AV-Software und IPS-Systeme (Intrusion Protection System) – ist das nicht schon mehr als genug, um die eigene IT zu schützen? Sieht man einmal davon ab, dass es grundsätzlich keinen „100-Prozent-Schutz“ geben kann, haben all diese Lösungen doch einen entscheidenden Nachteil: Sie konzentrieren sich hauptsächlich auf Zugriffe von außen. Der Weg der Daten und Informationen hinaus aus dem Netz und weg von den eigenen Geräten bleibt zumeist offen und unkontrolliert. Dies soll die BlackFog-Lösung ändern, und zwar durchaus auch bei kleineren Firmen.
Es gehört zu den vielfältigen Aufgaben der IT-Fachleute, das Unternehmensnetzwerk und die darin befindlichen Systeme gegen Angriffe, unerwünschte Zugriffe und natürlich auch gegen das Abfließen von Daten zu sichern. Auch wenn Sicherheitsaspekte leider häufig immer noch als „kostenintensiv“ und „wenig produktiv“ gelten, hat sich die Notwendigkeit von Antivirus-Lösungen, Firewalls und ähnlichen Schutzlösungen doch auch in den Köpfen der Geschäftsleitungen und Budgetverantwortlichen durchgesetzt. Die Notwendigkeit des Einsatzes dieser Instrumente zur Gefahrenabwehr ist in der Regel nicht mehr strittig. Schwieriger wird häufig für die IT- und Security-Verantwortlichen, wenn sie neue Sicherheitslösungen einführen wollen. Etwa solche, die nicht unbedingt den bekannten Ansätzen von AV- und Firewall-Lösungen entsprechen. Dies trifft auch dann zu, wenn es um die sogenannten Endpoints, die Endgeräte (zumeist in „Nutzerhand“) im Netzwerk geht.
Blick auf die Endpunkte
Wer sich mit den Administratoren von Unternehmensnetzwerken darüber unterhält, wo denn ihre größten Sorgenkinder zu finden sind, bekommt sehr häufig die Endgeräte der Nutzer und ganz allgemein die Endpoints in den Netzen als Schwachstellen genannt. Deshalb an dieser Stelle auch der kleine Exkurs in die Thematik der Endpoints.
Für die Administratoren und IT-Verantwortlichen besteht das große Problem generell darin, die Endpunkte und damit die Systeme der Nutzer nicht „nur“ zur verwalten und zu betreuen, sondern auch für ihre Sicherheit zu sorgen. Diese Aufgabe ist durch die aktuellen Entwicklungen, die häufig recht euphemistisch unter dem Begriff „digitale Transformation“ zusammengefasst sind, deutlich erschwert. Die Nutzer verwenden immer seltener einheitliche Endgeräte in den Büroräumen des Unternehmens, sondern sind zunehmend mobiler und flexibler. Perimeterschutz, wie ihn klassische Firewalls bieten, kann bei diesen Geräten – die vielleicht auch noch im Home-Office oder unterwegs im Café betrieben werden – nur im eingeschränkten Maß helfen.
Natürlich sind heute in der Regel all diese Endgeräte bis hin zum Smartphone und Tablet mit einer Antivirus-Software ausgerüstet. Diese schützt dann den Nutzer vor einem Teil der Gefahren, die das Endgerät betreffen können. Oft gelingt es jedoch der Schadsoftware, Informationen und Daten von den Endgeräten abzugreifen und diese unbemerkt im Hintergrund über das Netzwerk vom Endgerät aus zu verschicken. Hinzu kommen immer häufiger auch sogenannte „Fileless Threats“ – also Bedrohungen, die ein System angreifen und beispielsweise Informationen abschöpfen, ohne dass dabei explizit Dateien auf dem Rechner installiert werden. Dabei handelt es sich dann beispielsweise um PowerShell-Programmcode, der im Memory des Endgeräts abläuft und dann seine Schadroutinen ausführt.
Gegen derartige Bedrohungen, die unter anderem darauf zielen, Daten vom System weg zu senden oder wie bei einer Ransomware-Attacke das ganze Endsystem zu verschlüsseln und unbrauchbar zu machen, können gängige AV-Programme und Firewalls nur wenig ausrichten. Sie sind darauf ausgerichtet, eingehende Verbindungen und Datenpakete zu untersuchen und gegebenenfalls auch zu unterbinden, fallweise auch die „bösartigen“ Programme anhand einer Signatur zu erkennen.
Dies alles geschieht jedoch erst dann, wenn der Schaden bereits angerichtet ist. Dies sind nur einige der Gründe dafür, dass viele Sicherheitsfachleute und IT-Experten ihren Blick vermehrt auf den ausgehenden Datenverkehr der Endgeräte richten. Welche Programme bauen Verbindungen zu Server-Systemen im Netzwerk auf, die dafür bekannt sind, schadhafte Programme zu verbreiten? Zu welchen Regionen in der Welt, mit denen das Unternehmen in der Regel nichts zu tun hat und die für den vermehrten Einsatz von dubioser oder gar gefährlicher Software bekannt sind, bauen die Endsysteme Verbindungen auf? Das Argument, dass solche Verbindungen durch das Blockieren der entsprechenden Ports in der Unternehmens–Firewall zu verhindern seien, wird den Administratoren höchstens noch ein Lächeln abringen. Schließlich ist es entweder durchaus legaler oder unverdächtiger Netzwerkverkehr, der die Endsysteme verlässt. Die Gefahr entsteht also erst nach der Kontaktaufnahme, oder die Endgeräte der mobilen Nutzer befinden sich weit außerhalb des durch Firewalls und ähnliche Schutzmaßnahmen gesicherten Unternehmensnetzwerks.