plötzlich signifikant mehr Unternehmensdaten aus dem Firmennetzwerk herunterlädt als in der Vergangenheit, kann dies zusammen mit weiteren vorher vom System definierten Merkmalen ein Hinweis darauf sein, dass ein Flight Risk besteht. Entsprechende Gegenmaßnahmen können mit dieser Erkenntnis schon in dem Moment getroffen werden, in dem die Verhaltensanomalie bemerkt wird.
"Wer den Normalzustand nicht kennt, merkt auch nicht, wenn Anomalien auftreten. Diese mittels Behavior Analytics zu erkennen ist aber der Kern jeder wirkungsvollen Endpoint Security. Das Verhalten des Endpoints zu verstehen spielt die entscheidende Rolle. Auch wenn Schadcode unbekannt ist, erzeugt er dort Anomalien, wo er ausgeführt wird", betont Frank Limberger vom Security-Unternehmen Forcepoint.
Foto: Michaela Handrek-Rehle
KI oder Mensch: Wer trifft die finale Entscheidung?
Eine entscheidende Rolle dabei, Sicherheitsvorfälle zu erkennen und zu verhindern, werden Technologien aus den Bereichen künstliche Intelligenz, Machine Learning und Behavioral Analytics spielen. Die Verarbeitung der Daten erfolgt dann nicht mehr durch rein statistische Methoden, sondern durch lernfähige Algorithmen, also mathematische Modelle.
Foto: Michaela Handrek-Rehle
Eine zentrale Frage, die dabei allerdings geklärt werden muss, ist die der Verantwortung. Lässt sich die Reaktion auf bestimmte Vorfälle gänzlich automatisieren, oder muss immer noch ein Mensch die finale Entscheidung treffen? Über die Antwort darauf ist die Diskussionsrunde beim Round Table "Endpoint Security Management" gespalten. Für Matthias Canisius von SentinelOne liegt in autonomen Systemen am Ende die einzige Möglichkeit, den immer weiter zunehmenden Datenbestand zu bewältigen: "Als Endpoint gilt alles, was in irgendeiner Form kommuniziert, also Informationen sendet oder/und empfängt - vom kleinsten Endgerät bis hin zu jedem Menschen in einem Netzwerk. Das schafft eine gigantische Menge an potenziellen Einfallstoren, die wir nur mithilfe autonom agierender Systeme kontrollieren können."
Informationen zu den Partnerpaketen für die Studie "Endpoint Security Management 2019"
Für Frank Limberger von Forcepoint ist hingegen klar: "Der Einsatz Künstlicher Intelligenz bietet bei der Suche nach Verhaltensabweichungen die große Chance, aus Millionen einzelner Ereignisse die Anomalien mit dem höchsten Gefahrenpotenzial zu ermitteln. Die finale Entscheidung, wie mit einer Bedrohung umgegangen wird, liegt dennoch immer beim Menschen."
Foto: Michaela Handrek-Rehle
Auch wenn die Frage "Technik oder Mensch" am Ende nicht final geklärt werden konnte, bleibt nach dem Round-Table "Endpoint Security Management" der Eindruck einer Branche, die in Bewegung ist und aktuell einen elementaren Bewusstseinswandel in der Betrachtung von IT-Sicherheit erlebt. Eine ganzheitlichere, datengetriebene Herangehensweise, die tiefe Integration von IT-Sicherheit in die Architektur eines Unternehmens und eine wachsende Bedeutung von forensischen Methoden bis hin zum flächendeckenden Einsatz künstlicher Intelligenz bilden den Anfang einer Entwicklung, deren Ende man heute nur erahnen kann. Fest steht dabei nur: Letztlich wird es auf den Endpoint ankommen.
Studie "Endpoint Security Management": Partner gesucht
Zum Thema Endpoint Security Management führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, welche Herausforderungen zunehmende Mobilität, Cloud-First-Strategien und andere Trends für den Endpoint-Schutz mit sich bringen. Zu den Fragen zählen: Wie sollten funktionierende Security-Policies aussehen und welche Management-Tools gilt es zu implementieren? Inwieweit lässt sich Endpoint Security auslagern?
Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann helfen Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 745) oder Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Endpoint-Security-Management-Studie finden Sie auch hier zum Download (PDF).