Endpoint Security

Hacker müssen leider draußen bleiben

Frank Kölmel ist Vice President Central & Eastern Europe bei FireEye. Das Unternehmen hat sich auf den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen spezialisiert. Schwerpunkte von Frank Kölmel, der auf mehr als 20 Jahre Erfahrung in der Netzwerk- und Internetbranche zurückblicken kann, sind Ausbau und Festigung der Position des Unternehmens in der D-A-CH-Region und Osteuropa. 

Unternehmen geben jährlich Unsummen für die Anschaffung und Verwaltung von IT-Sicherheitstools aus – meist mit Fokus auf Netzwerke und Endpunkte. Doch immer häufiger verlieren sie den Kampf gegen technisch versierte Hacker - und damit auch wertvolle Daten.

Das hat seinen Grund: rein Tool-basierte IT-Sicherheitsmaßnahmen werden zunehmend uneffektiv, denn die Hacker der Neuzeit verfügen über umfangreiche Ressourcen und clevere Methoden, mit deren Hilfe sie sogar die meisten Sicherheitslösungen mühelos umgehen können.

Einfacher Einstieg für Hacker

Enpunkte - also PCs, Laptops, Tablets, Smartphones und vernetzte Peripheriegeräte - öffnen Cyberkriminellen und Hackern die Türen zu wichtigen und sensiblen Unternehmensdaten. Schon alleine die Anzahl von Endpunkten und die damit verbundenen Sicherheitsrisiken nehmen stetig zu. Der heute in der IT weit verbreitete Bring-Your-Own-Device-Ansatz (BYOD) tut sein Übriges. Keine leichte Aufgabe für die IT-Abteilung, den Zugriff über private Mobilgeräte sicher zu gestalten.

Warum Hacker Endpunkte mögen, liegt auf der Hand: Auf Endpunkten liegen die Anmeldedaten von Benutzern und wichtige Geschäftsdaten, sodass die Angreifer nach erfolgreichem Eindringen, Zugriff auf wertvolle digitale Ressourcen erhalten und sich – oft über geraume Zeit bis zu ihrer Entdeckung – frei im Unternehmensnetzwerk bewegen können. Einem Angriff geht dabei in vielen Fällen eine Beobachtungsphase voraus: Weiß man, wie sich der Mensch hinter einem Endpunkt verhält, wird es einfacher, ihn zu sicherheitskritischem Verhalten zu verführen. Zugang verschaffen sich die Angreifer mit Hilfe von hochentwickelter Malware, gestohlenen Anmeldedaten oder infizierter externer Speichergeräte. Von dort können die Cyberkriminellen ohne den erneuten Einsatz von Malware meist problemlos weitere Systeme im Netzwerk angreifen, bis jene Daten oder Prozesse gefunden werden, die das eigentliche Ziel sind.

Die Abwehr moderner Cyberattacken und Hackerangriffe ist heute ein wesentlich schwierigeres und umfangreicheres Unterfangen als noch vor einigen Jahren. Denn nicht nur die Häufigkeit von Angriffen auf Netzwerke von Unternehmen und Behörden ist gestiegen, auch sind die Attacken immer besser getarnt, mehrstufig und gleichzeitig komplexer. Das zeigt beispielsweise auch die Weiterentwicklung des Trojaners „Locky“ oder täuschend echt aussehende Phishing-Mails. Hackerangriffe richten sich heute personalisiert an einen Empfänger und verfolgen meist eine langfristige Strategie.

So verhindern Sie Cyberangriffe auf Endpunkte

Um den Schutz aller mobilen Endgeräte sowie der Unternehmensnetzwerke und -server zu jeder Zeit aufrecht zu erhalten, bedarf es einer umfassenden Lösung für die Endpunktsicherheit eines Unternehmens. Endpoint Security muss eine Bedrohung erkennen, ohne sich dabei auf binäre Signaturen zu verlassen. Gleichzeitig muss sie Hand-in-Hand mit Netzwerk-basierten Tools gehen. Hochentwickelte Technologie, die unabhängig von der IT-Architektur Bedrohungen erkennt und neutralisiert, ist dabei nur eine Komponente. Indikatoren helfen dabei, verdächtiges Verhalten, Callbacks, Command-and-Control Channels oder andere Anomalien zu entdecken. Eine Endpoint-Plattform hilft dabei, den Überblick zu bewahren – und das sogar während eines Angriffs auf die Systeme. Die Systemaktivitäten werden aufgezeichnet, um dem IT-Security-Team die Chance zu geben, die Angriffsmuster der Hacker zu erkennen. In das System müssen auch aktuelle Bedrohungsdaten einfließen, die die Sicherheitsmechanismen auf dem neuesten Stand halten. Ergänzt wird das durch externes Know-how sowie Analyse- und Forensikfunktionen – Threat Intelligence, die dabei hilft Angriffe präventiv zu erkennen.

All diese Maßnahmen müssen umfassend in die bestehende Sicherheitsinfrastruktur integriert sein und einen vollständigen Überblick über mögliche Bedrohungen und die Vorgehensweise der Hacker liefern. Denn nur so ist es IT-Verantwortlichen möglich, in Echtzeit auf Angriffe zu reagieren und schwerwiegende Folgen zu verhindern. Die kontinuierliche Erfassung und Überwachung von Informationen zu Geräte- und Anwendungszustand, außergewöhnlichem Verhalten oder unautorisiertem Datenfluss sowie zu auffälligen Ereignissen innerhalb des Unternehmensnetzwerks sind hierbei von besonderer Bedeutung. Denn nur so können mutmaßlich infizierte Geräte und Anwendungen entdeckt und abgesichert werden. Ziel muss es sein, die Hacker bereits zu bemerken, wenn sie versuchen ins Netzwerk einzudringen oder Schaden anzurichten. (fm)