IT-Security 08.12.2015, 15:33 Uhr

Neue Gefahren erzwingen neue Abwehrstrategien

Cyberkriminelle werden immer professioneller und vernetzter. Computerworld zeigt, wie sich Unternehmen vor den neusten Angriffsmethoden der Hacker schützen können.
Eines kann man Cyberkriminellen nun wirklich nicht vorwerfen: Faulheit. Im Gegenteil, sie werden immer aktiver: Während die Sicherheitsexperten von Panda­­­-Labs 2013 noch durchschnittlich 82'000 neue Schädlinge pro Tag identifizierten, waren es 2014 schon rund 200'000. Im ersten Quartal 2015 steigerte sich diese Rate nochmals auf nun 225'000. «Wir messen an einigen Tagen sogar Spitzenwerte von 500.000 neuen Schadprogrammen», sagt Jan Lindner, Geschäftsführer von Panda Security Deutschland. Die steigende Zahl an Viren, Würmern und Trojanern hat verschiedene Ursachen. Eine davon ist die zunehmende Professionalisierung im Cybercrime-Bereich. «Kam es früher dem einzelnen Hacker darauf an, mit einem spektakulären Hack für Furore zu sorgen, stehen heute ganz klar kommerzielle Gründe im Vordergrund», sagt Rasmus Lemke, Sales Manager HP Enterprise Security. «Die Szene ist kompetent, vernetzt, sehr gut organisiert und greift über unterschiedliche Wege an.» Diese Einschätzung teilt Roland Messmer, Direktor für Zentral- und Osteuropa beim Security-Intelligence-Spezialisten LogRhythm: «Mittlerweile erfolgen 80 Prozent der Angriffe von kriminellen Organisationen aus, die oft über enorme Ressourcen verfügen – finanziell wie technisch.» Ziel der Hacker-Mafia sind meist die wertvollsten Daten eines Unternehmens – neue Technologien, Prototypen, geheime Rezepturen oder Verfahrenstechniken. Die etwas Gröberen unter den Verbrechern setzen auf Erpressung. Mit der Drohung, Websites mit Denial-of-Service-Attacken (DDOS) lahmzulegen oder mit sogenannter Ransomware Festplatten zu verschlüsseln, lässt sich schliesslich auch gutes Geld verdienen. Nach Untersuchungen von Akamai stieg die Zahl der DDOS-Angriffe im zweiten Quartal 2015 im Jahresvergleich um über 130 Prozent. Ransomware-Attacken nahmen um 113 Prozent gegenüber dem Vorjahr zu, weiss Symantecs neuester IT Security Threat Report, Volume 20 (ISTR 20). Wer die Konkurrenz ausspionieren oder einem Mitbewerber schaden will, muss sich nicht einmal mehr selbst die Hände schmutzig machen. «Im Darknet, dem geheimen anonymen Teil des Internets, kann man Cyberattacken in Auftrag geben», sagt die Sicherheitsexpertin Inessa Seifert, die als Beraterin im Bereich Gesellschaft und Wirtschaft beim VDI/VDE-IT tätig ist. Das neue Geschäftsmodell erschwert die Suche nach dem Verursacher erheblich, so Seifert: «Der Täter kann nicht so einfach identifiziert werden.» Eine weitere Besonderheit der Auftrags-Hacker: Sie stellen Malware-Massanfertigungen her. «75 Prozent der neuen Malware-Samples sind einmalig und werden nur bei einem einzigen Unternehmen gefunden», sagt Sophos-Consultant Sascha Pfeiffer. Nächste Seite: Targeted Threats nutzen Zero-Day-Lücken Targeted Threats nutzen Zero-Day-Lücken Solche gezielten Angriffe, auch Targeted Attacks oder Targeted Threats genannt, nutzen unter anderem Zero-Day-Lücken, also bisher unbekannte Angriffspunkte in Firm- oder Software, für die es noch keine Patches gibt. Um die Schädlinge ins Unternehmen zu schleusen, setzen die Kriminellen oft auf Spear-Phishing. Dabei erhält das Ziel der Attacke eine E-Mail, die scheinbar von einem Kollegen oder Vorgesetzten oder einer anderen vertrauenswürdigen Quelle stammt. Der Angreifer fragt nach Zugangsdaten, die er «vergessen» hat, hängt ein «nettes Bild» an, das mit Malware verseucht ist, oder schickt einen «interessanten Link», der in Wirklichkeit auf eine bösartige Webseite führt. Die Zahl der Spear-Phishing-Attacken erhöhte sich laut Symantec 2014 gegenüber dem Vorjahr zwar nur leicht um 8 Prozent, die Zahl gezielter Angriffe hat sogar abgenommen, so die Autoren des Threat Reports. Das ist aber nicht notwendigerweise ein gutes Zeichen. Es deutet eher darauf hin, dass aus vielen Targeted Threats sogenannte Advanced Persistent Threats (APTs) geworden sind. Das heisst, die Angreifer attackieren zwar weniger Ziele, die dafür aber mit grosser Intensität, über verschiedene Wege und über eine sehr lange Zeit. Laut Kaspersky Lab waren 2014 rund 5500 Unternehmensziele in 55 Ländern von APTs betroffen, 2013 erst 1800. Kaspersky wurde im Übrigen selbst Opfer einer APT-Attacke. Wie das Unternehmen im Juni dieses Jahres mitteilte, hatten Hacker eine Zero-Day-Lücke im Windows-Kernel und möglicherweise zwei weitere Zero-Day-Lücken ausgenutzt, um die Systeme von Kaspersky mit dem Duqu 2.0 genannten Schädling zu infizieren. Duqu 2.0 verzichtet komplett auf Persistenzmechanismen, das heisst er nistet sich nirgends ein und verändert weder Systemeinstellungen noch hinterlässt er Dateien auf einer Festplatte, was eine Entdeckung extrem schwierig macht. Stattdessen residiert er im Arbeitsspeicher von zentralen Servern, die in der Regel 24 Stunden laufen und selten neu gebootet werden. Von dort aus verteilte er modifizierte Microsoft-Software-Installationspakete (MSI), die den Schädling im Arbeitsspeicher der Rechner platzieren. Zwar entfernt ein Neustart den Virus, da er nur im RAM sitzt, der PC wird aber von anderen befallenen Maschinen aus sofort wieder neu infiziert. Eine Schwachstelle hat ein Angriff nach Duqu-Art allerdings: Nach einem massiven Stromausfall, wenn sehr viele oder gar alle Rechner neu gestartet werden müssen, wäre der Spuk verschwunden. Doch auch daran hatten die Hacker gedacht und an einige wenige PCs mit direkter Internetverbindung Treiber verteilt. Diese erlauben es, von aussen einen Tunnel ins Netzwerk aufzubauen und das Malware-System neu zu installieren. Nächste Seite: Der unentdeckte Feind als Sicherheitsproblem Der unentdeckte Feind als Sicherheitsproblem Die Duqu-Affäre zeigt, dass Hacker selbst vor dem Angriff auf Security-Spezialisten nicht zurückschrecken und sich äusserst geschickt tarnen. Das grösste Problem ist deshalb oft, einen erfolgreich durchgeführten Angriff überhaupt zu erkennen. Nicht identifizierte Infektionen gehören zu den gravierendsten Sicherheitsproblemen, mit denen Unternehmen heute zu kämpfen haben. «Auf Hacker-Angriffe kann man nur dann reagieren, wenn man weiss, dass und wie man angegriffen wurde», sagt HP-Manager Lemke. Nach Angaben von Mandiant, einem Unternehmen, das sich auf die Entdeckung von Angriffen spezialisiert hat, blieben Einbrüche in IT-Systeme 2014 im Mittel 205 Tage unentdeckt. Im Jahr zuvor waren es noch 229 Tage. Es sind also immerhin kleine Fortschritte zu verzeichnen. Doch viele Unternehmen haben gar keine Ahnung, wie es um den Sicherheitsstatus ihres Netzes bestellt ist. So konnten 24 Prozent der vom SANS-Institut für den «SANS Analytics and Intelligence Survey 2014» Befragten keine Aussage darüber machen, ob sie in den vergangenen zwei Jahren gehackt wurden, und 21 Prozent wiegten sich in der – trügerischen – Sicherheit, nicht ernsthaft angegriffen worden zu sein. Die restlichen 55 Prozent meldeten dagegen alarmierende Zahlen: 23 Prozent der Befragten hatten mit zwei bis fünf Einbrüchen zu kämpfen, 6 Prozent mussten gar mehr als 50 Angriffe abwehren beziehungsweise Schäden beheben. Im Jahr zuvor waren es nur 3 Prozent gewesen, die sich mit derart vielen Einbrüchen herumschlagen mussten. Nächste Seite: Vorbeugende Systeme und Probelauf im Sandkasten Vorbeugende Systeme und Probelauf im Sandkasten Der Entdeckung versuchter oder erfolgreicher Angriffe kommt also eine wachsende Bedeutung zu. Klassische Intrusion-Prevention-Systeme (IPS) oder UTM-Tools (Unified Threat Management) reichen nicht mehr aus, sagt Frank Melber, Head of Business Development und Leiter des Computer Security Incident Response Teams (CSIRT) beim TÜV Rheinland: «Vielmehr werden verstärkt verhaltensbasierte Detektionssysteme insbesondere im Netzwerkbereich eingesetzt.» Verhaltensabhängige Analysen sind schon seit einigen Jahren fester Bestandteil praktisch jeder Antiviren-Suite. Sie reagieren auf verdächtige Aktivitäten, etwa wenn ein Programm Registry-Einträge ändern oder Treiber installieren will. Diese Art der Detektion hat allerdings zwei Nachteile: Erstens schlagen die Wächter oft auch bei harmlosen Programmen Alarm. Das nervt und verleitet vor allem unerfahrene Anwender dazu, die verhaltensbasierte Erkennung ganz auszuschalten. Zweitens verhält sich Schadsoftware heute – wie Duqu 2.0 – extrem unauffällig oder deaktiviert als Erstes die Verhaltensdetektion, bevor sie sich ans Werk macht. Besser geschützt ist man deshalb mit Sandbox-Technologien. Dabei muss man zwei Ansätze unterscheiden: Vorbeugende Systeme wie Browser in a Box von Sirrix verwenden eine virtuelle Maschine mit einem eingeschränkten Betriebssystem und einem Webbrowser. Die virtuelle Maschine wird bei jedem Aufruf auf ihren Ausgangszustand zurückgesetzt, sodass Manipulationen durch Schadsoftware den Neustart nicht überleben. Nur Daten wie Favoriten oder die Chronik werden ausserhalb der Sandbox im Basissystem des Nutzers gespeichert. Auch aus dem Internet heruntergeladene Dateien landen zunächst hier, bevor sie nach einem Malware-Scan dem Anwender in seinem üblichen Download-Verzeichnis zur Verfügung gestellt werden. Noch einen Schritt weiter geht vSentry von Bromium. Auch hier kommt eine stark eingeschränkte, als Microvisor bezeichnete virtuelle Maschine zum Einsatz. Jede potenziell angreifbare Aktivität wie Surfen, ein Dokument öffnen, auf einen USB-Stick zugreifen, wird in einer eigenen gekapselten Umgebung ausgeführt. Ein Task kann nur dann aus seiner Mikro-VM ausbrechen und etwa auf die Zwischenablage zugreifen, wenn vordefinierte Policies dies erlauben. Etwas anders funktionieren Sandbox-Systeme wie sie Fire­Eye, Trend Micro oder Intel Security (vormals McAfee) verwenden. Sie führen neue oder verdächtige Dateien beziehungsweise Programme in einer parallelen virtuellen Umgebung aus und analysieren ihr Verhalten. «Dadurch können Sicherheitsgefahren unter realistischen Bedingungen zuverlässiger gefunden und beseitigt werden», erklärt Rolf Haas, Enterprise Technology Specialist EMEA bei Intel Security. Viele Schadprogramme erkennen allerdings, wenn sie in einer virtuellen Umgebung isoliert sind, und verhalten sich dann unauffällig. Deshalb muss die VM möglichst wie ein physikalisches System agieren, etwa Netzwerkverbindungsanfragen akzeptieren, auf Dialogboxen reagieren oder eine Browsersitzung starten können. Der im Juni dieses Jahres vorgestellte Service Adaptive Defense 360 von Panda Security wiederum setzt auf Big-Data-Analysen in der Cloud statt auf Sandboxing. Er soll Endgeräte und Server nicht nur vor klassischen Viren und Zero-Day-Attacken, sondern auch vor APTs schützen können. Der gemanagte Service überwacht alle laufenden Prozesse und klassifiziert sie in der Cloud anhand von über 2000 Kriterien. Wird eine Applikation nicht automatisch erkannt, was nur in 0,4 Prozent der Fälle vorkommen soll, kümmert sich ein Experte des Herstellers um die Einordnung. Panda betont, dass ausschliesslich Portable Executables (PE-Dateien) zur Analyse übermittelt werden, aber keine Dateien, die persönliche oder vertrauliche Informationen enthalten könnten, etwa PDFs oder Office-Dokumente. Kunden können zudem eigenen Programmcode ausdrücklich ausnehmen, wenn sie nicht möchten, dass dieser zu Adaptive Defense hochgeladen wird. Nächste Seite: SIEM spürt verdächtige Verhaltensweisen auf SIEM spürt verdächtige Verhaltensweisen auf Klassische Sicherheitslösungen wie Firewalls oder Antiviren-Software sind häufig schon deshalb gegen moderne Bedrohungen machtlos, weil sie isoliert voneinander betrieben werden. «Mit siloartig strukturierten Sicherheitssystemen ist den künftigen Herausforderungen nur bedingt beizukommen», warnt Florian Malecki, International Product Marketing Director bei Dell Network Security. SIEM-Systeme (Security Information and Event Management) sollen hier Abhilfe schaffen. SIEM-Lösungen überwachen nicht nur die Eingänge des Netzwerks und spüren verdächtige Verhaltensweisen innerhalb der IT-Infrastruktur auf, sondern sie sammeln und archivieren auch Daten und Spuren, um im Fall einer erfolgten Infektion forensische Untersuchungen zu ermöglichen und das Ausmass des Schadens feststellen zu können. Für diese Aufgabe aggregieren SIEM-Lösungen Status- und Verhaltensinformationen, die von Sicherheitssystemen, der Netzwerk-Infrastruktur, Servern und PCs sowie Applikationen generiert werden. Die Systeme stützen sich hauptsächlich auf Log-Daten, können aber auch Daten aus passiven Messverfahren, etwa NetFlow oder SNMP, sowie die übertragenen Datenpakete auswerten. Diese Event-Daten werden mit Informationen über Nutzer, vorhandene Geräte und Applikationen, aktuelle Bedrohungen und Schwachstellen kombiniert. Die Daten werden dabei normalisiert, sodass sich Informationen aus verschiedenen Quellen und in unterschiedlichen Formaten korrelieren lassen. «Ohne SIEM ist es nahezu unmöglich, Angriffe wie Advanced Persistent Threats zu erkennen», sagt Tim Cappelmann, Leiter Managed Security beim Systemhaus AirITSystems. Log­Rhythm-Direktor Messmer sieht das genauso: «Ein SIEM-System nutzt die Informationen der klassischen, ohnehin vorhandenen IT-Sicherheitssysteme. Daher ist es die einzig sinnvolle Ergänzung, um moderne Angriffe zu erkennen und aktiv abzuwehren.»  Die Auswahl an SIEM-Lösungen ist gross. Das Software-Vergleichsportal Mosaic Security Research listet aktuell rund 50 Hersteller auf, die Produkte zum integrierten Sicherheitsmanagement im Portfolio haben. Eine Auswahl finden Sie in der folgenden Tabelle. Zu den führenden Anbietern gehören laut Gartner IBM Security, HP, Intel Security, LogRhythm und Splunk. Bei manchen lässt sich SIEM auch als Managed Service beziehen, etwa bei EventTracker und Trustwave. Nächste Seite: Die mobile Gefahr per Smartphone und Tablet Die mobile Gefahr per Smartphone und Tablet Der Einsatz mobiler Endgeräte wie Smartphones und Tablets, verschärft durch die anrollende Wearables-Welle, macht eine Abschottung des Unternehmensnetzes nach aussen immer schwieriger. Häufig sind die verwendeten Geräte nicht einmal in Firmenbesitz. «Mitarbeiter verwenden verstärkt auch ihre privaten Geräte für den Zugriff auf Unternehmensapplikationen und -daten», weiss Dell-Manager Malecki. Deshalb haben sich die Cyberkriminellen auch längst schon auf die neuen Gerätekategorien und Kommunikationswege eingeschossen. Symantec zufolge sind über eine Million bösartiger mobiler Apps im Umlauf. Weitere 2,3 Millionen lassen sich als Grayware klassifizieren: Sie installieren zwar keine Schädlinge, bombardieren den Nutzer aber mit Werbung oder bedienen sich grosszügig an dessen Daten. Von 2012 bis 2014 sank die Zahl neuer Mal­ware-Familien für Android laut Symantec zwar von 103 auf 46, dennoch gibt es für eine Entwarnung keinen Anlass, denn auch die Angreifer auf mobile Systeme gehen dafür immer aggressiver vor. Selbst die gute alte SMS wird als Vektor für Links auf bösartige Websites missbraucht, die Viren, Trojaner und Würmer nachladen, wenn der unvorsichtige Empfänger auf die scheinbar harmlose URL tippt. Und auch wenn Android in den vergangenen Monaten durch Schwachstellen wie UXSS und Stagefright unangenehm auf sich aufmerksam gemacht hat, sollten sich die Nutzer anderer mobiler Betriebssysteme nicht so viel sicherer fühlen. Die meisten Sicherheitslücken – 84 Prozent – klaffen laut Symantec nämlich nicht etwa in Googles Betriebssystem, sondern in Apples iOS. Wie real die Bedrohung für mobile Endgeräte ist, zeigt auch die von IDC im Mai 2015 durchgeführte Befragung von 243 Fach- und Führungskräften aus den IT- und Fachabteilungen. Danach hatten 61 Prozent der Teilnehmer bereits Erfahrungen mit Angriffen auf mobile Endgeräte gemacht. Durchschnittlich kam es im Zusammenhang mit mobiler Technologie binnen Jahresfrist zu über sechs Sicherheitsvorfällen je Unternehmen. Nächste Seite:Industrie 4.0 und das Internet der Dinge Industrie 4.0 und das Internet der Dinge Als ob das Management des mobilen Gerätezoos nicht schon Herausforderung genug für IT-Sicherheitsverantwortliche wäre, kommen immer neue Komponenten hinzu, die, weil mit Rechenkraft und Internetzugang ausgestattet, abgesichert werden müssen. «Durch die vermehrte Vernetzung aller Systeme, beispielsweise in Autos, ergeben sich unzählige Möglichkeiten für neue Angriffsszenarien,» sagt Rolf Haas von Intel Security. Die Autobauer mussten das in den vergangenen Monaten schmerzlich erfahren. So machte ein Hack Furore, der es Angreifern ermöglichte, jedes mit dem ConnectedDrive-System ausgestattete BMW-Fahrzeug zu öffnen. Und wer sein Smartphone nutzt, um sein Auto aufzuschliessen, muss ebenfalls mit unliebsamen Überraschungen rechnen. Der IT-Experte Samy Kamkar konnte mit einem auf Basis des Raspberry Pi entwickelten mobilen Hacking-Device namens OwnStar die Systeme OnStar von General Motors, Remote von BMW, mbrace von Mercedes, Uconnect von Chrysler sowie SmartStart von Viper knacken. Aber nicht nur die grossen Autokonzerne, sondern auch die klassischen Maschinenbauer aus dem deutschen Mittelstand werden sich künftig mit solchen Problemen herumschlagen müssen, denn mit Industrie 4.0 hält die IT Einzug in ihre Produktionsstätten. Rund 11 Milliarden Euro sollen bis 2020 in Deutschland im Bereich Industrie 4.0 investiert werden, so der Lagebericht zur IT-Sicherheit 2014, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat. Den Traditionsunternehmen bleibe gar nichts anderes übrig als diesen Trend mitzumachen, sagt Inessa Seifert, die im Rahmen des Technologieprogramms «Autonomik für Industrie 4.0» des Bundesministeriums für Wirtschaft und Energie (BMWi) an den Folgen dieser Entwicklung für die IT-Sicherheit forscht: «Es werden neue Geschäftsmodelle und Wertschöpfungsnetze mit weniger Angst und mehr Know-how entstehen, die etablierten Marktführer geraten unter Zugzwang.» Die Unternehmen müssten sich deshalb vom Konzept der Automatisierungspyramide mit starren Strukturen und zen­traler Steuerung verabschieden, ein Defense-in-Depth-Ansatz mit Firewall und Antivirensoftware reiche nicht mehr aus, so Seifert weiter: «In der Industrie 4.0 werden neue Konzepte zur IT-Sicherheit erforderlich, die eine dezentrale und flexible Steuerung von Produktionsprozessen über Unternehmensgrenzen hinweg ermöglichen.» Nächste Seite: Security als Service für kleine Unternehmen Security als Service für kleine Unternehmen Viele Unternehmen sind von den aktuellen Entwicklungen in der IT-Sicherheit überfordert. «Die grösste Herausforderung für kleine und mittlere Unternehmen ist es, die rasante Entwicklung und steigende Komplexität der Bedrohungen und Angriffe mit den vorhandenen Ressourcen zu stemmen», sagt HP-Manager Lemke, «Oftmals gibt es keinen dedizierten Sicherheitsverantwortlichen. Und sollte ein Unternehmen doch einen Spezialisten für diesen Bereich einstellen wollen, ist es sehr schwierig, jemanden mit einer passenden Qualifikation zu finden.» Nicht nur KMUs setzen deshalb vermehrt auf Security-Services aus der Cloud. Laut Gartner soll das weltweite Marktvolumen für solche Dienstleistungen bis 2017 auf 4,1 Milliarden Dollar ansteigen und sich damit gegenüber 2013 fast verdoppeln. «Mit cloudbasierten Services, die den Schutz und die Verfügbarkeit von Daten und Webanwendungen sicherstellen, können Unternehmen heute einen Ansatz verfolgen, der die Grenzen der herkömmlichen Security-Lösungen überwindet», sagt Jürgen Metko, Regional Vice President Central Europe bei Akamai. Eine Auswahl an Cloud-Security-Anbietern finden Sie in der Tabelle. Fazit Immer mehr Dinge werden über das Internet erreichbar – von der Uhr am Handgelenk bis zur Turbine im Kraftwerk. Gleichzeitig werden Hacker immer professioneller, organisierter und vernetzter. Sie arbeiten häufig im Dienst staatlicher Organisationen, stehen aber auch für jeden anderen zur Verfügung, der bereit ist, genügend Geld zu bezahlen – Hacking as a Service sozusagen. Für Sicherheitsverantwortliche in Unternehmen haben diese Entwicklungen mehrere Konsequenzen. Erstens sind die Zeiten vorbei, in denen sich IT-Sicherheit auf Netzwerk, Endgeräte und Applikationen beschränkte. Der Blick des Chief Information Security Officers muss sich weiten und die Werkshallen genauso miteinbeziehen wie die Taschen der Mitarbeiter. Fast noch wichtiger ist es, erfolgte Einbrüche so schnell wie möglich zu entdecken und einzudämmen. Eine hundertprozentige Abschottung gibt es nämlich nicht. Alles, was über das Internet von aussen erreichbar ist, wird früher oder später gehackt. Zusätzliche Massnahmen sind deshalb ein Muss. Zu den wichtigsten zählen eine durchgehende Verschlüsselung aller sensiblen Daten und eine durchdachte Business-Continuity-Strategie, die es bei einem Befall der Produktivsysteme ermöglicht, schnell wieder in einer sauberen Umgebung arbeitsfähig zu werden. Vor allem kleine und mittelständische Unternehmen können diese Aufgaben nicht mehr selbstständig bewältigen. Sie sollten sich auf jeden Fall an spezialisierte Systemhäuser beziehungsweise die zahlreichen Anbieter von Managed-Security-Services wenden. Vor allem aber muss das Sicherheitsbewusstsein der Mitarbeiter geschärft werden. Rund 98 Prozent aller Sicherheitsvorfälle in Unternehmen werden nach Untersuchungen des TÜV Rheinland von Menschen ausgelöst. «Der nicht über IT-Gefahren aufgeklärte Mensch ist das grösste Risiko für die IT-Sicherheit von Unternehmen überhaupt», sagt TÜV-Sicherheitsspezialist Melber. «Die besten Schutzprogramme können einfach ausgehebelt werden, wenn die Mitarbeiter gedankenlos Links anklicken oder externe Datenträger ins Firmennetz einspeisen», pflichtet ihm Sophos-Consultant Pfeiffer bei. Wer also nur in eine einzige Sicherheitsmassnahme investieren kann und will, der sollte sich eine Sicherheitsschulung seiner Mitarbeiter leisten. Nächste Seite: Kurzinterview: «Wir sind nicht am Ziel, aber die Richtung stimmt» Kurzinterview: «Wir sind nicht am Ziel, aber die Richtung stimmt» Marc Fliehe, Bereichsleiter Sicherheit beim Branchenverband Bitkom, erklärt, in welche Sicherheitsmassnahmen Unternehmen auf jeden Fall investieren sollten und was vom neuen IT-Sicherheitsgesetz zu halten ist. Computerworld: Herr Fliehe, was sind aktuell die grössten Sicherheitsprobleme für Unternehmen? Marc Fliehe: Wir sehen – neben sehr gezielten Angriffen – immer noch eine Menge Spam- und Phishing-Attacken. Immer wieder gibt es starke Wellen von Spam-Mails, die teilweise mit Schadsoftware verseucht sind. Viele Spam-Attacken kommen übrigens aus EU-Ländern wie Italien, Deutschland, Spanien. Dort haben wir gute Infrastrukturen, die für die Spammer sehr attraktiv sind. Computerworld: Was ist das vornehmliche Ziel der Spammer? Fliehe: Natürlich wollen sie Werbung machen, lukrativer ist aber das Phishing. Der Hauptzweck dieser Attacken ist es, Identitäten abzufischen. Der Identitätsdiebstahl ist ein sehr grosses Thema vor allem im Bereich Online-Banking und -Shopping. Computerworld: Gibt es weitere Angriffstypen, die Ihnen aufgefallen sind? Fliehe: In letzter Zeit hatten wir es auch mit einer Reihe von Erpressungsversuchen zu tun. Unternehmen sollten etwa 100 Bitcoins (rund 24.000 Euro) überweisen, um eine DDOS-Attacke abzuwenden. Die Betroffenen wissen sich meist nicht anders zu helfen, als zu zahlen. Computerworld: Richten sich solche Attacken vor allem gegen Grossunternehmen? Fliehe: Nein, das kann auch kleine und mittelständische Unternehmen treffen. Bei den KMUs haben wir zusätzlich die Herausforderung, dass sie im Security-Bereich nicht so stark sind wie grosse Unternehmen, bei denen das Thema IT-Sicherheit in den Strukturen und Prozessen fest verankert ist. In den mittelständischen Unternehmen sehen wir sehr hohe Anforderungen an die Flexibilität und Verfügbarkeit von Daten. Man nutzt sehr viele Cloud-Dienste, Bring Your Own Device ist ein Thema, durch das Firmendaten mit privaten vermischt werden. Fairerweise muss man auch sagen, dass die KMUs oft nicht die Mittel haben, um ein ganzheitliches Sicherheitskonzept zu verfolgen wie es dem Schutzbedürfnis der Daten angemessen wäre, um etwa Patente und Ideen des Unternehmens vor Hackern und Wirtschaftsspionage zu schützen. Computerworld: Sie haben die DDOS-Attacken erwähnt. In den USA missbrauchen Hacker dafür oft nicht mehr nur PCs, sondern auch «dumme» Geräte wie Router oder Settop-Boxen. Sehen Sie das auch hierzu­lande? Fliehe: Durchaus. Immer mehr Geräte sind mit dem Internet verbunden, das kann der Kühlschrank sein, die Heizung, der Router oder ein Musik-Player. Alle diese Gegenstände sind gleichermassen gefährdet, werden aber nur selten in ein IT-Sicherheitskonzept einbezogen. Computerworld: Werden die KMUs auch Opfer von lange andauernden, umfassend vorbereiteten Angriffen, sogenannten Advanced Persistent Threats (APTs)? Fliehe: Natürlich müssen für den Angreifer Aufwand und zu erwartender Gewinn in einem gewissen Verhältnis stehen. So gesehen sind grosse Unternehmen lohnendere Ziele, das muss aber nicht zwingend so sein. Viele Industrien sind extrem vernetzt, denken Sie nur an die Automobilbranche, wo viele kleine Ingenieurbüros, Maschinen- und Werkzeugbauer oder Zubehörproduzenten fest in der Lieferkette verankert sind. Da kann es für Hacker ganz schnell interessant werden, nicht die Grossen anzugreifen, die sich sehr gut schützen, sondern den Weg über die Zulieferer zu gehen. Nächste Seite: «Ich würde dringend zur Awareness-Schulung raten» «Ich würde dringend zur Awareness-Schulung raten» Computerworld: Investieren Unternehmen genug in Sicherheit? Fliehe: Wir sehen schon, dass sich da etwas verändert, gleichwohl sind die Investitionen nicht gleichmässig über alle Branchen und Unternehmensgrössen verteilt. Wir haben nach wie vor eine Schere zwischen den grossen auf der einen sowie den kleinen und mittelständischen Unternehmen auf der anderen Seite. Es gibt Nachholbedarf bei den KMUs, auch wenn man das natürlich nicht so pauschal sagen kann. Jedes Unternehmen ist gut beraten, sich über die eigenen Daten und das eigene Schutzbedürfnis noch einmal Gedanken zu machen und das möglicherweise auch zusammen mit externen Partnern kritisch zu analysieren. Computerworld: Wenn ein IT-Verantwortlicher nur in eine einzige Sicherheitsmassnahme investieren könnte, was sollte das sein? Fliehe: Ich würde ihm dringend raten, eine Awareness-Schulung durchzuführen und die Mitarbeiter für die Gefahren im Umgang mit Daten im Internet, Social Engineering oder auch so banale Dinge wie Bildschirmschutz zu sensibilisieren. Wenn ich mit dem Zug fahre und mich umsehe – Sie glauben gar nicht, was ich für spannende Excel-Tabellen bei meinem Nachbarn auf dem Bildschirm entdecken kann. Das sind Aspekte von Datensicherheit, bei denen man mit relativ wenig Aufwand viel erreichen kann, einfach dadurch, dass sich die Mitarbeiter dieser Gefahren bewusst werden. Wenn man also mit sehr begrenzten Mitteln viel erreichen will, dann wäre das eine wichtige Stellschraube. Computerworld: Der Faktor Mensch spielt in der Unternehmenssicherheit also ein wichtige Rolle? Fliehe: Der Faktor Mensch ist extrem wichtig, das kann man gar nicht oft genug betonen. Wir sehen immer wieder, wie die besten und ausgeklügelsten Sicherheitskonzepte durch Unachtsamkeit und Naivität ausgehebelt werden. Ein gutes Beispiel war dieses Jahr der französische Fernsehsender TV5Monde, bei dem im Interview an der Pinnwand im Hintergrund die Passwörter für Twitter und andere Social-Media-Kanäle zu sehen waren. Computerworld: Hat der Trend zu Virtualisierung und Cloud-Computing die IT eher sicherer oder unsicherer gemacht? Fliehe: Ich glaube, dass Cloud-Computing eine Menge neuer Anwendungsmöglichkeiten und Arbeitsmodelle geschaffen hat, sodass die Produktivität insgesamt gestiegen ist. Gleichzeitig sind damit auch neue Risiken entstanden. Man muss genau hinschauen, welcher Anbieter mir den nötigen Schutz bieten kann. Hat man einen guten, vertrauenswürdigen Cloud-Anbieter gefunden, dann kann man von dessen Sicherheitsstandards nur profitieren. Computerworld: Was bringt das neue IT-Sicherheitsgesetz? Wird es die IT für Unternehmen wirklich sicherer machen? Fliehe: Ja, in mehrerer Hinsicht. Sobald in der Unternehmens-IT kommerzielle Webseiten oder Shops betrieben werden, gelten jetzt Sicherheitsstandards nach Stand der Technik, die durch den Betreiber umzusetzen sind. Das ist der eine Punkt. Zweitens wird die Verantwortung der Telekommunikationsanbieter nun klar definiert. Sobald ein Provider Informationen darüber hat, dass sich ein Kunde Schadsoftware eingefangen hat, muss er den Kunden benachrichtigen. Das gilt auch für Unternehmenskunden. Insofern glaube ich schon, dass das IT-Sicherheitsgesetz an vielen Stellen einen Beitrag dazu leistet, die Infrastruktur und auch die Daten besser zu schützen. Im Hinblick auf die im Gesetz erwähnten kritischen Infrastrukturen müssen wir die einzelnen Massnahmen im Rahmen einer Rechts­verordnung noch ausgestalten, aber auch da gilt die Vorgabe, mehr für IT-Sicherheit zu tun und Mindestniveaus zu definieren. Wir sind also noch nicht ganz am Ziel, aber die Richtung stimmt.

Das könnte Sie auch interessieren