IT-Sicherheit in der digitalen Revolution

Die Bedrohungslage für Unternehmen und Organisationen verändert sich, das zeigen die jüngsten Angriffe auf Systeme wie beispielsweise die "WannaCry"-Attacke. Europol registrierte über 230.000 Rechner in 150 Ländern, die von der Ransom-Software befallen wurden. Betroffen sind staatliche Institutionen wie das russische Innenministerium oder der britische National Health Service ebenso wie öffentliche Einrichtungen, wie Krankenhäuser oder große Unternehmen wie die spanische Telefongesellschaft Telefónica und der französische Autobauer Renault. Sicherheitsexperten gehen davon aus, dass die Urheber der Attacke eine Schad-Software einsetzten, die eigentlich vom US-Geheimdienst National Security Agency (NSA) stammt, jedoch in falsche Hände geraten ist.

Die WannaCry-Attacke ist das jüngste Beispiel für groß angelegte Cyber-Attacken, die Unternehmen und Behörden immer größere Sorgen bereiten. 74 Prozent der IT-Sicherheitsentscheider in Unternehmen stufen das Risiko von Cyber-Angriffen als hoch oder sehr hoch ein und bezeichnen diese als größte Bedrohung, ergab eine Befragung von nahezu 800 IT- und IT-Security-Entscheidern in Deutschland durch Computerwoche und CIO. Doch sind Cyber-Attacken längst nicht die einzige Gefahr für die IT-Sicherheit. Auf Platz zwei der Sicherheitsbedrohungen (64 Prozent der Befragten) stehen Nachlässigkeiten der eigenen Mitarbeiter, gefolgt von Industriespionage (52 Prozent) an dritter Stelle.

Bereits heute zeigt sich, dass die gängigen Sicherheitskonzepte angesichts der technologischen Weiterentwicklung im Rahmen der digitalen Revolution nicht mehr greifen oder zu aufwendig und teuer sind, um bei der Vielfalt der Anwendungsmöglichkeiten einen ausreichenden Schutz zu bieten. Je komplexer die Technologie, desto größer wird das Spektrum der Bedrohungen. Am stärksten wird dieser Veränderungsprozess von den folgenden vier Entwicklungen vorangetrieben:

• Verlagerung von IT und Anwendungen in die Cloud

• Zunahme mobiler Anwendungen

• die Entwicklung des Internets der Dinge

• APIs und die Entwicklung der Plattform-Economy

Mindestanforderungen an die IT-Sicherheit im Cloud-Betrieb

Die sukzessive Verlagerung von Workloads und Daten in die Cloud stellt neue Anforderungen an die IT-Sicherheit in Unternehmen und Organisationen. Welche das sind, listet das Marktforschungsinstitut Forester in einer Studie über Provider von Cloud Security Gateways auf:

• Erkennen und blockieren ungewöhnlicher oder betrügerischer Aktivitäten verbunden mit Cloud-DatenBeispiel: Ein Vertriebsmitarbeiter einer Firma ruft im Normalfall zehn bis fünfzehn Kundendatensätze pro Tag auf. Lädt ein Mitarbeiter nun mehrere Tausend pro Tag herunter, ist dies ein klares Zeichen für eine verdächtige und wahrscheinlich betrügerische Aktivität. Es ist wichtig, dass die Sicherheitsfachkräfte schnellstmöglich von dieser Abweichung erfahren, um die fragliche Benutzersitzung zu unterbrechen und dem Anwender den weiteren Zugang zum Unternehmensnetzwerk zu blockieren.

• Erkennen, neutralisieren und eliminieren von Malware in Cloud-PlattformenSpeicher- oder Arbeitsplattformen wie Box, Dropbox oder OneDrive sind aufgrund ihrer einfachen Bedienung weit verbreitet. Sie bergen aber die Gefahr, dass mit den hochgeladenen Daten Malware in das Unternehmensnetzwerk eingeschleust wird. Traditionelle Endpoint Data Protection Software kann Malware, die sich auf der Cloud-Plattform befindet, nicht erkennen. Häufig gelangen Hacker deshalb an Anmeldedaten von Administratoren, erhalten so freien Zugang zu sensiblen Anwendungen und können einfach vertrauliche Unternehmensdaten absaugen.

• Erkennen und überwachen unbefugter Nutzung von Cloud-Anwendungen und -PlattformenIn großen Unternehmen speichern Mitarbeiter Daten häufig auf Cloud-Plattformen wie Dropbox und OneDrive, obwohl es von der IT-Abteilung ausdrücklich verboten ist. Das kann zu Datenverlust, hohen Kosten und einer Schwächung der Kontrolle über die Cloud-Daten führen.

• Schutz gegen das Durchsickern von vertraulichen InformationenDie von Forrester Befragten gaben an, dass durch Mitarbeiter unwissentlich wertvolle Unternehmensdaten über Cloud-E-Mail oder Speicherplattformen nach außen fließen, wie beispielsweise Tabellen mit persönlichen Angaben oder Musterschaltpläne mit geistigem Eigentum. Damit erhöht sich das Risiko für Datenschutzverletzungen und es gefährdet die Zukunftspläne des Unternehmens. Außerdem verstößt es gegen Compliance-Regelungen und Gesetze wie PCI, SOX und HIPAA. Traditionelle Lösungen zur Data Leak Prevention (DLP) bieten hierfür keinen Schutz.

• Verschlüsselung von strukturierten und unstrukturierten Daten in Cloud-PlattformenVerschlüsselte Daten können von Cyber-Kriminellen nicht so einfach zu Geld gemacht werden. Sie bieten weniger Anreiz zum Stehlen.

• Unterstützung zur Ermittlung verdächtiger Anwender und StörfälleSicherheits- und Risikoverantwortliche benötigen eine integrierte Plattform, die nicht nur Informationen darüber liefert, wer was wann gemacht hat, sondern auch ein nutzerfreundliches Dashboard, das die Ergebnisse visualisiert.

Neuer konzeptioneller Ansatz

Forrester definiert die genannten Maßnahmen als Mindestanforderung, die Unternehmen an einen Provider für Cloud Security Gateways stellen sollten. Um sie zu erfüllen, setzen die Anbieter von Sicherheits-Software auf künstliche Intelligenz und maschinelles Lernen sowie auf Datenanalyse-Tools zur Überwachung von Abweichungen im Nutzerverhalten.

Hersteller wie Symantec und Beratungsunternehmen wie DXC empfehlen Unternehmen und Behörden einen neuen konzeptionellen Ansatz, der die Möglichkeiten dieser Hintergrundtechnologien berücksichtigt. Dazu ist es aber zunächst wichtig, dass die Verantwortlichen die Cloud als zentrales Element der Unternehmensstrategie anerkennen. "Nur so ist sichergestellt, dass die Cyber-Security von Anfang an beim Transformationsprozess bedacht und berücksichtigt wird", sagt Robert Arandjelovic, EMEA Director of Product Marketing bei Symantec (erfahren Sie mehr in diesem Artikel).

Angesichts der zunehmenden und sich ständig ändernden Angriffsmethoden ist niemand mehr vor erfolgreichen Angriffen sicher. In einem Report zum Thema "Cyber Resilience in the Fourth Industrial Revolution" empfehlen die Autoren den Anwendern, sich nicht allein mit der Vermeidung von Risiken zu befassen, sondern auch den Umgang und das Management der Risiken - Stichwort Resilienz - zu berücksichtigen. Es geht darum, lernfähige Systeme aufzubauen, die schnell auf Angriffe reagieren können, so dass die Geschäftstätigkeit nicht unterbrochen wird. Deshalb setzt Symantec auf ein proaktives Sicherheitskonzept, bei dem die Systeme ständig überprüft werden, um das Risiko zu mindern.

Das innovative Konzept von Symantec möchte anstelle von singulären Lösungen, die an den Schnittstellen leicht kompromittiert werden können, einen ganzheitlichen Schutz für sämtliche Nutzer bieten, der überdies auf einfache Weise zu administrieren ist. Neu ist an diesem Ansatz, dass Nutzerprofile erstellt werden, damit Auffälligkeiten und Verhaltensabweichungen aufgespürt werden können. "Wir verfolgen die Idee einer komplexen Nutzerdefinition", sagt Symantec-Manager Arandjelovic. Dabei werden die im Netzwerk kursierenden Daten überwacht, um Anomalien im Nutzerverhalten aufzuspüren und auf diesem Wissen basierende Entscheidungen zu treffen.

Datenschutz beim Internet der Dinge

Eine weitere Herausforderung für Sicherheitsverantwortliche entsteht durch das Internet der Dinge (IoT). Eine Vielzahl neuer Produkte, die von vielen verteilten Nutzern verwendet werden, gilt es abzusichern. "Falsch implementierte IoT-Produkte können den Datenschutz aushebeln und schlimmstenfalls sogar Menschenleben in Gefahr bringen", schreiben Mitarbeiter von DXC Technology in einem Analyse-Papier. "Bisher war der Verantwortungsbereich der IT durch wohlbekannte Systeme innerhalb von Rechenzentren oder einzelnen Unternehmen begrenzt", resümieren die Autoren des DXC-Papiers.

Diese Grenzen gelten in der IoT-Welt nicht mehr. Die Sicherheitsstruktur wird verteilt sein und sich auf Informationen und Geräte ausweiten müssen, die sich in anderen Umgebungen und außerhalb des Unternehmens befinden. "Der Fokus sollte daher auf Risikomanagement und das Verständnis gelegt werden, wo sich Informationen befinden und welchen Wert sie für das Unternehmen haben. Diese Erkenntnisse müssen mit den Geschäftszielen und allgemeinen Geschäftsrisiken verknüpft werden. Bei der Entwicklung von "Dingen" für das Internet müssen Sicherheitsaspekte genauso von Anfang an bedacht werden, wie ihre Upgrade-Fähigkeit und ihre Resilienz.

Basis für eine gute Partnerschaft

Da das Management der Security-Services aufgrund dieser Entwicklungen immer komplexer wird, bietet es sich für Unternehmen und Organisationen an, auch das Thema Sicherheit im Rahmen der Transformation an einen Provider auszulagern. Das kann in vielen Fällen zu einer Verbesserung führen, wie Andreas Wuchner, Chief Technology Officer Security Innovation bei DXC Technology, im Interview mit BVEx erläutert: "Für die Mehrzahl der Firmen bringt externe Hilfe in Form eines Managed Security Service den Reifegrad einen großen Schritt nach vorne. Es gibt allerdings auch einzelne Fälle, wo Regularien mehr Komplexität bringen".

Großen Unternehmen, die eine Hybridlösung betreiben, empfiehlt er, die operativen Fähigkeiten eines Service Providers mit den intern vorhandenen Kenntnissen über die Security- und Business-Prozesse und -Anforderungen zu kombinieren. Wuchner: "Eine gute Mischung aus Outtasking operationeller Tätigkeiten an einen erfahrenen Partner plus Wissen und Verständnis über vorhandene Risiken und Business-Aktivitäten innerhalb des Unternehmens schafft eine gute Basis für eine erfolgreiche Partnerschaft".