Die Analysten von Gartner raten Unternehmen, sich bei der Bekämpfung von zielgerichteten Attacken der neuen Generation aufs strategisch Sinnvolle und Wesentliche zu konzentrieren. In einer Studie weist Gartner-Analyst John Pescatore darauf hin, dass das bloße Anhäufen von immer mehr Sicherheitsschichten nicht zwingend die zunehmende Gefahr bannt. Sicherheitskontrollen müssten sich systematisch entwickeln, so Gartner.
Scharf kritisiert der Analyst, dass die Diskussion über sogenannte „Advanced Persistent Threats“ (APT) die Anwender von den wirklichen Problemen ablenke. Der Begriff sei überhypt und überstrapaziert worden. Habe er sich ursprünglich nur im Militär auf Gefahren durch spezifische Bedrohungen aus bestimmten Ländern bezogen, sei er immer mehr ausgedehnt worden auf Bedrohungen aus anderen aggressiven Staaten. Security-Anbieter und Medien hätten die Debatte über APT dankbar aufgegriffen. Dabei sei es für Anwender lohnender, sich auf die Lücken zu besinnen, die Hacker ins Visier nehmen könnten.
„Zielgerichtete Angriffe durchbrechen Sicherheitskontrollen auf Standardniveau und verursachen spürbaren Schaden in Firmen, die ihre Kontrollen nicht weiterentwickeln“, sagt Pescatore. Im Durchschnitt seien 4 bis 8 Prozent der Programme schädlich, die durch Antivirus-Checks und andere übliche Verteidigungswälle schlüpfen.
Es gibt gute Technologien
Firmen sollten sich laut Gartner darauf konzentrieren, die potenziellen Löcher zu stopfen und zur Beschleunigung ihrer Reaktionsfähigkeit ihre Monitoring-Kapazitäten ausbauen. „Es gibt Technologien, die die Anfälligkeit gegenüber gezielten Angriffen drastisch reduzieren können“, so Pescatore weiter.
Die neuen Bedrohungen seien maßgeschneidert für bestimmte kriminelle Zwecke und unterschieden sich fundamental von den laut tösenden Massenangriffen, auf die Sicherheitssysteme in der Regel gut eingestellt seien. Drei Zielscheiben werden von Hackern laut Gartner bevorzugt:
-
Erstens Denial of Service – die Störung von Business-Abläufen
-
Zweitens Theft of Service – das Nutzen von Produkten oder Dienstleistungen ohne Bezahlung
-
Drittens Information Compromise – das Stehlen, Zerstören oder Verändern von geschäftskritischen Daten.
Als Antwort darauf nennt Pescatore ebenfalls drei Empfehlungen.
3 Empfehlungen von Gartner
1. Sich der Sicherheitslücken annehmen: Dichtmachen von Löchern ist logischerweise die beste Methode, denn zumeist nutzen Hacker bekannte Lücken aus. Besonders gefährdete Unternehmen, die beispielsweise mit kritischen Infrastrukturen sowie High-Tech- und Finanz-Operationen zu tun haben, benötigen laut Gartner eine ständige Beobachtung aller Vorgänge, hinter denen Angriffe stecken könnten. Spezialisierte Bedrohungsfilter, Netzwerk-Forensik und Technologien mit Situationsbewusstsein sind laut Pescatore ein erster Schritt zu mehr Sicherheit. In jedem Fall seien Technologien auf höchstem Niveau nötig, um effektiv zu sein.
2. Verteidigung entwickeln: Sofern ein Unternehmen es sich leisten könne, sei Sicherheitslösungen mit Tiefenschärfe immer der Vorzug zu geben, so Pescatore. „Leisten können“ bedeute dabei mehr als das Geld zum Kauf der Lösungen. Es brauche Personal und Support, damit ambitionierte Lösungen ihre Wirkung im Zusammenspiel entfalten können. Nur oberflächlich weitere Schutzschichten anzulegen, bringe hingegen nicht unbedingt mehr Sicherheit.
3. Fokus auf Sicherheit, nicht auf Compliance: Gartner betont den Unterschied zwischen Compliance und Sicherheit. Security bedeute mehr als lediglich die Erfüllung der gesetzlich vorgeschriebenen Auflagen. Es sei nicht damit getan, ein Standard-Level an Netzwerksicherheit und Vulnerability Assessment-Kontrollen zu erfüllen. Stattdessen müsse mit Hilfe von Tools und Prozessen ständig aktiv nach Bedrohungen im Netzwerk gesucht werden.
Die Studie „Strategies for Dealing With Advanced Targeted Threats“ ist bei Gartner erhältlich.
- Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock). - Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede) - Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog). - Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec). - Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede). - Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede) - Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede). - Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011). - Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011) - Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011) - Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock). - Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (Teaserbild: fotolia.com/Gina Sanders; ph)