Security-Trends

Wie Kriminelle heute Unternehmen angreifen

20.09.2015
Von 
Uli Ries ist freier Journalist in München.

Abhilfe gegen den Datenklau

Angesichts des professionellen Vorgehens der Angreifer scheint es unausweichlich, dass ein Netzwerk kompromittiert wird. Und was dann? Laut Alan Kessler, President und CEO von Vormetric, hielten laut eines Reports über 50 Prozent der Befragten die bewährten Produkte für Data Breach Prevention- für hinreichend. Bislang würden sie laut Kessler hauptsächlich verwendet, um Auditoren glücklich zu machen. Inzwischen setzt sich die Erkenntnis durch, dass das Vermeiden von negativen Folgen, wie es solche Produkte ebenfalls böten, nach dem unvermeidlichen Einbruch wichtiger ist denn je. Laut Kessler sei ein vollständiges Absichern des Perimeters ohnehin utopisch. Daher müsse gelten: "Es ist leichter, die Lebensmittel im Haus vor dem Einbrecher zu verstecken, als das Haus hermetisch zu verrammeln."

Sinnvollerweise entscheidet eine Data Leakage Prevention (DLP)-Lösung pro Nutzer und Datensatz, welche Aktionen erlaubt und welche zu unterbinden sind. Zeitgleich kann man die Rechte von Administratoren beschneiden. Laut Kessler greifen die gängigen Lösungen auf das "Least Privilege"-Prinzip zurück. Dieses sei sowohl auf Betriebssystemebene (Filesystem), als auch in der Anwendung durch zu setzen.

Zu diesem Pflichtprogramm kommt noch die Kür: das Überwachen der Zugriffe und das Erkennen von Anomalien. Weicht nach einem erfolgreichen Angriff das Verhaltensmuster einzelner Anwender oder Maschinen vom bisher gewohnten ab, schlägt die DLP-Lösung Alarm. Wurden zuvor Zugriffsrechte per Least Privilege vergeben, erleichtert dies das Erkennen von Anomalien und auch das zeitraubende Analysieren von Logfiles.

Technik - nur ein Teil der Lösung

Schutzmechanismen wie DLP sorgen aber keinesfalls für umfassenden Schutz. Sie mindern zwar das Risiko, kämpfen auf verlorenem Posten, wenn Kollege Mensch nicht ebenfalls auf der Hut ist. Und genau hier sehen die Fachleute in der Praxis die größten Lücken: Nur in wenigen Unternehmen sähen sie Aufklärungskampagnen, die Mitarbeiter - am besten fortlaufend - über neue Angriffsmaschen informieren würden. Ohne das Wissen, wie eine Spear-Phishing-Kampagne aussieht und welche Raffinesse dabei an den Tag gelegt wird, hätten Mitarbeiter gute Chancen, zu Opfern einer solchen Kampagne zu werden.

Gut gemacht: Eine vermeintlich vom Google Enterprise Support stammende, fehlerfrei formulierte Nachricht bringt ein infiziertes Attachment mit.
Gut gemacht: Eine vermeintlich vom Google Enterprise Support stammende, fehlerfrei formulierte Nachricht bringt ein infiziertes Attachment mit.
Foto: Cyren

Aber nicht nur die Kollegen in den Fachabteilungen benötigen Wissen. Auch die IT-Mitarbeiter selbst müssten laut RSA-Sprecher Alex Cox besser geschult werden. Denn ohne tiefgehendes Fachwissen seien moderne Schutzmechanismen gar nicht sinnvoll nutzbar. Auch fehle es so gut wie immer an der Expertise, die Wirkweise einer von der Software entdeckten Malware zu analysieren. Allzu oft würde zudem der Kardinalsfehler begangen: Das sofortige Säubern der infizierten Endgeräte. Damit nähmen sich Unternehmen laut Cox jegliche Chance, mehr über die Hintermänner beziehungsweise die erbeuteten Daten zu erfahren. Fehlt dieser Einblick, ist die nächste, noch wirksamere Spear-Phishing-Kampagne so gut wie sicher. Denn niemand im Unternehmen weiß, welche der eigenen Daten für die nächste Attacke missbraucht werden. (sh)