Foto: Syda Productions - shutterstock.com
IT-Security bleibt auch 2019 ganz oben auf der Agenda. Wie IT-Chefs ihr Unternehmen jetzt vor Credential Stuffing oder DDoS, Targeted Attacks oder Drive-by-Exploits und weiteren Angriffen schützen können, zeigt ein Webcast der Computerwoche.
Fachjournalist Arne Arnold von der Computerwoche moderiert den Live-Webcast. Elmar Witte, Product Marketing Manager Security bei Akamai Technologies, und Sven Gerlach, Head of Competence Center "Infrastructure & Data Center" bei NTT Security DACH, stellen die Hacker-Tricks und Angriffe vor, mit denen IT-Entscheider rechnen müssen. Als schwerwiegendsten Angriff, der gehandelt werden musste, nennt Witte den DDos-Angriff auf die Plattform GitHub im Februar 2018, der in der Branche für Aufsehen sorgte. "Aber es gibt auch viele "leise" Attacken, die scheinbar unter dem Radar bleiben", sagt er.
Neue Spamwelle seit Anfang Mai
So rollt seit Anfang dieses Monats eine neue Spamwelle durch die Unternehmen, die sich durch ein ganz neues Level auszeichnet. Gerlach erklärt: "Die Nachrichten sind jetzt nicht mehr in seltsamen Deutsch verfasst, sondern sehr viel zielgerichteter." Der Schädling in diesen Mails guckt sich gezielt das Adressbuch des Empfängers an und nutzt dann bereits bestehende Konversationen. Der Trojaner beantwortet vorherige Mails. "Das heißt: Der Empfänger bekommt scheinbar Mails von jemandem, den er man kennt, und die Hemmung, diese Anhänge zu öffnen, ist natürlich sehr viel geringer", führt Gerlach aus. Die Mitarbeiter in den Unternehmen müssen also noch genauer hingucken und sich fragen: Ist es denkbar, dass mir die Person solche Anhänge schickt? "Das muss man sich selbst bei Kollegen fragen", betont Gerlach.
Er hat in seinem Berater-Alltag mit verschiedensten Kunden zu tun. Da geht es beispielsweise um Sicherheitsprobleme mit SAP-Systemen oder der Infrastruktur. Üblicherweise wird er gerufen, weil vorher ein Angriff stattgefunden hat. "Man hatte kein Backup, oder hat möglicherweise gezahlt und den Schlüssel dann doch nicht bekommen", seufzt der Experte.
Aber wie stellt sich eigentlich die Situation der Webcast-Zuschauer dar - das erhebt Moderator Arnold mit einer Umfrage: "Wie lange blieb ein Internet-Angriff bei Ihnen unentdeckt?" Jeder Dritte beziffert diese Frist auf einen Tag - während eine relative Mehrheit von 37 Prozent erklärt, noch nicht angegriffen worden zu sein. Das allerdings deckt sich nicht mit Gerlachs Erfahrung: "Es ist ganz selten, dass noch nichts passiert ist." Witte vermutet hier diese "leisen" Angriffe: "Wenn ich Daten stehlen will, bleibe ich so unentdeckt wie möglich."
43 Prozent aller Angriffe betreffen Web-Anwendungen
Der klassische Dreiklang an Sicherheit heißt für Gerlach: Prevent, Detect, Respond. "Aber jeder Schutz hat Grenzen", warnt er. Dann muss der Entscheider Maßnahmen haben, um zu erkennen, dass ein Angreifer erfolgreich war und wissen, was in einem solchen Fall passieren soll.
Die Experten haben ein paar Zahlen mitgebracht: Laut dem NTT Security Global Threat Intelligence Report betreffen 43 Prozent aller Angriffe Web-Anwendungen. Ein Blick auf die Branchen zeigt: 30 Prozent aller Angriffe betreffen die Finanzbranche (Gerlach: "Das ist nicht wirklich überraschend, da geht es um's Geld"), 24 Prozent betreffen Unternehmensdienste & Professional Services und 17 Prozent die Technologiebranche.
Aufgesplittet nach Angriffstypen heißt das: Im Finanzwesen stellen Webangriffe 43 Prozent, Servicespezifische Angriffe 28 Prozent und Reconnaissance 15 Prozent. Reconnaissance bedeutet, dass der Angreifer Informationen über mein Opfer sammelt und dessen Aktivitäten in sozialen Netzwerken nachspürt. Gerlach kommentiert: "Webserver sind häufig schlecht gesichert und schlecht gewartet." Moderator Arnold fügt an: "Sicherheitstechnisch ist jeder Patch willkommen - produktionstechnisch ist jeder Patch die Pest!"
Email noch immer Angriffsvektor Nummer Eins
Beide Experten betonen, dass die Email immer noch Angriffsvektor Nummer Eins darstellt. Gerlach: "Habe ich die Email-Adresse von jemandem, habe ich schon einmal eine gute Möglichkeit, ihn anzugreifen." Da tun viele Kunden nicht genug, beobachten sie.
Arnold kommt auf ein weiteres Thema zu sprechen: "Wie steht es um IoT-Geräte?" Gerlach bestätist: Das Internet of Things ist ein ganz großes Thema geworden, dafür haben wir ein eigenes Competence-Center gegründet."
Stichwort Zero Trust: Wie Gerlach beobachtet, haben die meisten Kunden flache Netze. "Wenn man sich ein Netzwerk wie eine Wohnung vorstellt, dann sind die meisten Türen in dieser Wohnung meistens offen", erklärt er. Also muss man innerhalb des Netzes Grenzne ziehen: Client-Netzwerk, Server-Netzwerk und Weiteres voneinander trennen. Gerlach rät, diese Segmentierung so weit wie möglich zu treiben.
Witte allerdings spricht lieber von "Full Control" statt "Zero Trust". "Denn wir arbeiten ja nicht nach dem Ansatz "Traue keinem!", schmunzelt er. Denn: In der digitalen Transformation wollen und müssen Unternehmen ganz neue Chancen nutzen. "In der Alten Welt galt: innen ist sicher, draußen ist gefährlich", führt er aus. Im digitalen Ökosystem mit Lieferanten und Partnern aber gilt das nicht mehr. Es gibt schlicht kein "innen" und "außen" mehr. "Wir brauchen zum Beispiel eine starke Authentifizierung, ein autorisierter Nutzer muss sich authentifizieren, um auf ein bestimmtes Set von Anwendungen zugreifen zu können", schlussfolgert er. Eine Verifizierung mit Protokollierung und Verhaltens-Analysen ergänzen das.
Wo will der Kunde hin? Wo tut es ihm wirklich weh?
"Wie gehe ich als Entscheider jetzt vor angesichts all dieser Gefahren?", fragt Moderator Arnold. Gerlach antwortet: "Erstmal muss man priorisieren: Wo will der Kunde hin? Wo tut es ihm wirklich weh?" Er will den gesamten Sicherheits-Zyklus des Kunden betrachten und beraten.
"Und was sind die künftigen Herausforderungen?", will Arnold wissen. Die fasst Witte mit zwei Schlagworten zusammen: DDoS-Angriffe (diese nehmen seit Mitte 2015 weltweit zu) und Credential Stuffing. Gerlach fügt an: "Das Thema Cloud kommt massiv." Unternehmen brauchen eine Sicherheitsstrategie, um in die Cloud zu gehen. Ein weiterer Punkt ist die Automatisierung von Sicherheit. "Denn das Ganze wird so komplex, dass es ohne Automatisierung nicht mehr gehen wird", erklärt Gerlach.
Ein Zuschauer schaltet sich ein, er sieht den Punkt Außendienst zu wenig berücksichtigt. Gerlach bestätigt: "Der Außendienstmitarbeiter hat sein Gerät in Umgebungen, die man nicht kontrollieren kann, also gilt sein Gerät erstmal als nicht vertrauenswürdig. Hier ist Zwei-Faktor-Authentifizierung zwingend geboten, und das ist in den hochregulierten Branchen mittlerweile auch Usus."