Verschlüsselung macht nicht nur die Kommunikation im Internet sicher, sondern kann auch von Hackern für Angriffe auf Unternehmen genutzt werden. So minimieren Sie das Sicherheitsrisiko.
Von Online-Banking, Kommunikation über VPN und mobilen Anwendungen bis hin zum Internet of Things (IoT) greifen alle IP-basierten Services auf Schlüssel und Zertifikate zurück, wenn sie eine sichere Verbindung herstellen. Diese ist die Vertrauensbasis für Webseiten, Cloud-Dienste, Endpunkte und Server. Doch Cyber-Kriminelle und Hacker missbrauchen gestohlene Schlüssel und Zertifikate, um sich in verschlüsseltem Traffic zu "verstecken", Webseiten zu täuschen, Malware einzuschleusen, ihre Privilegien zu erweitern oder Daten zu stehlen. Der Einsatz moderner Next-Generation-Firewalls mit SSL-Prüfung und Intrusion-Prevention-System kann diese Sicherheits-Risiken minimieren.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
SSL-Entschlüsselung schafft Transparenz
Die Verschlüsselung der Kommunikation mit SSL/TLS sichert zwar die Verbindung, kann aber nicht dafür garantieren, dass der Datenverkehr ungefährlich ist. Malware kann von Mitarbeitern, etwa über eine Website, trotz verschlüsselter Verbindung heruntergeladen werden. Und zwar ohne dass die Abwehrmechanismen im Unternehmen es mitbekommen, denn viele Sicherheitstools haben keinen Einblick in die verschlüsselte Verbindung. Sie bekommen erst etwas mit, wenn der Schädling bereits im Unternehmen ist. Eine wirksame Gegenmaßnahme ist, den verschlüsselten Datenverkehr mithilfe von Software und Hardware zu analysieren, bevor er im Unternehmen ankommt. So lassen sich Bedrohungen frühzeitig aufspüren und verhindern. Dazu muss die sichere Verbindung aber zunächst entschlüsselt werden, um an die Daten im Klartext heranzukommen.
Der Einsatz von Next-Generation-Firewalls bietet zahlreiche Vorteile. Welche, das erfahren Sie hier. Foto: Pingingz - shutterstock.com
Next Generation Firewalls schließen Schwachstellen
Next Generation Firewalls (NGFW) sind Systeme, die in der Lage sind, eine umfassende SSL-Inspektion vorzunehmen, also auch die verschlüsselte Kommunikation auf Malware zu untersuchen. Sie verbindet die Eigenschaften einer herkömmlichen Firewall mit vielen weiteren Funktionen wie Application Firewall, Deep Packet Inspection und Intrusion-Prevention-System. Um den HTTPS-Netzwerkverkehr zu analysieren, muss sie die Daten im Klartext analysieren. Die verschlüsselten Daten werden daher zunächst entschlüsselt, dann analysiert und schließlich wieder verschlüsselt zum Zielrechner geschickt.
Die Firewall agiert also zwischen dem Server (der beispielsweise eine Webseite hostet) und dem Client im Unternehmen als Man in the Middle. Das ermöglicht einen vollständigen Mitschnitt des Datenverkehrs im Klartext. Da der Browser beim Eingriff der Firewall nicht mehr das originale Server-Zertifikat sieht, sondern eine von der Firewall signierte Version, gibt er normalerweise eine Warnung aus. Erst mit einem vertrauenswürdigen Certificate-Authority (CA)-Zertifikat akzeptiert der Browser ohne Murren die Unterbrechung des verschlüsselten Datenflusses durch die Firewall. Die Verteilung und Einrichtung auf allen Clients, Servern oder mobilen Geräten im Unternehmen ist Sache des Administrators. So kann er auch das Zertifikat der NGFW an alle Systeme verteilen, damit die Warnung im Browser verschwindet.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Whitelists erhöhen den Firewall-Durchsatz
Im Auge behalten sollten Administratoren die Performance der Sicherheitslösung: Denn die Prüfung des HTTPS-Verkehrs durch eine Next-Generation-Firewall ist im Vergleich zu einer Klartextprüfung viel rechenintensiver. Auf die Verbindungsgeschwindigkeit wirken sich vor allem zwei Dinge aus: die Einrichtung der sicheren Verbindung zwischen dem Client im Unternehmen und der Gegenstelle außerhalb des Unternehmensnetzes sowie die Entschlüsselung und Wiederverschlüsselung des Datenverkehrs. Aus diesem Grund sind viele veraltete Sicherheitssysteme mit der Prüfung von verschlüsseltem Datenverkehr überfordert oder machen ihn praktisch unmöglich. Um genügend Leistung zu bieten und Skaleneffekte beim Parallelbetrieb zu realisieren, sind leistungsfähige NGFWs deshalb mit Multicore-Prozessoren ausgestattet.
Whitelists (die Webseiten enthalten, die das Unternehmen als vertraulich einstuft - etwa solche zum Onlinebanking) wirken sich entlastend auf den Firewall-Durchsatz aus. Hier lässt sich für Verbindungen bestimmter Anwendungen definieren, wann die SSL-Inspektion umgangen werden darf. Das vermindert das Volumen des zu untersuchenden Datenverkehrs und schont die Ressourcen der Firewall. Die Whitelists müssen jedoch regelmäßig überprüft werden, um sicher zu gehen, dass es sich noch um vertrauenswürdige Quellen handelt. Eine weitere Verringerung des Datenvolumens lässt sich erreichen, wenn geprüft wird, ob der SSL-Verkehr von außerhalb kommt oder ob er seinen Ursprung im Unternehmen hat. Verschlüsselte Verbindungen im internen Netzwerk sind oftmals unbedenklich und können ebenfalls von einer Prüfung ausgenommen werden.
Game of Thrones: IT-Sicherheits-Lektionen
Kleine Dinge, große Probleme Kein Mensch hat in der ersten Staffel von „Game of Thrones“ die Drachen oder Wölfe ernst genommen. In Staffel 3 waren die Viecher dann so mächtig, dass sie regelmäßig Verwüstungs-Orgien veranstalten und sogar ganze Armeen ins Verderben reißen konnten. <br><br/> Im Big-Data-Zeitalter können Risiken die einst minimal waren, ebenfalls zu ernsthaften, existentiellen Bedrohungen für Unternehmen werden.
Gesichtslose überall Kein Mensch hat in der ersten Staffel von „Game of Thrones“ die Drachen oder Wölfe ernst genommen. In Staffel 3 waren die Viecher dann so mächtig, dass sie regelmäßig Verwüstungs-Orgien veranstalten und sogar ganze Armeen ins Verderben reißen konnten. Im Big-Data-Zeitalter können Risiken die einst minimal waren, ebenfalls zu ernsthaften, existentiellen Bedrohungen für Unternehmen werden. <br><br/> Während fähige Hacker und Einzeltäter oft nur wegen des "Ruhms" in Unternehmensnetzwerke einbrechen, nehmen Netzwerke von Cyberkriminellen Unternehmen ins Visier, um diese ganz gezielt für kriminelle Zwecke auszunutzen.
Feuerwände (oder welche aus Eis) helfen nicht immer In „Game of Thrones“ werden die sieben Königreiche von Westeros von einer 200 Meter hohen und 300 Kilometer langen, massiven Wand aus Eis geschützt. Erbaut wurde die Mauer übrigens von "Brandon dem Erbauer". Mit der Wand verwoben: Zaubersprüche. <br><br/> Manchmal brauchen auch Cyberkriminelle nur das richtige "Zauberwort": Die einfachste Methode in ein Netzwerk einzubrechen, ist über den Diebstahl von Passwörtern. Entsprechend vielfältig und raffiniert sind die Hacker, wenn es darum geht neue, hinterhältige Methoden und Herangehensweisen zu entwickeln.
Halte Deine Freunde fern und Deine Feinde ferner Lord Petyr Baelish und Lord Varys nutzen in „Game of Thrones“ ihr Informationsnetzwerk in Form von kleinen Vögeln, um in den Machtkampf zwischen den Königreichen einzugreifen. Schon die kleinste Schwachstelle kann Herrscher zu Fall bringen – oder zumindest ihren Thron gefährden. <br><br/> Wenn Personen (auch vertrauenswürdige Mitarbeiter) in einem Netzwerk auf Daten zugreifen, ist das nicht immer sicher. Beispiele wie Mark Abene, Julian Assange, Chelsea Manning oder Edward Snowden zeigen, dass Menschen mit Zugang zu Netzwerken in relativ kleinen Zeitfenstern und mit begrenzten Ressourcen massive Datenmengen zusammentragen können.
Die Rückkehr der Toten Wenn wir eines von „Game of Thrones“ gelernt haben, dann, dass der Tod nicht das Ende bedeuten muss. Ganz ähnlich wie Melisandre und Thoros mit Hilfe von Magie die Toten wieder zum Leben erwecken, können auch Hacker Daten aus lange totgeglaubten Quellen "wiederauferstehen lassen". <br><br/> Viele kleine und mittelständische, aber auch große Unternehmen gehen davon aus, dass formatierte Festplatten gelöscht sind und verkauft oder entsorgt werden können. Zwar unterstützen etliche Hersteller von ATA-, IDE- und SATA-Festplatten den sogenannten ATA Secure Erase Standard - allerdings hat eine Untersuchung aus dem Jahr 2011 gezeigt, dass vier von acht Herstellern den Standard nicht korrekt implementiert haben.
Der eiserne Preis "Valyrischer Stahl" bezeichnet in „Game of Thrones“ einen extrem seltenen Rohstoff. Allerdings ist das Material eines der wenigen, mit denen weiße Wanderer in die Flucht geschlagen werden können. Sein Wert kann also gar nicht hoch genug bemessen werden. <br><br/> Unter führenden Security-Experten wird der Mangel an Verständnis für Cloud-Sicherheit als eines der derzeit größten Probleme gehandelt. Die Mehrheit der Internet-Unternehmen steckt mehr finanzielle Ressourcen in Security Software als in Hardware oder Personal. Big-Data-Trends im Unternehmensumfeld sind derzeit Hybrid-, Private Cloud-, Hyperscale- und Centralized Storage - sie alle kombinieren die Technologie von gestern mit der von morgen. Der Wert der Daten selbst steigt stetig, während der Wert der Menschen mit Zugang zu den und Kontrolle über die Daten stagniert. Merke: Eine umfassende IT-Security-Strategie ist ein kostspieliges Unterfangen, aber die Investitionen lohnen sich.
Alte oder neue Götter? In „Game of Thrones“ dürfen sich die Bewohner von Westeros in zig verschiedenen Religionen "üben" und allerlei Göttern huldigen. Dabei scheint jeder davon überzeugt zu sein, dass sein Gott der beste Gott ist. Aber an wen wenden wir uns mit unserem Schutzbedürfnis in der echten Welt? <br><br/> Für den Kramerladen der Eltern gilt ebenso wie für den Weltkonzern: Mit jedem technologischen Fortschritt entstehen neue Bedrohungen. Egal, ob es dabei um mobile Apps oder Quantum Computing geht - die IT-Sicherheitsmaßnahmen müssen sich dem rasanten Wandel der Branche anpassen. Aber wie kann ein cloudbasierter Speicher überhaupt die massiven Datenströme ohne Verluste und Fehler erfassen?
Entschlüsselung ist datenschutzrechtlich relevant
Verschlüsselung wird hauoptsächlich für den Zugang zu sensiblen Daten genutzt. Datenschutz- und Compliance-Vorgaben stellen daher die IT im Unternehmen vor große Herausforderungen, wenn Mitarbeiter die Unternehmensinfrastruktur auch für private Zwecke nutzen dürfen. Grund: Das Unternehmen wird im rechtlichen Sinne zum Telekommunikationsanbieter und ist folglich an das Telekommunikationsgesetz (TKG) gebunden. Damit ist auch das Fernmeldegeheimnis zu beachten.
Konkret bedeutet das, dass das Unternehmen keine Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation erhalten darf, sofern dies nicht zwingend für die Erbringung des Dienstes erforderlich ist - etwa für die Abrechnung privater Telefonate. Da bei der Entschlüsselung aber der Inhalt der Kommunikation offengelegt wird, ist diese - datenschutzrechtlich betrachtet - als problematisch einzustufen. Das bedeutet aber nicht, dass ein Unternehmen komplett auf die Entschlüsselung verzichten muss: Die arbeits- und datenschutzrechtlichen Implikationen lassen sich im Rahmen von Betriebsvereinbarungen in der Regel entschärfen. Der positive Nebeneffekt dabei ist, dass bei jedem Mitarbeiter ein Problembewusstsein für das Thema geschaffen wird, das letztlich auch nachhaltig zur Sicherheit des Unternehmens beiträgt. (fm)
Machen Sie Ihr Security Awareness Training besser
Bestimmen Sie Metriken Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.
Bleiben Sie flexibel Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.
Lassen Sie Regeln brechen Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.
Wählen Sie einen neuen Ansatz Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.
Holen Sie sich Unterstützung vom C-Level Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.
Machen Sie gemeinsame Sache mit anderen Abteilungen Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.
Seien Sie kreativ Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.
Setzen Sie sinnvolle Zeitfenster Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.
Wählen Sie einen multimedialen Ansatz Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.