Endpoint Security - IDC Expertentalk

Alarmierende IT-Sicherheits-Erkenntnisse

30.06.2017 von Wafa Moussavi-Amin

Firmen und Behörden haben den Nutzen moderner IT-Security-Konzepte verstanden. Aber wie sieht es mit der Umsetzung aus?

Mit der digitalen Transformation wandeln sich die Geschäftsprozesse und die IT-Landschaft in den Unternehmen massiv. Clouds, Mobility und das Internet of Things (IoT) basieren auf einer umfassenden Vernetzung der IT und einer immer engeren Verknüpfung von Geschäftsprozessen. Die Kehrseite der Medaille: Firmen und Behörden rücken auch hierzulande verstärkt in das Fadenkreuz von kriminellen Hackern.

Die zunehmende Vernetzung erhöht die Gefahr für Unternehmen, ins Visier von Hackern und Cyberkriminellen zu geraten.
Foto: Mashka - shutterstock.com

Täglich werden Unternehmen angegriffen und der weltumspannende Angriff mit der Ransomware "WannaCry" belegte ein weiteres Mal die Verletzlichkeit und das unzureichende Schutzniveau in vielen Unternehmen und Institutionen. An der Frequenz der Angriffe wird sich mittelfristig nichts ändern. Auf einen Rückgang zu hoffen wäre illusorisch. Es kommt jetzt darauf an, die Angriffsfläche so klein wie möglich zu halten, Systeme und Schnittstellen proaktiv zu überwachen und Wiederherstellungspläne in der Hinterhand zu haben.

Um herauszufinden, wo deutsche Unternehmen stehen, welche Strategien und Ansätze sie verfolgen und welche Technologien sie zur Absicherung nutzen, hat IDC die Studie "Next Gen Endpoint Security in Deutschland 2017" durchgeführt. Dazu wurden 280 IT-Entscheider und Anwender aus Unternehmen mit mehr als 100 Mitarbeitern in Deutschland befragt.

Beim IDC Expertentalk zu Next Gen Endpoint Security diskutierten Matthias Zacher (IDC), Richard Werner (Trend Micro), Milad Aslaner (Microsoft), Dr. Daniel Wagenführer (TA Triumph-Adler) und Lynn Thorenz (IDC) (v.l.n.r.).
Foto: IDC, 2017

Die Ergebnisse wurden der IT-Fachpresse im Mai 2017 in München vorgestellt. Neben dem Studienautor Matthias Zacher teilten Milad Aslaner (Microsoft), Dr. Daniel Wagenführer (TA Triumph-Adler) und Richard Werner (Trend Micro) ihre Sicht auf den Markt mit den anwesenden Journalisten. Moderiert wurde die Diskussionsrunde von Lynn Thorenz, Leiterin des Bereichs Research und Consulting bei IDC.

Verschärfte Bedrohungslage

Fakt ist, dass mehr als die Hälfte der befragten Unternehmen sich in den vergangenen zwölf Monaten mit Angriffen auf ihre Informationstechnologie auseinandersetzen musste. Dass die Dunkelziffer bei IT-Sicherheitsvorfällen deutlich höher ist, liegt auf der Hand. Hackerangriffe werden also zu einer immer größeren Herausforderung.

Gelderpressungen, Wirtschaftsspionage, geopolitisch motivierte Attacken und Rufschädigung zählen aktuell zu den häufigsten Motiven der Angreifer. Ob Malware, Ransomware, Angriffe auf mobile Endgeräte oder gezielte Attacken auf definierte Personen oder Abteilungen: Für jede Attacke gibt es die passenden Werkzeuge.

Crimeware-as-a-service: Darknet-Hits

Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.

Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.

Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.

Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.

"Hierbei sehen wir einen verstärkten Fokus auf IoT und das Industrial Internet of Things (IIoT), aber auch auf Angriffe, die auf die Prozesse innerhalb von Unternehmen abzielen und dafür Passwörter beziehungsweise Identitäten benötigen", berichtet Richard Werner, Business Consultant bei Trend Micro. "Die Verteidigung kann deshalb nicht mehr nur auf ein Gerät begrenzt sein, sondern muss darauf fokussieren, wie ein Mitarbeiter sich innerhalb und außerhalb seiner IT-Infrastruktur bewegt."

Vom Gedanken, hundertprozentige Sicherheit erreichen zu können, müssten sich Unternehmen ohnehin verabschieden, ergänzte Werner. Um die Endpoints dennoch bestmöglich abzusichern, steht für Milad Aslaner, Senior Product Manager Windows Commercial und Security bei Microsoft Deutschland, eine wirklich tiefgehende Beschäftigung mit dem Thema sowie eine sorgfältige Analyse aller möglichen Schwachstellen im Unternehmen am Anfang aller Bemühungen.

Im Kern geht es um eine Neuorientierung des Security-Fokus vom bisher dominierenden "Prevent und Protect", das heißt einer eher reaktiv orientierten Sicherheitslandschaft, zum "Detect and Respond" mit dem Ziel einer kontinuierlichen Überwachung in Echtzeit und entsprechenden Maßnahmen als Reaktion auf Auffälligkeiten im System.

Das sind die grössten Sicherheitsrisiken in deutschen Firmen
Foto: IDC, 2017

Die Akzeptanz notwendiger Veränderungen wächst, das unterstreichen auch die Studienergebnisse. Immerhin 77 Prozent der IT-Entscheider stufen "Detect und Respond" als wichtig oder gar sehr wichtig ein. In der Umsetzung der neuen Konzepte zeigen sich nach wie vor große Lücken, wie Meldungen über erfolgreiche Angriffe beinahe täglich beweisen. IT Security verändert sich, entwickelt sich dynamisch. "Eine Technologie, die heute als erfolgreich eingestuft wird, kann möglicherweise schon morgen von Angreifern analysiert und ausgehebelt werden", gibt Richard Werner zu bedenken.

Einigkeit bei allen Experten in der Runde herrscht darin, dass Endpoint Security nur im Zusammenspiel mit weiteren Security-Tools und Security-Prozessen im Unternehmen den höchstmöglichen Schutz bieten kann. "Ein integrativer Ansatz schützt Unternehmen besser als die Summe aller Security-Lösungen", sagt Milad Aslaner. Diese Message ist offenbar auch bei den Anwendern angekommen, 86 Prozent der befragten IT-Entscheider integrieren nach eigenen Angaben bereits Security-Lösungen. Die Integration unterschiedlicher Lösungen verschiedener Anbieter ist dabei das meist verbreitete Modell.

Das Einmaleins der IT-Security

Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter

Dokumentation
Vollständige und regelmäßige Dokumentation der IT

Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.

Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.

E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.

Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.

Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.

Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.

Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.

Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.

Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.

Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.

Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.

Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien

Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten

Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates

Logfiles
Kontrolle der Logfiles

Datensicherung
Auslagerung der Datensicherung

Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen

Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe

WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste

Firewalls
Absicherung der Internetverbindung durch Firewalls

Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie

Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation

Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme

Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe

Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten

Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme

Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme

Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

In der Bewertung der verschiedenen Security-Prozessthemen steht die Integration an erster Stelle und unterstreicht noch einmal die Relevanz für die Anwender. Aus Sicht von IDC ist die Integration beziehungsweise Synchronisation verschiedener Lösungskomponenten ein zwingender Schritt für End-to-End Security-Architekturen. Das Auflösen bisheriger Security-Silos ist dabei ein unumgänglicher Schritt.

Advanced-Security-Lösungen?

Advanced-Security-Ansätze, also weiterführende beziehungsweise tiefergehende Technologien und Lösungen, werden bereits von vielen Unternehmen genutzt. 53 Prozent setzen Security Information & Event Management (SIEM) ein, 51 Prozent Next Generation Firewalls und 41 Prozent Unified Threat Management.

Neuere Lösungsansätze wie Specialized Theat Analysis and Protection (STAP) (31 Prozent) und Breach Detection (21 Prozent) kommen in deutlich weniger Unternehmen zum Einsatz, stehen aber zumindest offensichtlich auf der Agenda vieler Entscheider. Nach Beobachtungen von IDC haben viele Organisationen bisher abgewartet mit einer Einführung. In letzter Zeit seien die Lösungsansätze allerdings deutlich gereift und ließen sich sowohl im Netzwerk als auch auf dem Endpoint einsetzen. Das bringt insgesamt eine neue Dynamik, weiß Matthias Zacher, Manager Research & Consulting bei IDC in Frankfurt. Dennoch: Die Studienergebnisse zeigen, dass erst die Hälfte der deutschen Unternehmen moderne und komplexe Schutzmechanismen der neusten Generation einsetzt. Das komme im Prinzip einer Einladung zum erfolgreichen Angriff gleich, warnt Zacher.

In welche Endpoint Security Lösungen wird in den nächsten beiden Jahren investiert?
Foto: IDC, 2017

Ein wichtiger Baustein von Advanced-Security-Lösungen sind Security Services aus der Cloud, die 38 Prozent der Befragten nutzen. Noch einmal so viele Unternehmen planen die Nutzung innerhalb der nächsten zwölf Monate. Firewalls, Intrusion-Detection-Systeme oder Email Protection können ohne Services aus der Cloud praktisch keinen Echtzeit-Schutz bieten. Zudem hat fast jeder Anbieter analytische Komponenten in seine Endpoint-Lösungen integriert. State-of-the-Art Funktionalitäten wie Machine Learning, Artificial Intelligence oder forensische Analysen nutzen komplexe Algorithmen, um Auffälligkeiten zu erkennen und zu identifizieren.

Endpoint Security: Gefahr erkannt, Gefahr gebannt?

Ohne Frage, dem Schutz von Endpoints kommt eine immense Bedeutung zu. Basistools wie Antivirus, Antispam und Firewalls sind zwar flächendeckend in fast allen Unternehmen vorhanden. Nichtsdestotrotz: Mehr als ein Drittel der befragten Unternehmen investiert bis dato nur reaktiv oder unzureichend in Endpoint Security. Und das kann schnell gefährlich werden. Ebenfalls werden mobile Endpoints wie Smartphones, Tablets & Co. noch nicht ausreichend berücksichtigt - diese Geräte erfordern allerdings ebenfalls starke Sicherheitsmaßnahmen. Vom Internet of Things wollen wir an dieser Stelle gar nicht erst schreiben, denn hier ist bis heute noch völlig unklar, wer für die Sicherheit von IoT-Systemen eigentlich haftet.

"In der Gesamtdiskussion um die Sicherheitsthematik wird ein wichtiger Endpoint oftmals völlig unterschätzt und das ist die MFP- und Druckerlandschaft", wirft Dr. Daniel Wagenführer, General Manager Business Development Sales & Service Group bei TA Triumph-Adler ein. Er sieht dabei zwei Komponenten. Zum einen müssen sensible Daten vor Angriffen von außen auf das Netzwerk geschützt werden, zum anderen wäre da noch das Problem des "internen Hacking". "Generell müssen potenzielle Einfallstore für Datenmanipulation identifiziert und geschlossen werden, so Wagenführer.

IT-Sicherheit: Menschliche Datenschutz-Fails

Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.

Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).

USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.

Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".

Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Viele Advanced-Security-Lösungsansätze sind neu. Das Instrumentarium an Security-Lösungen, das Unternehmen zur Verfügung steht, dürfte einige IT-Security-Verantwortliche vor allem in kleinen und mittleren Unternehmen überfordern, was auch in der Studie sichtbar wurde. Dieser Umstand bringt das Risiko mit sich, dass Security-Tools entweder falsch oder nicht effizient eingesetzt werden - mit unter Umständen vernichtenden Folgen für die Firmen.

Die Studie beweist, dass die Gefahren offenbar in der Fläche erkannt werden. Dennoch sind die Ergebnisse zurückhaltend ausgedrückt alarmierend - auch oder vor allem im Hinblick auf die im Mai 2018 endende Übergangsfrist für die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO).

Es gibt also noch Einiges zu tun in deutschen Firmen und Organisationen - und zwar weit über den DSGVO-Stichtag im Mai 2018 hinaus. Organisatorische Maßnahmen müssen technologische Ansätze begleiten, um die Endanwender für Gefahren zu sensibilisieren. Die Security-Technologien sind vorhanden, nur das Mindset fehlt oftmals. Hier sind nach Ansicht von IDC auch die Anbieter gefordert, neben sicheren Technologien auch entsprechende Hilfestellung anzubieten. (fm)