Wie ist es möglich, Aussagen zum eigenen Security Level, also zum Status der eigenen IT-Sicherheit, zu treffen? Die Maßnahmen, die ein Unternehmen zum Schutz der eigenen Daten treffen kann, sind vielfältig. Dieser Beitrag soll vor allem einen Aspekt der IT-Sicherheit und die damit verbundene Erfolgsmessung betrachten: Die technische Absicherung von Netzwerken gegen Schadprogramme.
Messen ist wichtig
Viren, Würmer und Trojaner sind noch immer die breitenwirksamsten Waffen der Malware-Industrie. Um sich gegen eine Infektion zu schützen, installieren Sicherheitsverantwortliche Virenschutz- und Patch-Systeme. Updates mit Virenpattern und Patches sind die letzte und gleichzeitig eine der wirksamsten Hürden im Abwehrwall. Ist jedes System im gesamten Netzwerk mit aktuellen Virenpattern und den neuesten Patches versorgt, haben bekannte Schadprogramme wenig Chancen. Neue Schadprogramme werden heute relativ schnell entdeckt und entsprechende Updates werden zeitnah bereitgestellt. Allerdings führen Rollouts nicht immer dazu, dass alle Rechner in einem Unternehmensnetz alle Updates erhalten. Verzögerungen und Fehler im Rollout-Prozess aber Gang und Gäbe. Deshalb ist es nötig, den Sicherheitsstatus zu messen.
Je komplexer ein Netzwerk ist, desto höher die Wahrscheinlichkeit, dass Updates im Verteilprozess manche Systeme nicht oder viel zu spät erreichen. Dies mag an der Performance des Netzwerks liegen, an Rechnern oder Laptops, die zum Zeitpunkt des Rollouts nicht online sind, an technischen Störungen oder anderen Fehlern. Update-Störungen sind ein bekanntes Problem. Die Ergebnisse einer Umfrage , die der Sicherheitsanbieter Ampeg 2008 in Großunternehmen durchführen ließ, bestätigen das: Von den befragten Sicherheitsverantwortlichen wüßten über die Hälfte, dass es in ihrem Unternehmen vorkomme, dass manche Rechner gar nicht mit Pattern oder Patches versorgt würden. Im Falle von Fehlern, komme es zudem vor, dass die Rollout-Systeme dies nicht zurückmelden würden. Das bedeutet, Sicherheitsverantwortlichen können nicht sagen, ob und wo in ihrem Netzwerk Schwachpunkte entstehen.
IT-Sicherheit messen
-
Warum muss IT-Sicherheit gemessen werden? Sicherheits-Updates sichern Systeme gegen Malware ab, doch in komplexen Netzwerken passieren Fehler: Nicht alle Rechner erhalten jedes Update. Um in der Lage zu sein, die Lücken zu erkennen und proaktiv zu handeln, müssen Sicherheitsverantwortliche das Security Level aller Systeme am besten permanent messen.
-
Was kann konkret gemessen werden? Manche Unternehmen machen es sich einfach und messen Werte, die sich leicht erfassen lassen, zum Beispiel das Virenaufkommen. Den Sicherheitsstatus kann man daran nicht festmachen. Sinnvolle Key Performance Indikatoren sind zum Beispiel der "Erfüllungsgrad pro Rollout".
-
Wie misst man richtig? Messen findet aus strategischen Gründen statt. Die IT-Sicherheit soll verbessert werden. Dazu müssen Ziele definiert werden, denen die Leistung der Sicherheitssysteme genügen soll. Mittels "Security Level Management", einem Ansatz zur Qualitätssicherung für die IT-Sicherheit, können Unternehmen das Restrisiko für Malware-Infektionen messbar senken.
Diese Lücken können die Ursache für konkrete Malware-Infektionen sein, wie das Schadprogramm "Conficker" zeigt. Es sorgt seit Ende 2008 für Unruhe in den Sicherheitsabteilungen. Schon kurz nach dem Auftauchen des Programms im Oktober 2008, veröffentlichte Microsoft das sicherheitskritische Update "MS08-067", mit dem Unternehmen die betreffende Lücke schließen konnten. Ein viertel Jahr später konnte sich der Wurm trotzdem auf den Rechnern der Bundeswehr einnisten. Nach Angaben der Conficker Working Group waren bis zum Dezember 2010 immer noch mehr als 5.000.000 Rechner mit einer der diversen Conficker-Varianten infiziert. Es scheint unwahrscheinlich, dass große Unternehmen und Organisationen den Microsoft-Patch nicht ausgerollt haben. Sollten sie ihn dennoch ausgerollt haben, bleibt nur die Schlussfolgerung, dass durch Rollout-Fehler Lücken im Netzwerk geblieben waren.
Unternehmen, die in der Lage sind, den Sicherheitsstatus jedes einzelnen Rechners im Netzwerk zu erfassen, sehen wo Lücken sind und können diese sofort schließen. Alle anderen können nur reagieren, wenn die Schwachstellen durch eine Infektion evident geworden sind. Messbarkeit bedeutet Transparenz und Transparenz ist die Grundlage dafür, dass ein Unternehmen seinen Sicherheitsbetrieb verbessern kann. Deshalb ist die permanente und kontinuierliche Messung des eigenen Sicherheitsstatus so wichtig. Was aber definiert nun diesen "Sicherheitsstatus" eines Rechners? Welche konkreten Messgrößen beziehungsweise Key Performance Indikatoren (KPIs) können dazu herangezogen werden?
- Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor. - Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben. - BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden. - Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden. - Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist. - F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.