IT-Sicherheitssoftware

Unternehmen wollen vor Geheimdiensten nicht kapitulieren

15.10.2014 von Simon Hülsbömer
Wer den kriminellen Machenschaften der Geheimdienste etwas Gutes abgewinnen möchte, schaut sich die gestiegene Sensibilität für Sicherheitsthemen an. Viele Anwender geben sich kämpferisch und investieren kräftig.

Gewohnheitstier. Als solches bezeichnet ein bekanntes Sprichwort den Menschen. Und gewöhnt haben wir uns schon längst, ob gewollt oder nicht, an das Wissen, dass wir alle - Privatleute wie Unternehmen - von Geheimdiensten weltweit überwacht und ausspioniert werden - mit teils kriminellen Methoden. 16 Monate nach Beginn der Snowden-Veröffentlichungen hat sich die große öffentliche Aufregung gelegt, nur die obligatorische wöchentliche neue Information aus dem Kosmos der Geheimdienste lässt einige Journalisten und Mediennutzer ab und an kurz die Augenbrauen hochziehen.

Droht die Kapitulation vor den Geheimdiensten?
Foto: James Thew - Fotolia.com

Technologie braucht Sicherheit

Gewöhnt haben sich deshalb auch viele Unternehmen an die Erkenntnis, dass sie die völlige Sicherheit ihrer Systeme und Daten niemals werden erreichen können. Ob es aber gleich die "Kapitulation der IT-Sicherheit" sein muss, die Chaos-Computer-Club-Sprecher Frank Rieger auf dem Bonner Dialog für Cybersicherheit ausrief? Sicherlich nicht: Viele Anwender wollen zumindest versuchen, sich bestmöglich zu schützen. Schon allein deshalb, damit die Geheimdienste wenigstens etwas Gegenwind spüren. Aber das ist nicht der einzige Grund: "Je technologischer viele Unternehmen werden, desto mehr digitale Daten und mögliche Angriffspunkte müssen sie schützen", kommentiert Ruggero Contu, Analyst beim Marktforschungsunternehmen Gartner.

Gartner: Wie Security einen Unternehmenswert erzeugt
Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb.
Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können.
Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen.
Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen.
Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs.
Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen.
Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.

So ist es kein Wunder, dass Anwender weltweit im vergangenen Jahr Gartner-Erhebungen zufolge satte 20 Milliarden Dollar für Sicherheitssoftware ausgegeben haben, fast eine Milliarde mehr als noch 2012. Und der Trend zeigt auch für das laufende Jahr weiter steil nach oben. Contu beobachtet insbesondere eine Entwicklung: "Auffällig ist die Demokratisierung von Sicherheitsrisiken, weil Schadsoftware und zugehörige Infrastruktur durch die Untergrundwirtschaft immer leichter zugänglich werden. Jeder kann heute gezielte Angriffe initiieren. Durch diese Allgegenwärtigkeit von Bedrohungen realisieren Unternehmen nun, dass ihre traditionellen Sicherheitsbemühungen Lücken aufweisen und überdacht werden müssen."

Wer früh erkennt, schützt besser

Betrachtet man die gefährlichsten Bedrohungen der vergangenen Monate, stößt man unweigerlich auf viele alte Bekannte: DDoS, Social Engineering, Phishing, Hacking, Identitätsdiebstahl und - als "Königsdisziplin" sozusagen - auf Multivektorangriffe, die mehrere oder gleich alle dieser Methoden miteinander kombinieren. Die Angreifer - unter ihnen längst nicht nur Geheimdienstler - werden zunehmend professioneller und haben heute einen Reifegrad erreicht, der seinesgleichen sucht. "Die erfolgreichsten Angriffe sind in der Regel eine Kombination aus mehreren Vektoren und damit auch umso schwerer zu entdecken", erklärt Dror-John Röcher, Berater für IT-Sicherheit bei Computacenter. Es sei daher zunehmend wichtig, Attacken rechtzeitig zu erkennen, um sie abwehren zu können. "Die Prävention heute ist schon gut, aber in der Detektion müssen wir besser werden", weist Röcher darauf hin, dass gerade viele mittelständische Unternehmen nach wie vor nicht wissen, wann und wie sie unter digitalen Beschuss geraten.

Um diese Erkenntnis in die Fläche zu tragen, startete Bundesinnenminister Thomas de Maizière kürzlich den erneuten Versuch, ein IT-Sicherheitsgesetz auf die Straße zu bringen - inklusive Meldepflicht. Wer Opfer eines Cyberangriffs wird, soll diese Information bald an öffentliche Stellen weitergeben müssen - in anonymisierter Form. Dadurch würden die Unternehmen angehalten, ihre Erkennungssysteme zu überarbeiten und besser auf die Aktivitäten innerhalb ihrer Netze zu achten. "Sie müssen eine Sensorik aufbauen, um Vorfälle schnell und rechtzeitig zu erkennen - deshalb ist die Meldepflicht wirklich hilfreich", meint auch Röcher.

Einen Schritt weiter sind indes viele Großunternehmen, die sich bereits mit dem Aufbau eines Information Security Management Systems (ISMS) beschäftigen. Hier wird Security nicht mehr nur als rein technisches Thema, sondern als Business-Enabler gesehen, ohne das kritische Geschäftsprozesse nicht länger realisierbar sind. Oliver Schonschek, Experton Group Research Fellow, blickt voraus: "Die IT-Sicherheit wird sich im kommenden Jahr zu einer Identitäts- und Informationssicherheit wandeln müssen. Sicherheitskonzepte alleine auf der Ebene von Geräten oder Anwendungen haben ausgedient. Die massenhaften Fälle von Identitäts- und Datendiebstahl der letzten Monate zeigen dies eindrücklich." Er betont aber auch, dass viele Manager nach wie vor noch zu reaktiv handelten, wenn es um IT-Sicherheitsrisiken gehe. Ein branchenübergreifendes IT-Sicherheitsgesetz könnte auch dies bald ändern.

"Revival des Endpoint"

Und was erwartet die Hersteller? Hier sind auf absehbare Zeit neue Ideen gefragt. "Wenn ich heute ein Security-Startup gründen würde - von denen es meiner Meinung in Deutschland zu wenige gibt -, dann würde ich mich um den Endpunkt und um die Automation einer technischen Analyse von Vorfällen kümmern", sagt Computacenter-Experte Röcher. Seiner Meinung nach stünde die Branche sogar vor "einem Revival des Endpoint", weil insbesondere kritische Infrastrukturen und Industrieanlagen nur mithilfe von Whitelisting-Lösungen wirklich abgesichert werden könnten. "Sobald sich die Ernüchterung über das Antivirus-Thema gelegt hat, sind Forschungsprojekte wie Microvisor-Virtualisierung, die jeden Prozess in einer eigenen Sandbox verarbeiten, auf dem Vormarsch", so Röcher. Was die technische Analyse von Sicherheitsvorfällen angeht, kann er sich überdies gut neue Player und Produkte für Instant Response vorstellen. Hierbei handelt es sich um Systeme, die schnell herausfinden, wo sich eine bestimmte Malware im Netz befindet und was sie bereits "angestellt" hat.

Neun neue Security-Mythen
Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ...
Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert.
Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll.
Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen.
Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden.
Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht.
Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle.
Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift.
Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!