Nachhaltiger IT-Schutz
Umfassende Abwehrstrategie
Die IT-Bedrohungslage verschärft sich nahezu täglich. Traditionelle Sicherheitskonzepte stoßen dabei zunehmend an ihre Grenzen. Erforderlich sind neue, erweiterte Sicherheitsstrategien und ein umfassender, durchgängiger Verteidigungsansatz. Ein solcher muss auf den vier Grundkomponenten Prävention, Erkennung, Abwehr und Reaktion basieren.Die IT-Kriminalität hat heute ein Ausmaß erreicht, das viele Unternehmen vor erhebliche Probleme stellt. Die Gefährdungssituation hat sich dabei signifikant gewandelt: Ging es in der Vergangenheit vielfach noch um den Spaß von Hackern am Eindringen in fremde Unternehmensnetze, stehen heute gezielte Datendiebstähle oder Sabotage auf hohem professionellen Niveau im Vordergrund. Zudem haben neue Geschäftsanforderungen und Techniken das Sicherheitsdilemma verschärft. Beim Schutz der eigenen IT und der Abwehr zielgerichteter Angriffe haben sich vor allem drei bisher etablierte Sicherheitsverfahren als unzureichend oder gar ungeeignet gezeigt: die Perimeterabsicherung ist an ihre Grenzen gestoßen und wird auch aktuellen Geschäftsanforderungen einer zunehmend vernetzten Arbeitswelt allein nicht mehr gerecht; die heutige Kommunikationsvielfalt, die durch N:N-Beziehungen von Unternehmen mit Mitarbeitern, Lieferanten, externen Dienstleistern und Kunden gekennzeichnet ist, erfordert eine Erweiterung herkömmlicher, nur auf Zugriffsbeschränkungen ausgelegter IT-Lösungen; auf Client-Ebene reicht eine rein signaturbasierte Malware-Abwehr nicht mehr aus. Ausweg aus dem Dilemma Daher ist auch ein Umdenken im Bereich IT-Security erforderlich: die Konzeption und Umsetzung einer umfassenden Abwehr- oder Cyber-Defense-Strategie. "Cyber Defense" steht für einen Paradigmenwechsel in der IT-Sicherheit. Zentrales Merkmal einer ganzheitlichen Cyber-Defense-Strategie ist die Erweiterung herkömmlicher Sicherheitskonzepte, die auf dem Perimeterschutz basieren. Neben reaktiven Maßnahmen muss eine durchgängige Sicherheitslösung heute auch einen aktiven Schutz umfassen. Der klassische Netzwerk-Schutzwall wird dabei um proaktive Sicherheitsmechanismen ergänzt, die sich auch auf Applikationen und Daten sowie die Endgeräte erstrecken. Cyber Defense steht dabei für mehr als nur eine Summe einzelner Sicherheitsmaßnahmen und die Kombination punktueller Ansätze, die zum Beispiel nur eine spezifische Herausforderung wie die Abwehr von APTs (Advanced Persistent Threats) aufgreifen. Es geht dabei vielmehr um ein ganzheitliches Lösungskonzept, das den gesamten Sicherheits-Service abdeckt und ein umfassendes und durchgängiges Risiko-Management sicherstellt. Auch geht es um wesentlich mehr als das reine Infrastruktur- und Technologie-Management. Dieses stellt in der Regel lediglich die Basis für höherwertige, weiterreichende Services dar. Erster Schritt bei der Umsetzung ist die Risikobewertung. Jedes Unternehmen weist ein individuelles Risikoprofil auf, das es per Klassifizierung und Risikobewertung der schützenswerten Daten und Prozesse zu ermitteln gilt. Alle weiteren Maßnahmen sollten die auf den vier zentralen Grundkomponenten Prävention, Erkennung, Abwehr und Reaktion basieren. Präventive Maßnahmen Im Bereich Prävention geht es zunächst um das Infrastruktur-Management auf Unternehmensseite mit klassischen Sicherungsmaßnahmen wie einem Perimeterschutz mit E-Mail-Gateways inklusive Spam- und Malware-Filter, Next-Generation Firewalls, VPN-Systemen oder dynamischen Sandboxing-Lösungen. Im Hinblick auf einen ganzheitlichen Ansatz müssen aber auch die Geschäftsapplikationen und Daten selbst verstärkt ins Blickfeld rücken und entsprechend gesichert werden, beispielsweise mit Lösungen in Bereichen wie DLM oder DRM (Data Leakage Prevention, Digital-Rights-Management). Eine größere Bedeutung als bisher müssen hinsichtlich der Prävention aber vor allem die Endgeräte (Desktop-PCs, Notebooks, Tablets oder Smartphones) einnehmen. Für Eindringlinge spielen sie eine immer wichtigere Rolle; deshalb ist es unabdingbar, ihnen eine höhere Gewichtung zuzuweisen. Signaturbasierte Mechanismen können gezielte Angriffe nur schwer erkennen und abwehren, sodass moderne intelligente Endpunktlösungen unverzichtbar sind. So ist zum Beispiel mit einer stärkeren Nutzung von Micro-Hypervisor-Lösungen zu rechnen, die eine zuverlässige Endpunktsicherung durch Isolierung von Applikationen ermöglichen, sowie mit einer verstärkten Überwachung der Endgeräte, um Verhaltensauffälligkeiten und deren Verbreitung frühzeitig zu erkennen und zu bewerten. Im Hinblick auf die Prävention dürfen gerade auch aktuelle Trends und Themen wie die zunehmende Cloud-Nutzung, das Internet der Dinge oder die verstärkte Vernetzung von Produktionsanlagen, Industrial Control Systems oder SCADA-Systemen mit der IT nicht vernachlässigt werden. Ein ganzheitliches Cyber-Defense-Konzept muss nicht zuletzt auch den Faktor Mensch berücksichtigen: Die Minimierung dieser Schwachstelle durch die Förderung von Awareness und das Training von Mitarbeitern ist ebenfalls ein wichtiger Baustein. Nächster Schritt ist die Erkennung, also eine umfassende Sicherheitsanalyse mit der Auswertung von Echtzeitdaten und proaktivem Monitoring. Eine effiziente Überwachung erstreckt sich nicht nur auf Systemlogs und -warnungen, sondern umfasst auch Verhaltensanalysen der IT-Umgebung eines Unternehmens, um ungewöhnliche Aktivitäten aufzudecken. Beispiele sind Systeme, die bislang nie miteinander kommuniziert haben und plötzlich große Datenmengen austauschen, oder bisher "stille" interne Systeme, die plötzlich mit externen Systemen kommunizieren. Früherkennungssysteme Unverzichtbarer Bestandteil einer umfassenden Sicherheitslösung ist die Möglichkeit, Bedrohungen früh zu erkennen, also der Einsatz von Früherkennungssystemen. Auf Unternehmensseite implementierte Systeme sind dafür oft allein schon aufgrund der Geschwindigkeit nicht geeignet. Ein Unternehmen kann einen umfassenden Schutz vor Angriffen kaum völlig autark realisieren, da die Bedrohungslage zu heterogen und vor allem auch zu dynamisch sowie der Kostenaufwand zu hoch ist. Auch ist es für ein Unternehmen in der Regel weder wirtschaftlich noch strategisch sinnvoll, Security als Kernkompetenz aufzubauen und zu betreiben. Hier kommen SOCs (Security Operations Centers) von MSSPs (Managed Security Service Provider) als proaktive Abwehrzentren für Unternehmen ins Spiel, in denen unter anderem die Früherkennung von Angriffen erfolgt - und zwar durch den Einsatz von Technik in Kombination mit fachlicher Expertise, somit durch den Zugriff auf intelligente Tools, die eine permanente Analyse des Datenverkehrs und die Korrelation unterschiedlichster Informationen sicherstellen, und das Experten-Know-how von Security-Analysten. Zentraler Vorteil des SOCs eines global aufgestellten MSSPs ist der umfassende Überblick über die Sicherheitslage und die Fähigkeit, Bedrohungen vorausschauend zu ermitteln und zu isolieren. Voraussetzung ist, dass ein solches Abwehrzentrum über eine valide globale Datenbasis für ein proaktives Security Monitoring verfügt. Nur eine derartige globale "Threat Intelligence" (Ermittlung der Bedrohungslage) kann die zuverlässige Basis für die Realisierung eines umfassenden Schutzes vor akuten - auch gänzlich neuen - Bedrohungen sein. Dabei kann ein weltweit agierender Provider im Unterschied zu einem rein lokal vertretenen MSSP Meldungen und Störungen unterschiedlichster IT-Infrastrukturen tausender Kunden weltweit überwachen und analysieren - und auf dieser Datenbasis dann ein Echtzeitbild der Bedrohungslage erzeugen. Incident-Response-Strategie Da es keine 100-prozentige Absicherung gibt, müssen Unternehmen auf den Ernstfall (Security Incident) vorbereitet sein. Dies gilt es zu akzeptieren, wobei heute allerdings die Realität vielfach noch ganz anders aussieht. So hat der aktuelle NTT Com Security Global Threat Intelligence Report ergeben, dass drei Viertel der Unternehmen nur unzureichend für die Reaktion auf Sicherheitsvorfälle (Incident Response) gewappnet sind. Eine Incident-Response-Strategie ist aber unabdingbar, um ein hohes Maß an IT-Sicherheit gewährleisten zu können. Es muss ein Incident-Response-Verfahren etabliert sein, das im Gefahrenfall abrufbar ist und mit dem sich ein ungewollter Datenabfluss unterbinden lässt. Auch hier bieten erfahrene Sicherheitsexperten eine entscheidende Unterstützung bei der Gestaltung und Bereitstellung von Response-Teams. Nur mit einem solchen umfassenden Ansatz kann ein Unternehmen heute die bestmögliche IT- und Informationssicherheit realisieren.
Lesen Sie mehr zum Thema
