Ständige Suche nach Normalität

In der Diskussion darüber, wie IT-Sicherheit in Zukunft aussehen wird, ist eine Erkenntnis wichtig: 100-prozentige Sicherheit nicht gibt. Dieser Satz, der bei IT-Sicherheitsexperten erst seit einigen Jahren zu hören ist, bildet die Basis für eine Security-Strategie, die den Endpoint in den Fokus nimmt.

So führte der IDG-Roundtable zu dem Thema auch sehr schnell in diese Richtung. Nicht die Abwehr eines Angriffes sollte das Hauptziel der Security-Anstrengungen sein, sondern die richtige Reaktion darauf. Nur dann sei es möglich, eine Kultur im Unternehmen zu etablieren, bei der Vorfälle von Mitarbeitern aktiv gemeldet werden. Endpoint Security bedeutet also auch: gelebte Sicherheit statt Angst vor Sanktionen. Je stärker diese Kultur verinnerlicht wird, desto besser können die notwendigen Daten gesammelt werden. Deren Auswertung führt wiederum dazu, Gefahren früher erkennen und entsprechend reagieren zu können.

Der anfälligste Sicherheitsfaktor

Von diesen Gefahren gibt es in Unternehmensnetzwerken genug, wie die Round-Table-Teilnehmer immer wieder betonen. Schließlich könne alles, was in irgendeiner Weise mit dem Gesamtsystem kommuniziert, als Endpoint gesehen werden - und muss entsprechend geschützt werden, wie Maik Wetzel vom Softwarehersteller ESET anmerkt: "In Zeiten von IoT, in denen sogar eine Leuchtdiode einen Endpoint darstellen kann, müssen entsprechend ganzheitliche Systeme von Anfang an mitgedacht werden."

Vor allem ein Faktor ist dabei, so die einhellige Meinung in der Runde, der anfälligste beziehungsweise der am schwersten zu kalkulierende: der Mensch. Mitarbeiter umgehen oftmals unbewusst Sicherheitsregeln oder schaffen sogar unbekannte, neue Endpunkte durch private Geräte und tragen so zum Aufbau von Schatten-IT bei. Unwissenheit, Bequemlichkeit und wenig Bereitschaft, Gewohnheiten zu ändern, sind ebenfalls häufige Gründe für viele Sicherheitsvorfälle.

Informationen zu den Partnerpaketen für die Studie "Endpoint Security Management 2019"

Technik und Mensch müssen deshalb in einem tragfähigen Sicherheitskonzept gleichermaßen berücksichtigt werden - und das am besten von Anfang an. Security by Design, also die Berücksichtigung angemessener Sicherheitsmaßnahmen schon in der Phase des Aufbaus einer Architektur, spielt hier eine zentrale Rolle. Sicherheit kann heute nicht mehr als einfaches Add-On hinzugefügt werden, sondern muss das Gesamtsystem durchdringen und überall dort ansetzen, wo ein Datenaustausch stattfindet. Eine entsprechend systematische Vorgehensweise wird dadurch unerlässlich.

Doch in Zeiten wachsender Komplexität ist dieser Ansatz in Unternehmen laut Wetzel noch viel zu unterrepräsentiert: "Viele Unternehmen setzen Systeme ein, bei denen Funktionalität und nicht Sicherheit im Fokus steht und die daher per se nicht sicher sind. Das bedeutet: Zuerst wird investiert und modernisiert und erst danach an die Sicherheit gedacht."

Von der klassischen zur holistischen Sichtweise

Die aktuell flächendeckend stattfindende Zunahme von Endpoints in einem Netzwerk schafft dabei die Notwendigkeit von ebenso ganzheitlichen Sicherheitskonzepten. Zudem gilt es, bei der Auswahl der Methoden umzudenken. An die Stelle der Abschottung eines ganzen Netzwerkes beispielsweise durch die klassische Firewall rücken immer häufiger forensische Ansätze, die sich ganz auf das Verhalten jedes einzelnen Endpunkts und dessen Interaktion mit anderen Endpunkten konzentrieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert die IT-Forensik in seinem Leitfaden (PDF) als "streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen, unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung". Alle Endpunkte in einem Netzwerk werden dabei kontinuierlich überwacht, analysiert und ausgewertet.

"Das Security-Verständnis wandelt sich gerade deutlich - weg von der klassischen und hin zu einer holistischen Sichtweise. Wo es früher reichte, einfach Mauern um ein Gesamtsystem herum zu ziehen, ist es heute eher die Kunst, Anomalien aus unzähligen Daten zu erkennen und das Schließen einer Sicherheitslücke mit den Geschäftsprozessen eines Unternehmens in Einklang zu bringen", bemerkt Thomas Schmidt von Capgemini.

Diese holistische Herangehensweise, die das Gesamtsystem erfasst und auf Basis von Wahrscheinlichkeiten agiert, ist dabei die einzige Möglichkeit, auch in Zeiten eines exponentiell zunehmenden Datenaufkommens den Überblick zu behalten. Eine wichtige Rolle spielt hier das Verhalten aller Endpunkte im Normalzustand - und diesen festzustellen ist keineswegs trivial. Die Definition dessen, was "normal" ist, gestaltet sich für jeden Anwendungsfall verschieden und hängt immer von anderen Indikatoren ab. Ein bekanntes Beispiel ist das "Flight Risk", also die Wahrscheinlichkeit, dass ein Mitarbeiter oder eine Führungskraft die Absicht hat, in naher Zukunft das Unternehmen zu verlassen. Wenn diese Person nun plötzlich signifikant mehr Unternehmensdaten aus dem Firmennetzwerk herunterlädt als in der Vergangenheit, kann dies zusammen mit weiteren vorher vom System definierten Merkmalen ein Hinweis darauf sein, dass ein Flight Risk besteht. Entsprechende Gegenmaßnahmen können mit dieser Erkenntnis schon in dem Moment getroffen werden, in dem die Verhaltensanomalie bemerkt wird.

"Wer den Normalzustand nicht kennt, merkt auch nicht, wenn Anomalien auftreten. Diese mittels Behavior Analytics zu erkennen ist aber der Kern jeder wirkungsvollen Endpoint Security. Das Verhalten des Endpoints zu verstehen spielt die entscheidende Rolle. Auch wenn Schadcode unbekannt ist, erzeugt er dort Anomalien, wo er ausgeführt wird", betont Frank Limberger vom Security-Unternehmen Forcepoint.

KI oder Mensch: Wer trifft die finale Entscheidung?

Eine entscheidende Rolle dabei, Sicherheitsvorfälle zu erkennen und zu verhindern, werden Technologien aus den Bereichen künstliche Intelligenz, Machine Learning und Behavioral Analytics spielen. Die Verarbeitung der Daten erfolgt dann nicht mehr durch rein statistische Methoden, sondern durch lernfähige Algorithmen, also mathematische Modelle.

Eine zentrale Frage, die dabei allerdings geklärt werden muss, ist die der Verantwortung. Lässt sich die Reaktion auf bestimmte Vorfälle gänzlich automatisieren, oder muss immer noch ein Mensch die finale Entscheidung treffen? Über die Antwort darauf ist die Diskussionsrunde beim Round Table "Endpoint Security Management" gespalten. Für Matthias Canisius von SentinelOne liegt in autonomen Systemen am Ende die einzige Möglichkeit, den immer weiter zunehmenden Datenbestand zu bewältigen: "Als Endpoint gilt alles, was in irgendeiner Form kommuniziert, also Informationen sendet oder/und empfängt - vom kleinsten Endgerät bis hin zu jedem Menschen in einem Netzwerk. Das schafft eine gigantische Menge an potenziellen Einfallstoren, die wir nur mithilfe autonom agierender Systeme kontrollieren können."

Informationen zu den Partnerpaketen für die Studie "Endpoint Security Management 2019"

Für Frank Limberger von Forcepoint ist hingegen klar: "Der Einsatz Künstlicher Intelligenz bietet bei der Suche nach Verhaltensabweichungen die große Chance, aus Millionen einzelner Ereignisse die Anomalien mit dem höchsten Gefahrenpotenzial zu ermitteln. Die finale Entscheidung, wie mit einer Bedrohung umgegangen wird, liegt dennoch immer beim Menschen."

Auch wenn die Frage "Technik oder Mensch" am Ende nicht final geklärt werden konnte, bleibt nach dem Round-Table "Endpoint Security Management" der Eindruck einer Branche, die in Bewegung ist und aktuell einen elementaren Bewusstseinswandel in der Betrachtung von IT-Sicherheit erlebt. Eine ganzheitlichere, datengetriebene Herangehensweise, die tiefe Integration von IT-Sicherheit in die Architektur eines Unternehmens und eine wachsende Bedeutung von forensischen Methoden bis hin zum flächendeckenden Einsatz künstlicher Intelligenz bilden den Anfang einer Entwicklung, deren Ende man heute nur erahnen kann. Fest steht dabei nur: Letztlich wird es auf den Endpoint ankommen.

Studie "Endpoint Security Management": Partner gesucht

Zum Thema Endpoint Security Management führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, welche Herausforderungen zunehmende Mobilität, Cloud-First-Strategien und andere Trends für den Endpoint-Schutz mit sich bringen. Zu den Fragen zählen: Wie sollten funktionierende Security-Policies aussehen und welche Management-Tools gilt es zu implementieren? Inwieweit lässt sich Endpoint Security auslagern?

Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann helfen Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 745) oder Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Endpoint-Security-Management-Studie finden Sie auch hier zum Download (PDF).