Grundlagen der IT-Sicherheit – IT-Infrastruktur Teil 6
Die zunehmende Digitalisierung fordert die IT-Sicherheit heraus. Immer mehr Geräte im Netzwerk und mobilere Mitarbeiter schaffen immer neue Angriffspunkte. Mit einer Firewall allein ist’s heute jedenfalls nicht mehr getan.
Und auch die traditionelle Antiviren-Software reicht bei weitem nicht mehr aus, um die Sicherheit von Unternehmen vollumfänglich zu gewährleisten. Stattdessen treten integrierte Lösungen auf den Plan, die Schutz auf Geräte- und Netzwerkebene bieten sowie über moderne Analysefunktionen und Präventions-Tools verfügen.
Vereinfacht gesagt geht’s um die Implementierung einer ganzheitlichen Gerätesicherheitsstrategie, die eine Reihe von Abwehrmaßnahmen verbindet und koordiniert.
Dazu gehört das klassische Antiviren-Programm ebenso, wie signaturbasierte Abwehrmaßnahmen oder laufende Verhaltensanalysen. Dabei muss beachtet werden, dass jeder Gerätetyp seine eigenen Sicherheitsanforderungen und -fähigkeiten hat. Wenn man heutzutage nämlich von einem „Endpoint“ spricht, muss man wesentlich mehr Geräte in Betracht ziehen, als noch vor einigen Jahren.
Dazu zählen inzwischen traditionelle Server, PCs, Laptops, Smartphones, Tablets, IoT-Geräte und Cloud-Umgebungen. Jeder dieser Punkte kann ein Einfallstor für Angreifer sein, wobei sich diese oft nicht nur auf ein Gerät konzentrieren, sondern gleich mehrere davon im Visier haben. Vor allem IoT-Geräte, wie Drucker oder Scanner, verfügen oft über keine eingebauten Sicherheitsfunktionen, aufgrund dessen man ein besonderes Augenmerk darauflegen muss.
Zentrales Sicherheitsmanagement
Unternehmen müssen also in der Lage sein, die Gerätesicherheit mit der richtigen Kombination aus fortschrittlichen Technologien zu erhöhen. Eine Möglichkeit nennt sich Unified Threat Management-Lösungen (UTM). Sie stellen in einem einzigen Produkt eine Vielzahl unterschiedlicher Sicherheitsfunktionen bereit. Sie arbeiten normalerweise zwischen dem Internet und dem lokalen Netz und analysieren Datenübertragungen.
Der Vorteil von UTM-Lösungen ist die zentrale Steuerung, die jederzeit einen Überblick über den Sicherheitszustand des Netzes gibt und Reports erstellen kann. Ein wesentlicher Vorteil gegenüber einzelnen Lösungen ist, dass sich die IT-Abteilung nicht mit unterschiedlichen Management-Konsolen beschäftigen muss.
Der einheitliche Ansatz sorgt aber nicht nur deswegen für ein höheres Sicherheitsniveau, auch werden Konfigurationsfehler (weitgehend) verhindert. Zusätzlich sind die einzelnen Sicherheitsfunktionen innerhalb der UTM-Lösung in der Regel besser aufeinander abgestimmt. Eine UTM-Appliance kann beispielsweise eingehende VPN-Verbindungen entschlüsseln und den Datenverkehr durch ihr Intrusion-Detection-System (Angriffserkennungssystem) überprüfen, was mit Einzelkomponenten deutlich komplizierter zu realisieren wäre. Außerdem spart ein UTM-System auch Kosten, da es preisgünstiger zu erhalten und zu warten ist als eine komplexe IT-Security-Landschaft.
Echtzeitüberwachung mit SIEM
Ein Teil einer UTM-Lösung ist freilich auch immer eine Firewall. Diese allein reicht aber bei weitem nicht mehr aus, um für ein ausreichendes Sicherheitsniveau zu sorgen. Dennoch spielen die Firewall und ihre Konfiguration nach wie vor eine zentrale Rolle im gesamten Sicherheitskonzept. Fast noch wichtiger ist allerdings ein proaktives IT-Security Monitoring, das ständig sämtliche Vorgänge im Netzwerk überwacht. Das Sicherheits-Tool sammelt Ereignisdaten aus unterschiedlichen operativen Ebenen und analysiert diese in Echtzeit. Gibt’s im Netzwerk Anomalien werden diese erkannt und gemeldet. Mittels dieser Analysen können dann auch gleich zielgerichtete Maßnahmen zur Eindämmung des Angriffs erfolgen.
Diese Techniken werden unter dem Begriff SIEM (Security Information and Event Management) zusammengefasst und basieren auf der Auswertung sicherheitsrelevanter Daten in einer zentralen Datenbank. Mit Hilfe dieser Datenbasis lassen sich dann sicherheitsrelevante Prozesse steuern, Ereignisse korrelieren, Fehleranalysen und forensische Analysen bei Sicherheitsvorfällen durchführen. Im Grunde ist dieses IT-Security-Monitoring auch die einzige Möglichkeit, um Cyberangreifer zu erkennen, bevor sie in einem Unternehmen Schaden anrichten können.
Veraltete Software & unvorsichtige Mitarbeiter
Ebenfalls nicht vernachlässigen darf man die regelmäßigen Software-Sicherheitsupdates. Damit werden nämlich Sicherheitslücken geschlossen, die – sobald das Update vom Hersteller veröffentlich wurde – praktisch jedem bekannt sind. Solche Sicherheitslücken sollten durch das entsprechende Update also schnellstens geschlossen werden, noch bevor ein Hacker die Situation ausnutzen kann.
Ebenfalls ein beliebtes Einfallstor sind unaufmerksame Mitarbeiter. Sehr oft eröffnet nämlich der fahrlässige Umgang mit E-Mails Angreifern die Möglichkeit, Schadsoftware ins System einzuschleusen. Mitarbeiter sollten daher entsprechend geschult und sensibilisiert werden. Damit sie dann auch nicht auf „Spear Phishing“ hereinfallen, bei dem mit gezielten E-Mails an einzelne Personen getarnte Schadsoftware eingeschleust wird. Sehr beliebt sind hier beispielsweise Bewerbungen an die Personalabteilung, die anstatt des Lebenslaufs eines potenziellen Mitarbeiters bösartige Dateien enthalten, die es auf Lücken in Microsoft Word oder Adobe Acrobat abgesehen haben. Antiviren-Programme können hier zwar viel, aber leider nicht alles, abfangen.
Weitere Infos:
IT-Sicherheit für Unternehmen
Wie sicher ist dein Unternehmen? IT-Check und IT-Audit