Die fünf größten Security-Sünden

Wer von Unternehmens-IT spricht, meint damit zumeist auch einen hohen Sicherheitsstandard. So eilt ganz im Gegensatz zu vielen Anwendern und Firmen im anglo-amerikanischen Raum deutschen Unternehmen der Ruf voraus, es mit der Sicherheit in der Regel eher zu genau zu nehmen. Deshalb sind es nicht zuletzt deutsche Firmen, die beim allgegenwärtigen Cloud-Hype zunächst die Sicherheitsaspekte ausführlich betrachten, bevor sie ihre IT, beziehungsweise die geschäftskritischen Dienste, auf die "Internet-Wolke" übertragen.

Doch wie sieht es wirklich aus mit der Sicherheit in den Unternehmen? Wie ernst werden die Sicherheitsprobleme in der Realität genommen und wo sind auch IT-Profis nachlässig? Wir haben ausführlich recherchiert und führende Sicherheitsunternehmen befragt, wo sie die größten Security-Sünden im Unternehmensfeld sehen, beziehungsweise welche Irrtümer im Bereich der IT-Sicherheit ihrer Meinung am weitesten verbreitet sind.

Absolute Sicherheit wird es nicht geben

Die Repräsentanten aller befragten Unternehmen, zu denen die Sicherheitsfirmen Eset, Kaspersky, DeviceLock, Symantec und Sophos gehören, waren sich in einem Punkt einig: Die absolute Sicherheit wird es (auch) im IT-Bereich nie geben! Jedes Betriebssystem, jede Anwendung und jede IT-Infrastruktur ist ab einer gewissen Schicht unsicher - somit wird ein Angreifer, der das entsprechende Wissen und die nötigen Ressourcen besitzt, es irgendwie höchstwahrscheinlich schaffen können, solche Unsicherheiten für seine Zwecke auszunutzen. Es wird also nie eine absolute, sondern eher eine relative Sicherheit in Firmennetzwerken geben.

Vor diesem Hintergrund haben wir die typischen Security-Sünden zusammengestellt, die die befragten Sicherheitsexperten in vielen Unternehmen immer wieder vorfinden.

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Sünde 1: Private Endgeräte und die isolierten Daten

Mathias Knops, Business Development Manager bei der Firma DeviceLock, sieht eine große Nachlässigkeit bei der Sicherheit, wenn es um die Nutzung privater Endgeräte im Unternehmensnetzwerk geht:

• "Der Trend "Bring Your Own Device (BYOD)" führt dazu, dass sensitive Daten unweigerlich aus einer gemanagten und damit sicheren in eine nicht verwaltete, unsichere Umgebung wandern."

Diese Gefahr sieht auch Christian Wirsig, Communications Manager bei Kaspersky Lab DACH, und benennt damit einen großen Irrtum, dem viele IT-Verantwortliche und Administratoren nach wie vor aufsitzen:

• "Alle unsere Daten lassen sich im Rechenzentrum isolieren…"

…und sind somit sicher. Aber die meisten Führungskräfte greifen heute über ihre Smartphones auf ihre E-Mails zu. Zudem haben sie dann noch eine zweite Kopie der E-Mails die auf ihren Laptops liegen und eine dritte auf den Mail-Servern des Unternehmens. Insgesamt befinden sich also doppelt so viele Daten außerhalb des Rechenzentrums wie innerhalb.

Hinzu kommen unzählige USB-Memory-Sticks, CDs, Sicherungsbänder, Cloud-Lösungen sowie der Datenaustausch mit Geschäftspartnern. Der Umfang, in dem Daten im Umlauf sind, ist erheblich größer als erwartet. Die dabei nicht erfolgende Kontrolle der Wechselmedien/USB-Sticks sieht Thomas Uhlemann, Chief Education Manager, DATSEC Data Security (Exklusiv-Distributer von Eset) als einen wichtigen Aspekt dieser Nachlässigkeit im Security-Umfeld an. Eine Problematik, die durch das Auftauchen des Stuxnet-Wurms ganz besonders ins Licht der Öffentlichkeit rückte.

Was können Administratoren und IT-Verantwortliche dagegen tun? Sascha Pfeifer, Principal Security Consultant bei Sophos, gibt dazu einen Rat, der die volle Zustimmung der anderen Experten unseres Reports findet:

• "Die Administratoren müssen sich an "BYOD" gewöhnen, soll ihr Unternehmen für junge Arbeitnehmer attraktiv bleiben. Sie sollten jedoch auf jeden Fall darauf bestehen, die mobile Gerätevielfalt dann auch mit einem entsprechenden Gerätemanagement zu verwalten."

Sünde 2: Meine Anwender kennen das Risiko

Olaf Mischkovsky, TSO Technical Specialist EMEA Central bei Symantec, legt den Finger in eine Wunde, die in vielen Firmen existiert, aber leider allzu häufig ignoriert wird:

• "Firmen, welche die Schulung ihrer Mitarbeiter vernachlässigen, agieren fahrlässig. Diese Angestellten werden zum Beispiel leichter auf Social Engineering-Attacken hereinfallen und falsch mit wichtigen Daten umgehen."

Christian Wirsig stimmt dieser Ansicht zu und verstärkt mit seinen Aussagen noch einmal das darin enthaltene Bedrohungspotenzial:

• "Risikobewusstsein und die Schulung von Anwendern sind auf jeder Stufe und in jeder Phase der Informationssicherheitsstrategie von zentraler Bedeutung."

• "Alle Mitarbeiter sollten beispielsweise wissen, wie sie sich vor schädlichem Code zu schützen, sicher im Internet surfen, Spy- und Scareware meiden und realisieren, dass sie im Umgang mit Anhängen entsprechende Verhaltensregeln einzuhalten haben."

• "Passwort-Richtlinien sind das höchste Gebot!"

Sünde 3: Der Umgang mit "Social Media"

Sascha Pfeifer von Sophos und Christian Wirsig sind sich mit dem Eset-Sicherheitsexperten Jab Vrabec einig, wenn es um den Einsatz der sogenannten neuen Social Networks im Unternehmensumfeld geht:

• "Web 2.0-Anwendungen wie Facebook, Twitter, Xing und Apps gehören zum Standardrepertoire in deutschen Büros."

• "Allerdings existieren nur sehr selten Regelungen für die Nutzung dieser Art von Medien und Netzwerken."

• "Auch wenn es im Hinblick auf die Sicherheit für die IT-Verantwortlichen zunächst attraktiv erscheint, den Zugang zu diesen Netzwerken und Anwendungen einfach komplett zu unterbinden, kann dies keine Lösung sein."

IT-Abteilungen verschrecken auf diese Art "Digital Natives" sowie junge Mitarbeiter und verspielen viel Legitimität, die sie anderweitig benötigen. Da bringt es deutlich mehr Gewinn bei der Sicherheit, wenn IT-Fachleute die Mitarbeiter über die Gefahren aufklären. So konnten alle Experten gerade bei zahlreichen Gesprächen in kleineren und mittelständischen folgende Problematik feststellen: Viele Unternehmen beschäftigt die Frage, wie sie ihren Mitarbeitern die verantwortungsbewusste Nutzung von Web-2.0-Tools gestatten können, ohne zu große Sicherheitsrisiken einzugehen oder die Einhaltung von Richtlinien zu gefährden.

Welche Lösungen kann es bei dieser Problematik für die Unternehmen geben? Im Mittelpunkt sollte hier immer die Frage stehen, wie Unternehmen soziale Medien auf sichere Weise nutzen können. Ein grundsätzliches Verbot wird sich, von wenigen Ausnahmen einmal abgesehen, als nicht praktikabel erweisen. Formelle Richtlinien zur Regelung des Zugriffs und der Verwaltung sozialer Medien sind dabei entscheidend.

Ein wichtiger Punkt, den IT-Verantwortliche hier nicht übersehen sollten: Soziale Netzwerke sind auch mögliche Plattformen für Informationslecks durch Mitarbeiter, die freiwillig Informationen an Dritte weitergeben: Stichwort Social Engineering. Dabei weiß Olaf Mischkovsky von Symantec zu berichten, dass die Angriffe gegen interne Anwender, also Nutzer innerhalb der Firmen, immer zielgerichteter werden. Zudem werden diese Attacken mit persönlichen Inhalten aus Social Media-Plattformen angereichert. Hier sollten IT-Verantwortliche und die Administratoren vor allen Dingen auf einen Weg setzen:

• "Mit Schulungen und einer gewachsenen Security-Awareness lassen sich viele Gefahren dieser Art auf organisatorischem Weg durchaus wirkungsvoll eindämmen."

Was sollten IT-Administratoren gerade in Hinblick auf die sozialen Netzwerke und Web-2.0-Anwendungen noch beachten?

Mathias Knops spricht im Zusammenhang mit dieser Sicherheitssünde eine Lücke an, die leider allzu häufig nicht ernst genommen wird:

• "So werden gängige Netzwerkprotokolle wie HTTP/FTP-Uploads, Webmail-Services und soziale Netzwerke wie Twitter und Facebook oftmals überhaupt nicht überwacht."

• "Anwender können mit Absicht oder aus reiner Unwissenheit so nahezu jede Datei mit beliebiger Größe über einen derartigen Kanal - teils unbemerkt - an eine beliebige Stelle im Internet kopieren oder versenden."

Hier können moderne Firewall-Lösungen, die den Datenverkehr auch auf der Anwendungsschicht (Layer 7 des Netzwerkprotokolls) überprüfen, ebenso wie sogenannte Web-Gateways eine Lösung darstellen. Spezielle Lösungen zur Überwachung aller Vorgänge (Bild 11) bieten zudem die Möglichkeit, gezielt Web-2.0-Anwendungen zu regulieren und zu überwachen.

Sünde 4: Mit der Cloud wird alles besser…

Das sogenannte Cloud Computing, also die Auslagerung der Firmen-Daten beziehungsweise der gesamten Firmen-IT in die "Wolke" des Internet, ist in all ihren verschiedenen Spielarten in aller Munde und bietet ohne Zweifel nennenswerte Einsparpotenziale. Viele Protagonisten heben dabei auch immer wieder hervor, dass die Sicherheit durch diese Technik gesteigert werden könne:

• "Wandert die IT in das Rechenzentrum eines großen Cloud-Providers, so kümmern sich absolute Security-Spezialisten um diesen Bereich - was gerade in vielen mittelständischen Betrieben so einfach nicht der Fall sein kann."

Aber wie Eset-Experte Jab Vrabec zu Recht bemerkt, bringt die Auslagerung von Applikationen und Daten in die Cloud auch eine Menge an sicherheitsrelevantem Zündstoff mit sich. Eine Sicherheit bei Cloud-Anwendungen kann nur gewährleistet sein, wenn:

• "Eine permanente Kontrolle der Zugangsberechtigungen und der ausgetauschten Daten stattfindet."

• "Der Besitzer der Daten sicherstellen kann, dass die Nutzung seiner Daten nur ausschließlich durch den befugten Teilnehmerkreis geschieht. So sollten zum Beispiel die Administratoren des Providers nie auf die Firmendaten zugreifen können."

Auch Sascha Pfeiffer von Sophos sieht diese Gefahren und stellt fest, dass die Unternehmensdaten schon allein durch Cloud-Storage gefährdet sein könnten.

Was sollen IT-Verantwortliche tun?

Weil sich IT-Administratoren der Einsparpotenziale des Cloud Computing ebenso wenig wie der Vorteile der sozialen Netzwerke und des Mobil-Computings verschließen können, sollten sie unbedingt folgende Regeln beachten:

• "Administratoren müssen den unbefugten Zugriff auf ihre Daten und Anwendungen in der Cloud wirkungsvoll verhindern - dies muss mit sehr hoher Priorität betrachtet werden."

• "Sie sollten deshalb beispielsweise die Daten, die sich in ihrem Cloud-Storage befinden, immer selbst (also innerhalb der eigenen Firma und nicht beim Provider!) verschlüsseln, damit diese tatsächlich nur im Unternehmen bleiben und externe Zugriffe unmöglich werden."

Sünde 5: Sicherheit wird nicht als ganzheitliches Konzept begriffen und gelebt

Olaf Mischkovsky von Symantec hebt in einem Fazit hervor, dass zu einer sicheren IT sicher mehr gehört, als nur der Einsatz von Firewalls und Antiviren-Software. Zudem macht er zusammen mit seinen Kollegen von den anderen Sicherheitsfirmen deutlich, dass Sicherheit nur dann funktionieren kann, wenn IT-Verantwortliche, Administratoren und auch die Geschäftsleitung die Sicherheit als ganzheitliches Konzept betrachten. Dieses Konzept muss alle Bereiche der Firma betreffen und gängige Fehler, zu denen die folgenden Punkte gehören, unbedingt vermeiden:

• "Die Verantwortlichen schützen lediglich einzelne Betriebssysteme, Geräte oder Plattformen für sich allein."

• "IT-Verantwortliche und Administratoren konzentrieren sich häufig nicht auf die Informationen und Ressourcen an sich und sichern diese ab."

• "Sie handeln nicht unabhängig davon, ob die Dokumente sich im lokalen Netz, auf einem mobilen Gerät, auf virtuellen Servern oder gar in der Cloud befinden."

Zudem existieren noch viele Bereiche in der "täglichen IT", die in dieses Konzept integriert werden müssen und die leider nur allzu oft komplett übersehen werden, wie Mathias Knops von DeviceLock zu berichten weiß:

• "Manche Unternehmen versäumen es beispielsweise, auch ihre Drucker zu überwachen. Dies ist gerade in unseren "vernetzten Zeiten" nur als sträflicher Leichtsinn zu bezeichnen."

• "So wird es dann für Anwender trotz Firewalls und Proxy-Lösungen möglich, vertrauliche Dokumente auszudrucken und aus dem Unternehmen zu schaffen."

Was kann hier helfen? Auch hier sind es wieder entsprechende Lösungen aus dem Bereich DLP (Data Leak oder Loss Prevention), die eine gewisse Sicherheit bieten können. Werden sie dann noch mit kontext-basierter Port- und Schnittstellenkontrolle und integrierter Inhaltsfilterung kombiniert, sind die IT-Verantwortlichen dazu in der Lage, einen weiteren Datenkanal wirkungsvoll zu schließen, über den sensible Daten mit Vorsatz oder aus Versehen aus dem Unternehmen abfließen könnten.

Security-Tipps aus der Praxis

Was können und sollten IT-Verantwortlich tun, um die Sicherheit in ihrem Bereich zu erhöhen?

• Sie können es zum einen durch entsprechende Schutzmaßnahmen für einen Angreifer so aufwändig machen, in das Firmennetz und an die Daten zu gelangen, dass dieser den Angriff als nicht lohnenswert betrachtet,

• und sie können ihre Mitarbeiter so schulen, dass keine Daten mehr "aus Versehen", durch Unachtsamkeit oder Unwissenheit verloren gehen.

Der kanadische Professor und Security-Spezialist John Aycock stellte bereits im Jahr 2009 sechs Faktoren zusammen, die diese relative Sicherheit für IT-Systeme entscheidend beeinflussen:

• Welche Wichtigkeit besitzen die Informationen beziehungsweise Ressourcen, die geschützt werden müssen?

• Welchen potenziellen Einfluss wird es auf die Firma haben, wenn die Sicherheit versagt?

• Welchen möglichen Angreifern sieht sich die Firma gegenüber?

• Welche Fähigkeit und Möglichkeiten hat ein solcher Angreifer? (Banken, Forschungs- und militärische Einrichtungen werden sich mit anderen Angriffsszenarien als eine "normale" mittelständische Firma konfrontiert sehen).

• Welche Einschränkungen betreffen die Daten/Ressourcen bereits durch deren rechtmäßige Nutzung?

• Welche Ressourcen stehen zur Verfügung, um eine adäquate Sicherheit zu implementieren? (wh)