(c) Steve Bronstein/Stone/Getty Images(c) Steve Bronstein/Stone/Getty Images

    vernetzt

    Jenseits der Brandmauer

    Einen hundertprozentigen Schutz der IT wird es in der digitalen Welt nie geben. Umso wichtiger wird es für Unternehmen, Angriffe sofort zu erkennen und schnellstmöglich darauf zu reagieren.

    Wannacry versetzte Unternehmen und Organisationen im Mai in Angst und Schrecken: Das Schadprogramm infizierte Zehntausende von Rechnern rund um den Globus und verschlüsselte Computerdateien, für deren Freigabe die Cyber-Erpresser Lösegeld verlangten. Was war passiert? Hatte die Firewall der Unternehmen versagt? Oder waren sie zu nachlässig mit der Aktualisierung ihrer Antivirensoftware? Beides war nicht der Fall. Die Erpresser nutzten eine Sicherheitslücke im Windows-Betriebssystem. „Es genügt nicht, sich gegen Angriffe zu wappnen. Man muss diese auch schnellstens entdecken und entsprechende Gegenmaßnahmen ergreifen“, erklärt Jörg Asma, Head of Cybersecurity beim IT-Beratungs- und Dienstleistungsunternehmen DXC Technology. Neben den breit gestreuten Massenangriffen wie Wannacry oder Locky finden auch gezielte Angriffe auf einzelne Unternehmen statt, die das häufig erst nach Monaten bemerken – wenn überhaupt. Denn Schadsoftware, die eigens für diesen Zweck gebaut wurde, hat keine den Virenscannern bekannte Signatur. „Beim Thema IT-Sicherheit findet daher gerade ein Paradigmenwechsel von der Prävention zur Detektion statt“, sagt der Sicherheitsexperte.

    Hidden Champions im Visier

    Von Cyberangriffen sind nicht nur große Konzerne betroffen. Nach Ergebnissen der Studie „Im Visier der Cyber-Gangster. So gefährdet ist die Informationssicherheit im deutschen Mittelstand“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC wurde jedes fünfte Unternehmen im Jahr 2016 Opfer eines erfolgreichen Angriffs – im Vorjahr war es nur jedes zehnte. Befragt wurden dafür bundesweit 400 mittelständische Unternehmen mit bis zu 1.000 Mitarbeitern. „Viele von ihnen sind Weltmarktführer und Hidden Champions. Sie verfügen über modernste Technologien, hochspezialisiertes Fachwissen und einen beeindruckenden Kundenstamm. Diese Unternehmen und ihre Datenbestände sind deshalb besonders attraktiv für Cyber-Gangster“, erklärt Peter Bartels, PwC-Vorstandsmitglied und Leiter des Bereichs Familienunternehmen und Mittelstand.

    Zu den häufigsten Infektionswegen eines Systems mit Schadprogrammen gehören nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) E-Mail-Anhänge, vom Anwender unbemerkte Infektionen beim Besuch von Webseiten (Drive-by-Downloads) und Links auf Schadprogramme, die sich immer häufiger auf vermeintlich seriösen Werbebannern verstecken (Malvertising). Dazu kommen die Gefahren von innen – ob aus kriminellem Beweggrund oder unbeabsichtigt: Rund die Hälfte der Abwanderung von sensiblen Unternehmensdaten geht nach Angaben des Sicherheitsunternehmens Forcepoint auf interne Sicherheitslücken (Insider Threats) zurück.

    Den Schaden, der Unternehmen dadurch in den vergangenen zwei Jahren entstanden ist, beziffern die Marktforscher von KPMG in ihrer Studie „e-Crime in der deutschen Wirtschaft 2017 – Computerkriminalität im Visier“ auf durchschnittlich jeweils 15.000 bis 150.000 Euro. Dieser beinhaltet den eingetretenen Verlust, den entgangenen Gewinn, Ermittlungs- und Folgekosten, Bußgelder, Geldstrafen und eventuelle Gewinnabschöpfungen. Eines von 20 Unternehmen hatte in den vergangenen zwei Jahren sogar einen Gesamtschaden von über einer Million Euro zu verzeichnen.

    So selbstverständlich wie Buchhaltung

    Den aktuellen Paradigmenwechsel vom bisherigen „Prevent and Protect“ zu „Detect and Respond“ nimmt die aktuelle IDC-Studie „Next Gen Endpoint Security in Deutschland 2017“ unter die Lupe. Demnach nutzt gerade einmal die Hälfte der Unternehmen sogenannte Advanced-Security-Lösungen, also weiterführende oder tiefergehende Technologien wie Next Generation Firewalls. „Unsere Studienergebnisse zeigen, dass erst die Hälfte der deutschen Unternehmen moderne und komplexe Schutzmechanismen der neusten Generation einsetzt. Das kommt im Prinzip einer Einladung zum erfolgreichen Angriff gleich“, warnt Matthias Zacher, Manager Research & Consulting bei IDC und Verfasser der Studie.

    In der vernetzten Welt wird es für Unternehmen immer wichtiger, Angriffe frühzeitig zu erkennen und Gründe der Attacken zu verstehen. Nur dann sind sie in der Lage, ihre Schutzmechanismen anzupassen. Die Lösungen kommen aus der Cloud, sodass sie auch für kleinere Unternehmen bezahlbar sind. „Zu gutem unternehmerischen Handeln gehört ein vernünftiges Sicherheitskonzept genauso selbstverständlich dazu wie Buchhaltung“, betont Sicherheitsexperte Jörg Asma. Er rät seinen Kunden zum Einsatz von Next Generation Firewalls, die auch eine Inhaltsinspektion vornehmen und Datenströme analysieren. Sie können Dateien, die mit Codes versehen sind, in eine sichere Quarantäne, eine sogenannte Sandbox packen, dort öffnen und den Code auf Schadsoftware prüfen, bevor er den ganzen Rechner infiziert. Statt wöchentlich werden sie bis zu viertelstündlich aktualisiert, um die neuesten Gefährdungen zu erkennen, denn diese vermehren sich ungebremst. Die Zahl bekannter Schadprogrammvarianten ist 2016 weiter gestiegen und lag bis August 2016 nach Angaben des Bonner Bundesamts für Sicherheit in der Informationstechnik bei mehr als 560 Millionen.

    Eine Next Generation Firewall arbeitet Hand in Hand mit der sogenannten Endpoint Protection direkt auf den PCs der Anwender, die dort auch nicht mehr fehlen darf. Denn die Benutzerschnittstellen zu den internen und externen Systemen sind die bevorzugten Angriffsziele von Hackern. Die Schutzsoftware erkennt, wenn in sehr kurzer Zeit sehr viele Dateien geöffnet werden. Sie schlägt Alarm und signalisiert der Firewall, das Schutzniveau zu erhöhen. Und zu guter Letzt sollte eine Analysesoftware eingesetzt werden. Sie hat das empfangene und gesendete Datenvolumen immer im Auge, wertet es aus und meldet Auffälligkeiten. Damit die eingedrungenen Schädlinge sofort entlarvt werden, ist es wichtig, dass alle eingesetzten Komponenten miteinander arbeiten. „Sonst nützen auch die aktuellsten Sicherheitstools nicht“, so Asma. Fakt ist: Unternehmen werden täglich angegriffen, daran wird sich auch in Zukunft nichts ändern. „Jetzt kommt es allerdings darauf an, die Angriffsfläche so klein wie möglich zu halten, Systeme und Schnittstellen proaktiv zu überwachen und Wiederherstellungspläne verfügbar zu haben“, rät IDC-Experte Zacker.

    Grundbestandteil eines wirksamen IT-Schutzes

    Für einen optimalen Schutz ist es wichtig, dass die Komponenten problemlos miteinander kommunizieren:

    1. Abwehr und Transparenz durch Next Generation Firewalls (NGFW)

    Unternehmensnetze stehen unter ständiger Bedrohung. Die sogenannten Firewalls „der nächsten
    Generation“ bieten, neben den in großer Zahl integrierten Sicherheitskomponenten, die Möglichkeit, Applikationsdaten im Datenstrom zu erkennen. Next Generation Firewalls von Anbietern wie Palo Alto, Cisco, Fortinet, Check Point oder Sophos enthalten eine Applikationskontrolle und ein Echtzeit-Monitoring. Sie ermöglichen Rechtezuweisungen für Benutzer, Geräte und Anwendungen. Mit ausgefeilten Technologien wie Advanced Threat Protection (ATP), Intrusion Prevention System (IPS), lokaler Quarantäne (Sandboxing) und Web- und E-Mail-Protection schützen sie das Netzwerk vor Viren, Botnets, Hacks und komplexen Bedrohungen.

    2. Schutz der PCs durch Endpoint Protection

    Darunter versteht man mehr als profane Antivirenprogramme. Die auf den PCs installierte Software kommuniziert direkt mit der Firewall und setzt deren Warnstufe hoch, wenn sie Auffälligkeiten entdeckt, etwa wenn in kürzester Zeit viele ­Dateien geöffnet werden, wie es beim Einschleusen von Ransomware der Fall ist. Lösungen derselben Anbieter erleichtern die Integration.

    3. Angriffserkennung durch Analysesoftware

    Mithilfe von Big-Data-Technologie checkt Analysesoftware von Anbietern wie RSA Security Analytics oder Open SOC das Datenvolumen in Unternehmen auf Auffälligkeiten und erkennt Schadsoftware, die heimlich versucht, eine Verbindung zum Server im Internet herzustellen, Software nachzuladen und ein Programm auszuführen, wie es bei Locky beispielsweise der Fall war.

     


    Wir freuen uns über Diskussionen und Ihre Kommentare.
    Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

    Kommentar absenden

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    CAPTCHA-Bild

    *

    Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>