Vorbeugen statt heilen

Cyber-Hygiene: Prävention gegen Hacker-Attacken

CTO bei Qualsys
Hacker-Angriffe werden immer raffinierter. Daher reichen Firewalls und Malwarefilter nicht mehr aus, um Netzwerke effektiv zu schützen. Unternehmen sollten ergänzend auf Cyber-Hygiene setzen, einem ganzheitlichen Ansatz für die präventive Abwehr von Hacker-Angriffen. Dahinter verbergen sich grundlegende (Sicherheits-)Maßnahmen wie Inventarisierung, das Scannen der Netzwerke nach Schwachstellen oder Konfigurations- und Patch-Management.
Cyber-Hygiene: Ein ganzheitliches Sicherheitskonzept, das auf Prävention statt auf Reaktion setzt.
Cyber-Hygiene: Ein ganzheitliches Sicherheitskonzept, das auf Prävention statt auf Reaktion setzt.
Foto: Shutterstock.com Andrey_Popov

Aktuelle IT-Trends wie Big Data, Cloud Computing, Virtualisierung oder Software Defined Networking (SDN) sorgen dafür, dass die Netzwerke größer, schneller und auch komplexer werden. Sicherheitsbedrohungen und -verletzungen sind daher immer schwieriger zu erkennen und zu beseitigen. Zudem werden die Bedrohungen raffinierter. Beispiele sind intelligente Malware und fortschrittliche, zielgerichtete Angriffe (Advanced Persistent Threats, APT). So können bis zur Entdeckung der Attacke sogar Monate vergehen, in denen der Angreifer Daten des Unternehmens mitschneidet.

Angesichts ständig neuer Bedrohungen müssen Unternehmen die verwundbaren Punkte ihrer IT-Infrastruktur systematisch absichern. Schwachstellen in der IT-Infrastruktur können viele Ursachen haben. Sie reichen von Fehlern im Softwaredesign, falschen Konfigurationen über ungepatchte oder unautorisierte Systeme bis hin zu falsch ausgerichteten Security-Richtlinien. Externe Angreifer nutzen diese Sicherheitslücken aus und greifen auf Daten im Netzwerk zu. Technische Lösungen wie Firewalls und Malwarefilter reichen daher heute nicht mehr aus, um Netzwerke von Unternehmen effektiv zu schützen. Ergänzend ist ein ganzheitliches Sicherheitskonzept gefragt, das auf Prävention statt auf Reaktion setzt: Cyber-Hygiene.

Cyber-Hygiene: Vorbeugen ist besser als heilen

Cyber-Hygiene ist am besten mit einer Analogie zur Medizin zu erklären. So wie man seine Zähne putzt, um Karies zu verhindern, sich impfen lässt oder zu Vorsorgeuntersuchung geht, sollten Unternehmen auch ihre IT-Infrastruktur vorbeugend vor Malware-Infektionen schützen. Prävention vermeidet oder minimiert Schäden und reduziert im Vergleich zu einer verspäteten Reaktion die Folgekosten.

Was heißt Cyber-Hygiene konkret? Unternehmen können Hacker-Attacken proaktiv verhindern, indem sie wichtige und relativ einfache Sicherheitsstandards einhalten. Orientierung bieten hier die vom Council on Cybersecurity (CCS) veröffentlichten Critical Security Controls, ein Leitfaden mit zwanzig Maßnahmen für bessere IT-Sicherheit.

Zu den wichtigsten Punkten gehören beispielsweise die Inventarisierung der im Unternehmen eingesetzten Hardware und Software, der Scan von Webanwendungen, die Einrichtung sicherer Passwörter, permanente Analyse der Schwachstellen, Konfigurations-Management oder Sicherheitstests neuer Software. Zudem empfiehlt das CCS, immer die aktuellsten Patches für Software und Applikationen zu installieren.

Netzwerk-Scan: Überblick über Inventar und Schwachstellen

Ein zentrales Element von Cyber-Hygiene ist das kontinuierliche Scannen und Überwachen des Netzwerks, um Veränderungen und Schwachstellen zu erkennen. Das Monitoring umfasst neben den verbundenen Geräten (Desktops, Server, Notebooks etc.) auch sämtliche Webanwendungen. Letztere werden beispielsweise auf OWASP Top-10-Risiken, SQL-Injection, Cross-Site-Scripting und fehlerhafte Website-Konfigurationen getestet, um Sicherheitslücken und Schwachstellen zu finden. Erkennt das Scan-System eine Bedrohung oder ein Risiko, kann die Firewall die Anwendung blocken. Zudem ist es möglich, Patches zu installieren, um die bestehenden Risiken zu entschärfen.

Durch den Scan des Netzwerks erhält das Unternehmen "nebenbei" auch eine vollständige, detaillierte und aktuelle Übersicht aller Geräte und Software (einschließlich Treiber), die mit dem Firmennetzwerk verbunden sind. Die lückenlose Inventarisierung gewinnt mit dem Trend zu mobilen Geräten und "Bring your own Device" zunehmend an Bedeutung: Wo befinden sich die Assets? Ist die jeweils aktuellste Version der Software auf dem Gerät installiert? Wer befindet sich gerade im Netzwerk? Welche Rechte hat der jeweilige Benutzer? Darf er Einstellungen verändern oder umgehen? Stimmen die Konfigurationen der jeweiligen IT-Assets mit den Vorgaben überein? Sind beispielsweise bei einer Datenbank alle Module installiert?

Durch das kontinuierliche Monitoring erkennen Unternehmen Veränderungen wie neue Hosts oder offene Ports und Dienste etc. innerhalb kürzester Zeit und können entsprechend schnell reagieren. Weil sie zudem ihre Geräte permanent auf die neuesten Schwachstellen in Betriebssystemen, Anwendungen und Zertifikaten überwachen, sehen sie in Echtzeit, ob kritische Patches fehlen. Beim Netzwerk-Scan sollten Maschinen am Perimeter höchste Priorität genießen, die mit dem Internet verbunden sind und Daten austauschen. Erst dann folgen interne Server und andere IT-Assets. Die Implementierung eines kontinuierlichen Monitorings kann heutzutage sehr zügig angegangen werden.

Konfigurations- und Patch-Management

Die genaue Übersicht des Inventars und der Schwachstellen bildet die Basis für effizientes Konfigurations- und Patch-Management. Ein einfaches Beispiel zum Konfigurations-Management: Erkennt ein Unternehmen, dass seine Infrastruktur sehr heterogen aufgebaut ist und Geräte mit unterschiedlichsten Windows-Versionen installiert sind, sollte es diese soweit wie möglich standardisieren. Besseres Konfigurations-Management vereinfacht in diesem Fall die Verwaltung und erhöht die Sicherheit. Zum Konfigurations-Management gehören auch die Vergabe von Zugriffsrechten oder Richtlinien über die Länge der benutzten Passwörter.

Sind die Schwachstellen bekannt, müssen die Unternehmen schnellstmöglich die entsprechenden Sicherheits-Patches installieren. Dabei geht es nicht nur um das Betriebssystem, sondern um alle lokal installierten und webbasierten Anwendungen. Dem Bundesamt für Sicherheit und Informationstechnik (BSI) zufolge lassen sich 95 Prozent aller Angriffe durch rechtzeitiges Patching präventiv verhindern. 2013 dauert es im Schnitt rund 15 Tage, bis Hacker einen Exploit für eine Schwachstelle entwickelten; Unternehmen sollten daher die Lücke zügig schließen, um Datenverluste zu verhindern.

Die Patches für Betriebssysteme oder lokale Anwendungen auf Geräten stellen die Hersteller bereit; daher lassen sich die Schwachstellen relativ einfach schließen. Die IT-Abteilung braucht diese Patches nur herunterzuladen und auf ihre System-Kompatibilität hin zu testen. Bei Webanwendungen hingegen ist es meist notwendig, den Patch selbst zu entwickeln. Damit die betroffenen Unternehmen Zeit gewinnen, muss die Firewall die betroffene Webanwendung blocken und isolieren. Eine nahtlose Integration zwischen Web Application Scanning (WAS) und Web Application Firewall (WAF) nimmt der IT-Abteilung den Konfigurationsaufwand ab.

Fazit

Cyber-Hygiene stellt einen ganzheitlichen Ansatz für die präventive Abwehr von Hacker-Angriffen dar. Die Basis bildet der kontinuierliche Scan des Netzwerks inklusive aller verbundenen Geräte und Webanwendungen. Denn es gilt: Nur wer seine IT-Umgebung und deren Schwachstellen kennt, kann sie wirksam absichern. Dieses Wissen schafft die Voraussetzung für effizientes Konfigurations- und Patch-Management. Dadurch gelingt es Unternehmen, bis zu 95 Prozent aller potenziellen Hacker-Angriffe bereits im Vorfeld zu verhindern (Quelle: BSI). (mb)