Security-Anbietercheck

Wie sich gezielte Angriffe abwehren lassen

06.05.2015
Von 
Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.

Was CISOs tun können

Die Herausforderung für den CISO besteht darin, bei den zahlreichen Sicherheitstechniken und in der geänderten Bedrohungslage den Überblick zu behalten und sein begrenztes Budget nicht in eher unwichtige Maßnahmen zu investieren. Leider korreliert der Hype um einzelne neue Hersteller nicht mit der Sinnhaftigkeit der jeweiligen Maßnahmen im einzelnen Unternehmen.

Der richtige Weg besteht darin, zunächst die individuell zu schützenden Objekte zu identifizieren. In manchen Unternehmen sind das vertrauliche Konstruktionsdaten, die die Grundlage des Geschäfts und den Vorsprung vor Mitbewerbern sichern. In anderen Organisationen ist die kontinuierliche Verfügbarkeit von Produktionsanlagen kritisch, während vertrauliche Daten vergleichsweise unspektakulär sind. Diese Situation variiert von Unternehmen zu Unternehmen.

Im Anschluss sind die relevanten Bedrohungsszenarien zu betrachten. Dabei kann sich herausstellen, dass fortschrittliche Malware im Einzelfall gar kein wichtiges Thema ist, dass jedoch die Web-Plattform, ein Online-Shop oder ein Kunden-Portal bisher unzureichend geschützt sind. Die vorhandene Netzwerkstruktur, der Datenfluss im Unternehmen und die Bedeutung der jeweiligen IT-Systeme für die Geschäftsprozesse müssen bei diesen Überlegungen berücksichtigt werden.

Erst dann ist eine Grundlage gegeben, um zu entscheiden, ob Sandbox-Analyse-Systeme, Mikrovirtualisierung auf den Arbeitsplätzen, Netzwerkzugangskontrolle im LAN oder eine WAF zur Absicherung der Web-Applikationen die richtige Lösung ist

Sollte sich bei dieser Analyse herausstellen, dass fortschrittliche Malware, gezielte Angriffe beziehungsweise APTs aktuell besonders große Bedrohungen sind, wird die Detailbetrachtung der verfügbaren Lösungsansätze spannend. Zwar mag die derzeit meistdiskutierte Technik der Sandbox-Analyse an zentraler Stelle im Netzwerk auf den ersten Blick als elegante und einfache Lösung erscheinen. Langfristig wird sie jedoch nur eine Nebenrolle spielen. Daher ist es empfehlenswert, diese Komponenten allenfalls als kostengünstige Erweiterung vorhandener Firewalls oder Proxies zu implementieren und früher oder später ohnehin notwendige Komponenten auf den Endgeräten mit höherer Priorität zu betrachten. (sh)