Mehr Zonen, mehr Schutzklassen
Von Uli Ries
Angesichts des professionellen Vorgehens der Angreifer scheint es unausweichlich, dass ein Netzwerk kompromittiert wird. Und was dann? Alan Kessler von Vormetric zufolge halten über 50 % die bewährten Data-Breach-Prevention-Produkte für hinreichend. Bislang werden sie laut Kessler hauptsächlich verwendet, um Auditoren glücklich zu machen. Inzwischen setzt sich die Erkenntnis durch, dass es wichtiger ist denn je, die negativen Folgen des unvermeidlichen Einbruchs zu minimieren – und das können solche Produkte ebenfalls. Laut Kessler sei die vollständige Absicherung des Perimeters ohnehin utopisch. Daher müsse gelten: „Es ist leichter, die Lebensmittel im Haus vor dem Einbrecher zu verstecken, als das Haus hermetisch zu verrammeln.“
Zu diesem Pflichtprogramm kommt noch die Kür: die Überwachung der Zugriffe und die Erkennung von Anomalien. Weicht nach einem erfolgreichen Angriff das Verhaltensmuster einzelner Anwender oder Maschinen vom bisher gewohnten ab, schlägt die DLP-Lösung (Data Leakage Prevention) Alarm. Wurden zuvor Zugriffsrechte per Least Privilege vergeben, erleichtert dies das Erkennen von Anomalien und auch die zeitraubende Analyse von Logfiles. DLP-Komponenten sind in vielen UTM-Lösungen (Unified Threat Management) zu finden. Diese Alleskönner vereinen Firewall, Virenscanner, DLP, VPN-Gateway und andere Funktionen.
Teil 1 beginnt den Angriff aufs Unternehmen an der größten Schwachstelle: beim Menschen. Teil 2 nennt die Alternativen zu Spear-Phishing nennen und erklärt, warum Hacker heute auf ein Golden Ticket aus sind. Teil 3 zeigt, wie die Angreifer die Daten nach draußen schmuggeln, und erklärt, worauf bei Sicherheitslösungen aus der Cloud zu achten ist. Teil 4 plädiert schließlich für eine feinere Einteilung in Schutzklassen und erinnert noch einmal an die größte Schwachstelle: den Menschen.
Florian Oelmaier von Corporate Trust schlägt noch einen ganz anderen Ansatz vor: IT-Verantwortliche sollten aufhören, in den heute geläufigen Zonen Internet, Intranet und DMZ (Demilitarisierte Zone) zu denken. Stattdessen sollten sie sechs bis acht solcher Zonen definieren, wobei in der letzten Zone die Kronjuwelen lagern. „Wenn man mit einer IPS/IDS-Lösung nur die 50 Rechner in der Forschungs- und Entwicklungsabteilung schützt, dann ist das auch machbar“, betont Oelmaier. Auch ließen sich Kampagnen, mit denen das Unternehmen die betreffenden Nutzer über aktuelle Bedrohungen informiert, bei solch kleinen Nutzergruppen realistischer umsetzen. Wer hingegen sein komplettes Netz und die gesamte Belegschaft auf solch hohem Niveau schützen wolle, „der sieht sich einer hoffnungslosen und quasi unbezahlbaren Aufgabe gegenüber“, so der IT-Sicherheitsfachmann.
Die zum Schutz der Unternehmensdaten notwendige Technik ist also bereits vorhanden, sie müsste nur granularer und zielgerichteter verwendet werden. Denn auch Werkzeuge wie Splunk können kleinere IT-Abteilungen im Handumdrehen überfordern, wenn die Datentransfers Hunderter oder gar Tausender von PCs überwacht werden müssten. Allein die hierfür nötige Anzahl menschlicher Analysten dürfte die Personalbudgets der meisten Unternehmen bei Weitem überfordern.
Technik ist nur ein Teil der Lösung
Ohne Menschen geht es aber nicht beim Kampf gegen Angreifer. Schutzmechanismen wie DLP sorgen nicht für umfassenden Schutz. Sie mindern zwar das Risiko, kämpfen aber auf verlorenem Posten, wenn Kollege Mensch nicht ebenfalls auf der Hut ist. Und genau hier sehen die Fachleute in der Praxis die größten Lücken: Nur in wenigen Unternehmen gibt es Aufklärungskampagnen, die Mitarbeiter – am besten fortlaufend – über neue Angriffsmaschen informieren. Ohne das Wissen darüber, wie eine Spear-Phishing-Kampagne aussieht und mit welcher Raffinesse die Täter dabei zu Werke gehen, geschieht es leicht, dass Mitarbeiter einer solchen Kampagne zum Opfer fallen.
Aber nicht nur die Kollegen in den Fachabteilungen benötigen Wissen. Auch die IT-Mitarbeiter selbst müssten laut RSA-Sprecher Alex Cox besser geschult werden. Denn ohne tiefgehendes Fachwissen seien moderne Schutzmechanismen gar nicht sinnvoll nutzbar. Auch fehle es so gut wie immer an der Expertise, die Wirkweise einer von der Software entdeckten Malware zu analysieren; hier sind Kompetenzen und Werkzeuge der IT-Forensik gefragt. Allzu oft begehen die Firmen zudem den Kardinalfehler: das sofortige Säubern der infizierten Endgeräte. Damit nehmen sich die Unternehmen laut Cox jegliche Chance, mehr über die Hintermänner bzw. die erbeuteten Daten zu erfahren. Fehlt dieser Einblick, ist die nächste, noch wirksamere Spear-Phishing-Kampagne so gut wie sicher. Denn niemand im Unternehmen weiß, welche der eigenen Daten für die nächste Attacke missbraucht werden.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
