Endpoint Security

IoT-Hacker stoppen

31.07.2017 von Hans-Peter Bauer
Jedes weitere Endgerät im Internet of Things (IoT) birgt ein Risiko. Hacker haben so leichtes Spiel, das Gesamtsystem zu manipulieren - mit fatalen finanziellen Folgen.

Im Rausch der Möglichkeiten, die das Internet der Dinge allen Beteiligten bietet, wird es in wenigen Jahren kaum mehr einen Bereich des alltäglichen Lebens geben, der nicht vernetzt ist. Autos, Häuser, Smartphones und Fabriken werden mit dem Internet verbunden sein und massenhaft Daten austauschen. Und selbst High Heels wollen künftig im IoT eine Rolle spielen. Die nämlich sollen sich laut Hersteller per App in der Höhe verstellen lassen. Präsentiert wurde der intelligente Schuh Anfang des Jahres auf der Consumer Electronics Show (CES) in Las Vegas.

Unternehmen sind gut damit beraten, eine Schutz-Architektur aufsetzen die alle Technologien miteinander verknüpft.
Foto: Andrea Danti - shutterstock.com

Hacker verursachen 22,4 Milliarden Euro Schaden jährlich

Dass sich immer mehr Unternehmen ganz der digitalen Transformation widmen, hat einen guten Grund: Immerhin verändern neue Technologien ganze Wertschöpfungsketten. Und das nicht nur evolutionär, sondern oftmals disruptiv. Wer sich diesem Trend verschließt oder zu spät agiert, wird am enormen Wachstum nicht teilhaben. Bei einem erwarteten Wertschöpfungszuwachs von rund 1,25 Billionen Euro bis zum Jahr 2025 in Europa ist das ein wichtiges Argument für die Hyper-Digitalisierung. Diese Zahl haben Berater von Roland Berger Strategy Consultants im Rahmen einer Studie ermittelt, die im Auftrag des BDI erstellt wurde.

Aber die digitale Transformation birgt nicht nur Chancen, sondern auch Risiken. Einer letztjährigen Studie des Digitalverbands Bitkom zufolge sind in einem Zeitraum von 24 Monaten mehr als zwei von drei deutschen Industrieunternehmen (69 Prozent) Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden. Dabei entstand einer Schätzung zufolge ein Gesamtschaden von 22,4 Milliarden Euro pro Jahr.

Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.

So geht zeitgemäße Endpoint Protection

Doch wie lässt sich der wachsenden Gefahr Herr werden? Aktuell versinken viele IT Security Teams im Chaos unterschiedlichster Tools und Interfaces. Dem aktuellen Forrester-Report "Mastering the Endpoint" zufolge müssen IT-Abteilungen durchschnittlich zehn Security-Technologien im Blick behalten und zwischen fünf Interfaces hin- und herwechseln, um Angriffe zu untersuchen und zu verhindern. Das ist oft nicht zu stemmen, zumal es an Fachkräften für Cybersecurity mangelt. Für Unternehmen ist es deshalb an der Zeit, umzudenken und auf eine Strategie zu setzen, die weniger manuelle Eingriffe erfordert und durch Automatisierung sowie maschinelles Lernen eine schnellere Reaktion auf neue Gefahren ermöglicht. Hierfür sind sechs Schritte notwendig:

  1. Ein gemeinsames Framework schaffen: Das Cyber-Sicherheit auf verschiedenen Layern implementiert sein muss, ist eine Binsenweisheit. Um einem solchen System aber zu größtmöglicher Effektivität zu verhelfen, sollten die einzelnen Ebenen in ein gemeinsames Framework integriert werden. Das Framework muss dabei skalierbar und flexibel sein, um jederzeit weitere neue Layer hinzufügen zu können.

  2. Administratoren die richtigen Tools an die Hand geben: Bei Angriffen auf weitläufige Netzwerke laufen Administratoren Gefahr, nicht alle Endpoints vom Schadcode befreien zu können. Es fehlt ihnen schlicht die Übersicht, welche Geräte befallen sind – deshalb können sie auch nicht umfassend reagieren. Nur teure Spezialisten sind dann noch in der Lage, zu helfen. Doch wie lässt sich das Problem angehen? Einfach nur ein weiteres Diagnosewerkzeug hinzuzufügen, reicht nicht. Stattdessen bedarf es einer Lösung, die die Mitarbeiter des IT-Betriebs in die Lage versetzt, Angriffe vollständig aufzudecken und effektiv zu bekämpfen.

  3. Die Zahl der Fehlalarme reduzieren: Dem Forrester-Report zufolge sind eine hohe Erkennungsgenauigkeit und die Vermeidung von Fehlalarmen die wichtigsten Qualitätsmerkmale von guter Endpoint Security. Auch hier ist es sinnvoll, alle Sicherheitsebenen in ein einzelnes Framework zu integrieren, damit die Aktivitäten einzelner Technologien automatisiert aufeinander abgestimmt werden können. Wenn ein einzelnes Tool Alarm schlägt, können Erkenntnisse anderer Tools helfen, den Vorfall einer kritischen Prüfung zu unterziehen, ehe ein Administrator benachrichtigt wird.

  4. Informationen über Gefahren in Echtzeit sammeln und auswerten: Laut dem Forrester-Report greifen 48 Prozent der befragten Unternehmen im Kampf gegen Cyberattacken auf externes Wissen über Risiken zurück. Idealerweise sollten Unternehmen tagesaktuelle Informationen über neue Angriffsvektoren mit intern gewonnenen Erkenntnissen kombinieren und abgleichen – und zwar automatisiert und ohne die Hilfe eines Administrators. Das Wissen kann dann mit allen eingesetzten IT-Sicherheits-Technologien geteilt werden.

  5. Maschinelles Lernen und die Cloud strategisch nutzen: Wo immer manuelle Eingriffe notwendig sind, um die Sicherheit aufrechtzuerhalten, geraten Unternehmen gegenüber kriminellen Hackern schnell ins Hintertreffen. Alle Endpoints mit neuen Signaturen zu versorgen, ist beispielsweise viel zu aufwendig, wenn es von Hand geschieht. Zeitgemäße Strategien setzen auf Cloud-basiertes und lokales maschinelles Lernen. Durch den statistischen Abgleich verdächtiger Dateien mit tausenden Attributen bekannter Gefahren ist eine Diagnose möglich, die ohne traditionelle Signaturen auskommt. Indem sowohl statische Code-Features als auch das tatsächliche Verhalten einer ausführbaren Datei miteinander verglichen werden, lassen sich neue Gefahren oft binnen Sekunden erkennen.

  6. Technologien und manuelle Prozesse konsolidieren: Endpoint Security wird zunehmend komplexer. Als größte Herausforderungen identifizierte der Forrester-Report zeitaufwändige manuelle Updates von Endpoints. Durch die Integration verschiedener Tools, Systeme und Reports in eine einzelne Mangement-Konsole lässt sich die Zahl der manuellen Prozesse drastisch reduzieren. Administratoren müssen dann nicht mehr an zahlreichen Fronten kämpfen und mit mehreren Technologien gleichzeitig hantieren, sondern erhalten über ein zentrales Interface die volle Kontrolle.

Endpoint Security: Erkennen und Reagieren

Durch die Vernetzung der Systeme - gerade auch im Rahmen des Internet of Things - reicht es heute nicht mehr, isolierte Sicherheitssysteme gegen individuelle Angriffe zu schützen. Im Gegenteil: Anhand unzähliger Beispiele lässt sich belegen, dass isolierte Lösungen und die punktuelle Bekämpfung von Hackerangriffen angesichts aktueller Bedrohungen keine probaten Mittel mehr sind. Denn Gefahren, die sich binnen kürzester Zeit automatisiert im Netzwerk verbreiten, lassen sich selten nur mit manuellen Eingriffen eindämmen. Diese Methode ist schlicht zu langsam. Systeme müssen vielmehr miteinander interagieren, um sich ausbreitende Gefahren eindämmen und auf allen Endpoints beseitigen zu können. (fm)

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten