IT-Sicherheitsstrategien für Unternehmen
Mobile schwarze Schafe
Wo IT-Abteilungen früher "nur" PCs schützen mussten, kommen heute auch bedingt durch den BYOD-Trend private Mobilgeräte der Angestellten hinzu. Damit tauchen in digitalen Infrastrukturen und Netzwerken immer mehr potenzielle schwarze Schafe auf, die Hacker als Schwachstelle missbrauchen können. Um dies zu verhindern, sollten kleine wie große Unternehmen ihre Sicherheitsstrategie hinterfragen: Ist der verwendete klassische Virenschutz noch ausreichend? Oder muss ein grundlegend neues Konzept her?
Rund um die Uhr arbeiten Hacker und andere Cyber-Kriminelle weltweit daran, neue Schadcodes zu schreiben. Dabei haben sie es keinesfalls nur auf große Firmen abgesehen, mittelständische und kleine Organisationen sind ebenso betroffen, teilweise sogar lukrativer, weil einfacher zu attackieren. Anders als häufig behauptet gibt es keine durch Hacker bevorzugten Branchen oder Wirtschaftssektoren. Auch sind kaum regionale Präferenzen auszumachen: IBM-Sicherheitsforscher haben im X-Force-Report für das vierte Quartal 2014 festgestellt, dass Hacker ihre Angriffspunkte geografisch immer weiter verteilen.
Dies bedeutet: Jedes Unternehmen der Welt ist eine potenzielle Zielscheibe. Um an sensible Unternehmensdaten oder ähnliche Dokumente zu gelangen, hacken sich die Kriminellen vorzugsweise in Web-Seiten und Netzwerke ein, da diese Plattformen nach wie vor die größten Schwachstellen und offene Tore für Cyber-Kriminelle bergen.
Durch das BYOD-Phänomen (Bring Your Own Device) der vergangenen Jahre haben sich potenzielle Sicherheitslücken in Unternehmen sogar noch vervielfacht. Da Betriebe ihren Mitarbeitern vielerorts den Netzwerkzugriff mittels privater Mobilgeräte erlauben, begeben sie sich zwangsläufig in größere Gefahr. Denn stationäre Rechner oder Laptops sind in der Regel besser gesichert als Smartphones oder Tablets, deren Schutz immer noch vernachlässigt wird, wodurch die Gefahr, Cyber-Kriminellen zum Opfer zu fallen signifikant steigt. Dem Angreifer genügt aber eine Schwachstelle, um mittels Viren, Würmer, Spyware, Rootkits, trojanischer Pferde oder anderer Schadsoftware an sensible Unternehmensdaten zu gelangen.
Attraktive Daten sind Zahlungstransaktionen, Mitarbeiterinformationen, Sozialversicherungsnummern, Kreditkartendaten oder auch Informationen über interne Projekte und Pläne, die sich zum Beispiel an die Mitbewerber verkaufen lassen oder gar Spielraum für Erpressungen bieten.
Eine erst im vergangenen Jahr durchgeführte Erhebung des Unternehmens The Small Business Authority enthüllte jedoch, dass derartige IT-Bedrohungen 60 Prozent der befragten Unternehmen gar keine Sorgen bereiten. In deutschen Geschäftsleitungen fallen Sätze wie: "Warum sollen die ausgerechnet uns angreifen?", "Was gibt es bei uns schon zu holen?" oder "Wir sind doch geschützt. Mehr als eine Sicherheitslösung installieren können wir ja doch auch nicht."
Im Hinblick auf die zurückliegenden, prominenten Hacker-Angriffe der vergangenen Jahre ist diese Unbedarftheit der Firmen nicht gerade verständlich. Beispielsweise wurde im Jahr 2012 die bekannte Social-Networking-Seite Linkedin von Cyber-Kriminellen gehackt, die über sechs Millionen Kundenpasswörter erbeuteten. Die verärgerten Kunden fanden ihre privaten Passwörter kurz darauf öffentlich präsentiert in einem Online-Hacker-Forum wieder.
Doch Linkedin ist längst kein Einzelfall, der Musik-Streaming-Dienst Last.fm, die Online-Dating-Plattform Eharmony sowie das Zahlungsabwicklungsunternehmen Global Payments gehörten ebenfalls zu den Opfern. Global Payments fasste den finanziellen Schaden des Hacker-Angriffs öffentlich zusammen: Die Kosten im Zusammenhang mit dem Diebstahl von ungefähr 1,4 Millionen Zahlungskarten betrugen rund 63,9 Millionen Euro. Einem Bericht vom Forschungsinstitut Dimensional Research zufolge belaufen sich die durchschnittlichen Kosten für einen Zwischenfall im Rahmen der mobilen Sicherheit auf über 75.000 Euro, bei vielen Firmen sogar auf über 380.000 Euro.
Doch welche Virenschutzlösung kann neben den bekannten auch die täglich neuen IT-Bedrohungen aufspüren, die durch die privaten Mobilgeräte der Angestellten mit ins Unternehmen getragen werden? Wenn man bedenkt, dass laut aktueller Studie des Bundesverbandes Digitale Wirtschaft e.V. 50 Prozent der Deutschen ein Smartphone besitzen, wirkt die Sicherheitslage noch prekärer; vor allem, weil 14 Prozent der Befragten zusätzlich zum Mobiltelefon noch ein Tablet und ein Laptop nutzen und mit diesen Geräten auch gerne im Firmennetz unterwegs sind.
Methoden von gestern helfen nicht mehr
Ein gezielter Hacker-Angriff auf ein Smartphone eines Angestellten könnte somit das Einfallstor zu allen Daten im Unternehmensnetzwerk sein. Entdecken Cyber-Kriminelle eine der Firma bislang unbekannte Schwachstelle, starten sie gerne sogenannte Zero-Day-Angriffe. Da diese Schadsoftware am selben Tag attackiert, an dem die Sicherheitslücke im Netzwerk entdeckt wurde, haben klassische Virenschutzlösungen keine Chance, ad hoc Gegenmaßnahmen einzuleiten. Dies liegt daran, dass traditionelle Antivirenprogramme eine sogenannte Blacklist verwenden, um solche Angriffe zu vermeiden.
Auf dem Gegenstück, der Whitelist, sind alle Programme aufgeführt, die Angestellte sicher verwenden können. Diese Trennung in Gut und Böse hilft jedoch nur dann, wenn das Blacklist-File des Antivirensystems stets zu 100 Prozent aktuell ist und alle Gefahren vollständig erkennt.
Containment-Strategie
Abhilfe schaffen sogenannte Sandbox-Verfahren, die bereits einige Jahre existieren. Dadurch entsteht ein Quarantänebereich für Schadsoftware, die von Netzwerk und Co. isoliert bleibt. Die Sandboxes lassen sich in zwei Kategorien aufteilen: Stand-alone-Lösungen und direkt ins Sicherheitssystem integrierte Lösungen. Die Stand-alone-Sandbox setzt voraus, dass Firmen die Programme vorher auswählen, die in der Sandbox ausgeführt werden sollen. Diese Vorgehensweise ist insbesondere bei Unternehmen beliebt, die riskante Software wie etwa ihren eigenen Internet-Browser isolieren möchten. Der Stand-alone-Ansatz befasst sich jedoch nicht mit dem Problem der unbekannten Bedrohung.
Die bereits in Sicherheitssysteme integrierten Sandboxes setzen eine Antivirensoftware ein, die potenzielle Bedrohungen erkennt und sie dann in die isolierte Sandbox verschiebt. Antivirenscanner behandeln unbekannte Bedrohungen durch sogenannte Heuristiken. In diesem Prozess werden sowohl das Verhalten eines Programms als auch Ähnlichkeiten mit bekannten Viren analysiert. Stuft der Scanner ein Programm als gefährlich ein, wird es isoliert und sicher in der virtuellen Sandbox ausgeführt.
Dennoch können auch Heuristiken keinen 100-prozentigen Schutz garantieren. Wie bei einer Blacklist muss zuerst die Bedrohung entdeckt sein, bevor die Software eine Bekämpfung einleitet.
Aufgrund dieser Mängel haben einschlägige Hersteller die Sandboxes weiterentwickelt. Die verbesserte Technik nennt sich "Containment". Sie verhindert, dass verseuchte Programme dauerhafte Veränderungen an Daten oder am System vornehmen. Sobald sich herausstellt, dass eine Anwendung gefährlich ist, wird diese gestoppt. Das Containment ist somit eine Möglichkeit, auch Zero-Day-Angriffe zu bekämpfen, die bis dato unbekannte Sicherheitslücken in Web-Software wie Adobe Flash, Internet Explorer oder Java ausnutzen wollen.
Darüber hinaus haben professionelle Anbieter die Sicherheit von Host-Based Intrusion Protection Solutions (HIPS) mit "Default-Deny"-Strategien kombiniert. Dieses Zusammenspiel verhindert den Zugriff aller unbekannten Anwendungen auf wichtige Dokumente, Ordner, Einstellungen und die Windows Registry. Default Deny verwehrt auch jeder Datei außerhalb der virtuellen Sandbox, etwas zu installieren oder auszuführen - außer der Nutzer lässt die Anwendung ausdrücklich zu oder sie befindet sich auf der Whitelist des Antivirus-Herstellers.
Die Default Deny-Strategie schließt somit die Lücke, die andere Antivirenprogramme offen lassen, da das Risiko unbekannter Bedrohungen komplett ausgemerzt wird.
Lesen Sie mehr zum Thema
