Integrierte Sicherheitsarchitektur
Umfassende Abwehr von Bedrohungen
Angriffe auf Unternehmensnetzwerke durch Ransomware, DDoS oder Spionageprogramme machen den Security-Experten zunehmend zu schaffen. Veraltete Systeme mit längst bekannten, aber ungepatchten Schwachstellen und unzureichend geschulte Mitarbeiter sind die größten Risiken. Security-Entscheider sind also zum Handeln aufgefordert. Nur mit einer umfassenden Security-Strategie und einem integrierten Sicherheitsansatz können Unternehmen die Gefahren abwehren.
In der zweiten Jahreshälfte 2016 sorgte vor allem das derzeit wohl größte Botnet Mirai mehrmals für Schlagzeilen. Es besteht laut Schätzungen aus über 100.000 Geräten, die mit dem Internet verbunden sind. Diese besitzen zwar jeweils nur geringe Kapazitäten, da es sich zum Beispiel zum großen Teil um IP-Kameras, Heim-Router, Festplatten-Receiver oder gar Babyfones handelt. Aber durch die schiere Masse lassen sich enorme Datenmengen für DDoS-Angriffe (Distributed Denial of Service) erzeugen. So zielte beispielsweise der Vorfall bei den Telekom-Routern Ende 2016 wahrscheinlich darauf ab, diese still und heimlich in das Botnet einzugliedern. Programmierfehler in der Schadsoftware führten jedoch unbeabsichtigt zum Absturz der Router.
Nicht nur DDoS-Angriffe stellen derzeit erhebliche Gefahren für Unternehmen dar. Auch Ransomware zur Erpressung von Lösegeld sowie Spionageprogramme, die in Datenbanken persönliche Kundeninformationen auslesen, kommen immer wieder in die Schlagzeilen. Bei den Angreifern handelt es sich dabei in der Regel nicht mehr um Script-Kiddies, die aus Böswilligkeit oder Spielerei Schaden anrichten, sondern um gut organisierte und teils sogar durch staatliche Organisationen unterstützte Banden: Cybercrime ist heute nach aktuellen Schätzungen ein Markt mit einem Wert von 450 Milliarden bis 1 Billion Dollar. Schließlich lässt sich heute auf dem Schwarzmarkt praktisch jede Information profitabel verkaufen. So werden neben einzelnen Computern und Personen zunehmend gesamte Infrastrukturen angegriffen, um langfristig Gewinne zu erzielen.
Derzeitige Sicherheitsarchitektur
Viele Unternehmen machen es den Angreifern dabei unnötig leicht: Sie setzen bis zu 70 verschiedene Sicherheitslösungen unterschiedlicher Anbieter ein, um diverse Anforderungen zu erfüllen - diese Produktvielfalt führt jedoch häufig zu Sicherheitslücken an den Schnittstellen. Dies liegt an der fehlenden Kommunikation der Lösungen untereinander. Dies führt nicht nur zu steigenden Kosten für Aufbau und Betrieb der Lösungen durch unterschiedliche Management-Oberflächen, sondern auch zu verzögerter Erkennung von Bedrohungen. Gerade die Zeit bis zur Entdeckung einer Malware (Time to Detection) ist aber kritisch für eine erfolgreiche Abwehr. Der Cisco 2016 Annual Security Report zeigt, dass Unternehmen zwischen 100 und 200 Tagen benötigen, um eine Bedrohung zu erkennen. Dabei lässt sich durch einen integrativen Ansatz die Entdeckung innerhalb eines Tages erreichen. Dann können Unternehmen die Malware schnell bekämpfen und die Auswirkungen eines Sicherheitsvorfalls deutlich begrenzen.
Aber auch veraltete Software stellt ein erhebliches Sicherheitsproblem in vielen Unternehmen dar. Systeme, die nicht mehr unterstützt oder ungepatcht sind, erleichtern Hackern den Zugriff auf Daten wie auch die Verschleierung ihrer Aktivitäten und die Erhöhung ihres Profits. Gemäß dem Midyear Cybersecurity Report bilden auf PCs Schwachstellen in Adobe Flash weiterhin die häufigsten Ziele für Malvertising und Exploit Kits. Und laut dem Network Barometer Report 2016 stieg der Anteil von Geräten mit mindestens einer Schwachstelle weltweit von 60 Prozent im Jahr 2014 auf 76 Prozent im Jahr 2015. In Europa beträgt der Anteil sogar 82 Prozent (2014: 51 Prozent). Im Bereich Server sind zehn Prozent der mit dem Internet verbundenen Jboss-Installationen weltweit kompromittiert. Dabei sind viele der genutzten Schwachstellen schon fünf Jahre alt, sodass die Angriffe durch Patches und Updates einfach vermeidbar wären.
Probleme aktueller Architekturen
Die derzeitige fragmentierte Security-Infrastruktur führt oft zu erheblichen Problemen, darunter vor allem die fehlende Interoperabilität der Lösungen. So schützen Best-of-Breed-Produkte zwar die einzelnen Endpunkte recht gut, doch an den Schnittstellen können große Sicherheitslücken entstehen, die lange Zeit unentdeckt bleiben und Kriminellen Tür und Tor öffen. Da die Erkennung der Malware durchschnittlich rund ein halbes Jahr dauert, haben Angreifer genügend Zeit, Daten und Informationen abzugreifen.
Diese Einzellösungen liegen auch an einem Silodenken innerhalb der IT-Abteilungen und fördern dieses. So sind oft verschiedene Mitarbeiter für die diversen Lösungen zuständig und kümmern sich kaum um die Produkte oder Tätigkeiten der Kollegen. Im schlimmsten Fall führen Eifersüchteleien gar zu einer Art Konkurrenzkampf, der jede Kommuniktion oder Absprache erstickt. Dies wiederum kann die ohnehin bestehenden Lücken zwischen den Lösungen weiter vergrößern.
Besonders heikel wird dies, wenn neue Technik - etwa das Internet der Dinge oder mobile Anwendungen - in die Sicherheitsarchitektur zu integrieren ist. Welche Lösungen und Mitarbeiter sollen deren Absicherung gewährleisten? Da die neue Technik häufig den bisherigen, auf den Schutz des Netzwerkperimeters konzentrierten Ansatz sprengt, genügen derzeitige Lösungen meist den dadurch entstehenden Anforderungen nicht. Dazu sind neue Architekturen nötig, die auch jenseits des Perimeters wirken. Deren Einführung erfordert jedoch in der Regel eine Umorganisation der IT-Abteilung anhand einer modernen Strategie. Dies erzeugt wiederum erhebliche organisatorische Herausforderungen, die oft deutlich größer sind als die technischen.
Lösung durch integrierte Architekturen
Eine reibungslose Kommunikation und Zusammenarbeit ist nicht nur zwischen den IT-Mitarbeitern, sondern auch zwischen den Sicherheitslösungen nötig. Daher kann nur ein integrierter, umfassender Security-Ansatz mit einem einheitlichen Management aktuelle Bedrohungen abwehren. Dieser muss vor, während und nach einem Angriff wirksam sein, um alle Herausforderungen zu adressieren.
Vor einem Angriff müssen Unternehmen wissen, was sie schützen sollen. Daher sollten sie im ersten Schritt herausfinden, was sich in ihren Netzwerken befindet. Dazu gehören Geräte, Betriebssysteme, Services, Anwendungen und Nutzer. Anschließend müssen sie Zugangsgkontrollen implementieren, Richtlinien durchsetzen, unerwünschte Anwendungen blockieren und den Zugriff auf ihre Werte beschränken.
Wenn Angriffe stattfinden, müssen Unternehmen in der Lage sein, sie möglichst schnell zu entdecken. Sie sollten daher die bestmöglichen Erkennungsmechanismen einsetzen, die auf dem Markt existieren. Das Netzwerk selbst ist hier geeignet, Anomalien oder Fehlfunktionen zu erkennen und diese sichtbar zu machen, da der gesamte Datenverkehr darüber fließt. Denn nur, wenn die Bedrohung als solche erkannt wird, lässt sie sich blockieren, um die Umgebung zu schützen.
Nach einer Attacke gilt: Heute stellt sich nicht mehr die Frage, ob ein Unternehmen angegriffen wird, sondern nur noch, wann ein Angriff erfolgreich ist; daher müssen Unternehmen den Umfang eines Schadens feststellen, die Folgeschäden eindämmen und beheben sowie den Betrieb schnell wieder normalisieren können.
Eine integrierte Sicherheitsarchitektur muss aber nicht nur alle Phasen des Angriffskontinuums abdecken, sondern dabei auch eine breite Vielfalt an Angriffsvektoren berücksichtigen. Die eingesetzten Lösungen sollten dann überall funktionieren - im Netzwerk, Datacenter, Endpunkt, Mobilgerät sowie in allen physischen, virtuellen und Cloud-basierten Umgebungen. Dazu müssen die Lösungen im neuen Security-Modell immer aktiviert und zudem ständig auf dem neuesten Stand sein.
Einen solchen systematischen Ansatz kann auch eine vertraute, schlanke Lösung bilden, welche eine End-to-End-Security gewährleistet. Wenn das Security-Modell versteht, wie ein Angriff durchgeführt wird und wie es effektiv davor schützen kann, bietet es nicht nur einen systematischen Ansatz für die Sicherheit, sondern reduziert auch den Management-Aufwand.
Fazit
Aufgrund der steigenden und sich ständig weiterentwickelnden Bedrohungen sowie dem zunehmenden Zugriff auf Daten von Mobilgeräten aus oder über Cloud-Anwendungen benötigen Unternehmen heute eine integrierte Sicherheitsarchitektur. Sie sollte modular aufgebaut sein und nahtlos Security-Lösungen integrieren, damit sie sich flexibel an neue Herausforderungen anpassen lässt. Nur wenn die neue Security-Architektur aus einem Guss ist und auch jenseits des Netzwerk-Perimeters wirkt, können Unternehmen damit auch in Zukunft die Sicherheit gewährleisten und die Digitalisierung vorantreiben.
Lesen Sie mehr zum Thema
