Gastbeitrag 16.11.2018, 09:30 Uhr

Endpoints sind die wunden Punkte

70 Prozent aller Malware-Ausbrüche haben ihren Ursprung in den Geräten, die Mitarbeiter für die Arbeit einsetzen. Sie dienen Angreifern als Einfallstore ins Unternehmen. Für einen effektiven Schutz ist ein Fokus auf die Endpoints unumgänglich.
Die beste Technik hilft nur dann, wenn die Mitarbeiter auch in Sicherheitsthemen geschult werden
(Quelle: Shutterstock/Natali Mis)
Die Zahl der Cyberangriffe steigt seit Jahren exponentiell an. Die Attacken werden immer raffinierter und tarnen sich sehr gut. Die Angriffsszenarien wechseln rasch. Angegriffen wird weltweit und auf breiter Basis. Cyberattacken sind ein gutes Geschäftsmodell für diejenigen, die es betreiben. Insbesondere deswegen, weil immer noch viele Anwenderunternehmen das Thema IT-Sicherheit eher lax behandeln und die Einfallstore für Angreifer damit de facto freiwillig aufmachen oder geöffnet lassen. Sicher ist, dass die Angriffe weitergehen werden. Solange es den Angreifern leicht gemacht wird und solange es Unternehmen gibt, die im Fall eines Ransomware-Angriffs für die Entschlüsselung ihrer Daten bezahlen, wird das Ausmass der Attacken nicht abnehmen.
Das zeigt auch eine Studie der International Data Corporation (IDC), die von Matrix42 unterstützt wurde. Darin geben 67 Prozent der im Juni 2018 befragten Unternehmen an, in den letzten Monaten Sicherheitsvorfälle verzeichnet zu haben. Am häufigsten waren PCs und Notebooks (34 Prozent), Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen. Sie werden als Einfallstor in das Rechenzentrum genutzt. Aber auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren betroffen, ebenso wie Drucker, Sensoren und IoT. Allerdings sind das Fehlverhalten der Anwender (37 Prozent) sowie unzureichend gesicherte Endpoints (34 Prozent) die beiden am häufigsten genannten Sicherheitsrisiken.

Angriffe in Echtzeit erkennen

Einer der wichtigsten Faktoren, um einen effektiven Schutz aufzubauen, ist das rechtzeitige Erkennen von Angriffen durch Cyberkriminelle. Ein Problem hierbei ist, dass etwa 70 Prozent aller Malware-Infektionen von Antivirenlösungen erst gar nicht erkannt werden. Die Malware verschafft sich über ein oder mehrere Endgeräte Zugang zum Unternehmensnetzwerk und nistet sich dort unbehelligt ein. Im Durchschnitt sind Unternehmenssysteme bereits seit 200 Tagen infiltriert, bevor dieser Umstand überhaupt erkannt wird. Je später ein Angriff bemerkt wird, desto grösserer Schaden kann entstehen, sei es der Diebstahl oder auch die Manipulation von Daten oder die durch Datenverschlüsselung beeinträchtigte Produktivität der Mitarbeitenden.

Nicht Angriffe, sondern Schaden verhindern

Wie aber kann Schutz funktionieren, wenn die Angriffe immer häufiger und immer ausgefeilter werden und die Angriffsflächen der Unternehmen immer grösser? Effektiver Schutz beginnt mit der Erkenntnis, dass Attacken kaum noch verhindert werden können. Firewalls und Antiviren-Tools bieten keinen ausreichenden Schutz vor Viren, Trojanern und Ransomware. Sehr wohl unterbunden werden kann allerdings die Entstehung des Schadens durch Malware-Ausbrüche. Zielführender, als sich auf die Prävention von Infiltrierungen zu konzentrieren, ist es, die Ausbreitung von Schad-Software zu verhindern, wenn sie bereits ins Unternehmensnetzwerk eingedrungen ist. Da die Einfallstore in den meisten Fällen die Endpoints sind, gilt es, das Augenmerk auf deren Sicherheit zu legen.

EDR, SIEM und SOM reichen nicht aus

Eine bunte Palette an unterschiedlichen Sicherheitssystemen steht den Unternehmen zur Verfügung. «Endpoint Detection and Response»-Lösungen (EDR), «Security Incident and Event Management»-Werkzeuge (SIEM) sowie «Security Operation Management»-Tools (SOM) bieten zweifellos viele Vorteile. Dennoch ist der Schutz stets unvollständig. Sei es, dass das Tool die Priorität der jeweiligen Attacke zu niedrig einschätzt oder die Anzahl der von der Lösung aufgezeigten Attacken für die verantwortlichen IT-Mitarbeiter schlichtweg nicht bewältigbar ist, weil jede Eindämmung zu viele manuelle Eingriffe erfordert.

Automated Endpoint Security

Der Schutz von Daten und Produktivität muss automatisiert erfolgen, unabhängig davon, ob ein Angriff von aussen erfolgt oder die Gefahr von innen ausgeht, weil etwa ein Mitarbeiter Daten auf einen nicht autorisierten USB-Stick kopieren will. «Automated Endpoint Security»-Lösungen (AES) bieten effektiven Schutz, sie konzentrieren sich darauf, Angreifer am Erreichen ihres Ziels zu hindern: dem Stehlen, Manipulieren oder Verschlüsseln von Endpunkt- und Serverdaten. Ausserdem kombinieren automatisierte Systeme die Funktionen einer Endpoint-Prevention-Plattform mit denen einer Endpoint Detection and Response. Der Datendiebstahl wird in Echtzeit verhindert, indem die AES auf der Ebene des Betriebssystems agiert. AES gewährleistet auch einen Echtzeitschutz gegen Ransomware. Die AES setzt erst dann eine Warnmeldung ab, wenn es zu einer schädlichen Outbound-Kommunikation oder zu Datenmanipulation kommt oder wenn sie eine unautorisierte Verschlüsselung unterbunden hat.

Trotz aller Technik: Awareness ist wichtig

Automated-Endpoint-Security-Lösungen bieten umfassenden Schutz. Dennoch darf eines nicht ausser Acht gelassen werden: Gegen die Unvorsichtigkeit von Mitarbeitern hilft keine noch so gute Lösung. Das Bewusstsein für den sicheren Umgang mit Daten muss geschärft werden. Nur, wenn Mensch und Software optimal agieren, haben Angreifer es schwer, erfolgreich zu sein. Denn der Mensch selbst ist immer noch eine der grössten Schwachstellen für Cyberattacken. Die von den Angreifern ausgeschickten E-Mails sind täuschend echt. Sogar IT-Mitarbeiter fallen darauf herein. Daher ist es wichtig, die Mitarbeiter regelmässig über aktuelle Cyberattacken zu informieren. Dazu gehört auch, dass sie klare Vorgaben erhalten, was sie im Zweifelsfall tun bzw. lassen sollen und ihnen eine Anlaufstelle für Fragen anzubieten. Spielen Sie Angriffsszenarien mit Ihren Mitarbeitern durch, machen Sie regelmässig Black-Friday-Proben. Definieren Sie ausserdem die Nutzungsrechte für Firmen-PC, -Laptop und -Smartphone genau. Was darf ein Mitarbeiter auf seinem Workspace machen, was nicht? Nur ein paar Beispiele: Darf er etwa einen USB-Stick einstecken? Darf er einen eigenen Laptop mitbringen und an das Firmennetzwerk anschliessen und wenn ja, mit welchen Rechten? Möglich bzw. sinnvoll wäre auch eine solche Variante: Der Anwender kann sich per Betriebsvereinbarung oder per Mausklick bei Bestellung eines Workspace-Services im Service-Katalog für ein per SLA garantiertes Security-Level entscheiden. Er hat dann die Wahl: Entweder wird sein Umgang mit dem digitalen Workspace zu Security-Zwecken getrackt und er erhält damit den bestmöglichen Service; oder aber er wählt aus Datenschutzgründen die Opt-out-Variante. Dies bedingt dann, dass er auf bestimmte Daten nur mit dem Firmen-PC und nur auf dem Firmengelände zugreifen kann, dass ein Arbeiten im Home Office ausgeschlossen ist, statt bequemer Apps der Umweg über ein VPN nötig ist oder USB-Ports am PC gesperrt sind. Vor diese Wahl gestellt, dürfte sich das Gros der Endanwender freiwillig für die bequemere – aber zugleich sichere – Variante entscheiden.
Für Unternehmen, die ihre Netzwerke nicht oder nur unzureichend schützen, ist es keine Frage, ob sie angegriffen werden, sondern wann sie angegriffen werden. Es ist reine Glückssache, mit unzulänglichem Schutz längerfristig ungeschoren davonzukommen. Und vom Glück allein machen sich Unternehmen ja sonst auch nicht abhängig – vor allem nicht im Zeitalter der Digitalisierung, in dem viele Geschäftsprozesse gerade durch die Digitalisierung auch professionellen Schutz benötigen.
Die Autorin
Nadia Bischof
Nadia Bischof ist Geschäftsführerin der Region Alps bei Matrix42. www.matrix42.com

Das könnte Sie auch interessieren