Vom plötzlichen Bedarf an Homeoffice-Arbeitsplätzen bis zu zielgerichteten Angriffen auf die Industrie - klassische Tools zum Schutz des Netzwerks reichen nicht mehr aus. Unternehmen brauchen paketierte Lösungen, die kombiniert mehr Schutz bieten. Peter Aicher, Presales Manager bei Kaspersky Labs, informiert in einem Webcast der Computerwoche über die Vorteile. Fachjournalist Sven Hansel von der Computerwoche moderiert den Webcast und steigt mit einer aktuellen These ein: Gerade jetzt, wo Cyberkriminelle Schwächen in der Homeoffice-Infrastruktur ausnutzen, brauchen Unternehmen mehr Schutz.
Eine Umfrage unter den Webcast-Zuschauern zeigt denn auch: 76 Prozent müssen sicherheitstechnisch Laptops verwalten, 71 Prozent außerdem Homeoffice-Arbeitsplätze und 65 Prozent auch Server im eigenen Rechenzentrum. Bei 35 Prozent kommen noch virtuelle Clients (VDI) hinzu und bei 18 Prozent Server in der Cloud.
Warum nun stehen Endpoints so unter Beschuss? Für Aicher ist das logisch: "Der Endpoint ist meistens der Ort, an dem die Daten verarbeitet werden." Die Zahl der Endpoints wächst, ein User hat oft mehr als ein Gerät. Aicher rechnet daher auch mit 1,5 Mailboxen, weil neben den eigenen auch Sammelpostfächer genutzt werden. Und die Komplexität der Bedrohungen ist von 2017 auf 2019 um 15 Prozent gestiegen. Auch die finanziellen Folgen einer Datenschutzverletzung gehen in die Höhe.
"Der Endpoint ist immer noch der gängigste Einstiegspunkt"
"Der Endpoint steht bei Kaspersky nach wie vor im Fokus, das ist immer noch der gängigste Einstiegspunkt. Da kommen Cyberkriminelle auch relativ einfach rein", so Aicher. Nach Zahlen des Sicherheitsspezialisten bestätigen 53 Prozent der Unternehmen, dass ihre Endpoints angegriffen wurden, die meisten davon haben das erst nach Monaten entdeckt. Verschärft wird die Situation dadurch, dass 65 Prozent der Anwenderunternehmen Schwierigkeiten haben, Mitarbeiter für die Cybersicherheit zu finden.
"Was könnte eine Lösung sein?", will der Moderator wissen. Aicher skizziert die Systematik so: Als erstes braucht das Unternehmen eine starke Endpoint Protection Plattform mit URL-Filter, Verhaltensanalyse und anderem, inklusive dateilosen Bedrohungen. Daran dockt eine weitere Lösung an, nämlich die Sandbox. Der dritte Punkt ist Endpoint Detection and Response (EDR). "Kaspersky stellt dieses integriert bereit mit hohem Automatisierungsgrad", betont Aicher. Wichtig ist auch, die Nutzer mit individuellen Schulungen so zu versorgen, dass der Vorfall nach Möglichkeit gar nicht erst passiert.
"Alles, was wir erkennungstechnisch automatisiert machen können, steckt bei Kaspersky Endpoint Protection drin", sagt Aicher. Er unterscheidet zwischen "Schutz" (der letzten Möglichkeit, etwas aufzuhalten) und "Kontrolle". Letzteres bedeutet, "sehr viel im Vorfeld einzuschränken, das muss halt definiert werden", so der Experte. Und immer gilt: "Wenn die Basis nicht sauber konfiguriert ist und arbeitet, können darüberliegende Tools das nicht lösen!"
Sichtbarkeit in den Systemen notwendig
Das Thema Sandbox beleuchtet Aicher genauer. Diese besteht aus einem System, das Windows-Systeme zur Verfügung stellt, wobei auffällige Dateien ein eigenes Windows-System bekommen, in dem sie sich austoben können. "Das heißt: man kann sich für diese Analyse Zeit nehmen, ohne den User zu stören." Die Kaspersky-Sandbox bekommt Updates, die Prüfmethoden werden upgedatet. "Wir können immer korrelieren. Wenn ein Objekt nichts Schlimmes tut, im Nachgang aber irgendetwas Unerwünschtes herunterlädt, kann man einen Schritt zurückgehen", sagt Aicher. Denn viele Angreifer versuchen, unter dem Radar zu bleiben. "Deswegen müssen wir mehr Sichtbarkeit in die Systeme kriegen", so er Experte, der das auch anhand einer Demo vorführt.
Das Ziel der Lösungen ist es, Bedrohungen zu verstehen und abzuwehren. Also wird nach generierten oder importierten IoCs gescannt und automatisiert reagiert. Der Nutzer erhält umfassende Informationen zum Vorfall und die Ursachen werden analysiert. Schließlich wird der Ausbreitungspfad des Angriffs betrachtet, um zu verstehen, wie es in der Historie zu diesem Vorfall kam.
Am Schluss des Webcasts will ein Zuschauer wissen, ob Homeoffice-Arbeitsplätze in diese Lösung integriert sind. Dazu Aicher: "Kaspersky hat für den Homeoffice-Platz eigene Lösungen, weil man dem Nutzer nicht zumuten kann, dass er sicherheitstechnische Entscheidungen trifft." Er plädiert hier für eine Cloud-Lösung: "Da ist es egal, wo der User sitzt!"