Endpoint Security

Unverhofft kommt oft

16.11.2021 von Iris Lindner

Cyberangriffe auf Unternehmen gehören zum Tagesgeschäft - trotz vorhandener Technologien lässt sich der Endpoint schwer schützen. Das liegt unter anderem an der Awareness.

Ist eine Schwachstelle ungeschützt, sind böswillige Angreifer meist nicht weit.
Foto: Sergey Zavkov - shutterstock.com

Es ist nicht zu leugnen, dass Remote Working einen großen Einfluss auf die Endpoint Security hat. Vor allem den Zugang auf Firmenapplikationen und -daten betreffend haben die Unternehmen in den vergangenen Monaten extrem aufgerüstet. Doch Ransomware und Spear Phishing sind nach wie vor gefürchtet. Besonders, weil Web-Applikationen und die Public Cloud bei Angreifern und Usern gleichermaßen beliebt sind. Allerdings haben die meisten Unternehmen gelernt, dieser Tatsache ins Auge zu sehen. Sie wissen, dass sie den Endpoint nicht mehr richtig absichern können und jederzeit ein Angriff stattfinden kann. Es geht also darum, diesen rechtzeitig zu erkennen. Deshalb haben viele den strategischen Shift weg vom reinen Protection-Ansatz hin zu einem Detection-and-Response-Ansatz bereits vollzogen und fühlen sich somit auf Ransomware gut vorbereitet.

Warum ist dennoch täglich in den Nachrichten zu lesen, dass wieder ein Unternehmen gebreached wurde, obwohl nur ein Bruchteil der Unternehmen dies auch an die Behörden meldet? Die Technologie ist mit Machine-Learning-Algorithmen und AI längst in der Lage, derartige Bedrohungen rechtzeitig aufzuspüren. Um Angreifer aber tatsächlich an ihrer Tätigkeit zu hindern, gehören neben der Technologie auch Prozesse und Menschen dazu. Hier liegen die Herausforderungen nicht nur aufseiten der Administratoren, welche die sehr umfangreichen Lösungen am Ende noch bedienen können müssen. Vor allem im Mittelstand sind nicht genügend Experten vorhanden, die sich ausschließlich um Endpoint Security kümmern.

Informationen zu den Partner-Paketen der Studie 'Endpoint Security 2022'

Der Wunsch ist groß, die Scheu noch größer

Vor zwei Jahren gaben in der vorangegangenen IDG-Studie knapp ein Fünftel der Unternehmen an, entsprechende Endpoint-Security-Lösungen konkret im Einsatz zu haben. Man möchte meinen, dass vor allem in den vergangenen 18 Monaten die Anzahl deutlich gestiegen ist. Doch die Beobachtungen der Experten zeigen ein anderes Bild: Zwar ist der Bedarf an Detection-and-Response-Lösungen vor allem bei den KMUs merklich gestiegen, die Umsetzung allerdings stockt. Und das hat mehrere Gründe.

Meist scheitert die Umsetzung an den Kapazitäten der IT-Security-Abteilungen, die schon vor der Einführung einer EDR-Lösung sehr stark belastet waren. Um die fehlende Manpower auszugleichen, braucht es ein Konzept und die Unterstützung eines Partners oder Managed-Services-Angebote. Hier spielt das Vertrauen in den Dienstleister eine entscheidende Rolle. Immer noch haben viele Schwierigkeiten damit, einem Dienstleister den Zugang zu ihren Daten zu gewähren. Selbst dann, wenn sie unter der Knappheit der Security-Ressourcen leiden und mit der Vielzahl an Angeboten komplett überfordert sind. Hinzu kommt, dass es oft auch an Basics wie dem Patch-Management mangelt.

Nicht selten liegt eine große Hürde darin, historisch gewachsene Infrastrukturen entsprechend zu ändern, damit Security nicht getrennt von der Applikation betrachtet wird. Darüber hinaus sind viele Firmen erst auf dem Weg in die Cloud und im Mittelstand muss oft noch das Thema SOC aufgebaut werden. Und schließlich sind die Kosten ein entscheidendes Kriterium. So führen die in Deutschland ausgeprägte Scheu vor einem Outsourcing und die nach wie vor sehr starke Preis-Leistungs-Diskussion zu einer DIY-Mentalität. Die Erkenntnis, dass man Cybersecurity in jeglicher Ausprägung nicht selbst machen kann, kommt meist dann, wenn das Unternehmen gebreached wurde. Um es gar nicht so weit kommen zu lassen, führt kein Weg daran vorbei, externe Hilfe schon relativ früh in Anspruch zu nehmen und sich auch strategisch entsprechend aufzustellen.

Virtueller Roundtable "Endpoint Security"

Jörg von der Heydt, Bitdefender
„Wir beobachten oftmals, dass bei produzierenden Unternehmen die Prozesse sehr modern und digital sind, das Thema Security aber nicht immer Top-Priorität hat. Hinzu kommt, dass Fachkräftemangel und Budgeterwägungen fehlendes Fachwissen zur Folge haben. Kommt es in einem solchen Umfeld zu einem Vorfall, fällt die Reaktion, positiv formuliert, bisweilen etwas hemdsärmelig und mit ständigem Blick auf die Kosten aus. Das ist eine riskante Strategie, denn sie kann weitere Betriebsausfälle mit all ihren Konsequenzen zur Folge haben. Die gesamte IT- und OT-Umgebung securityseitig auf aktuellen Stand zu bringen hat seinen Preis. Das muss innerhalb der Chefetage frühzeitig und klar kommuniziert und eingefordert werden. In vielen Fällen sind externe Managed Security Services über Systemhäuser oder direkt vom Hersteller hier eine gute, sichere und schnell verfügbare Lösung.“

Michael Tegtmeier, Bücker IT
„Häufig wird bei größeren Mittelständlern nicht zuletzt aus Kostengründen von der C-Ebene eine Entscheidung für eine Lösung getroffen, ohne die Fachabteilungen zurate zu ziehen. Die Fachabteilungen müssen schlicht und ergreifend damit leben. Doch wurde diese Entscheidung tatsächlich im Sinne der Security getroffen? Der Punkt ist: Nur was ich kenne und was ich vermeiden kann, kann ich letztendlich auch kontrollieren. Als Hobbypilot bringt es mir nichts, in eine 747 mit 300 Schaltern einzusteigen, während ich in meiner Cessna mit nur zehn Schaltern arbeite, die ich aber wunderbar bedienen kann. Hier hängt es häufig davon ab, wann diese Unternehmen externe Unterstützung hinzuziehen, um zu entscheiden, was für sie das Richtige ist.“

Torsten Jüngling, Capgemini
„In den nordischen oder angelsächsischen Ländern ist man mit dem Managed-Service-Ansatz schon wesentlich weiter als in Deutschland. Nicht nur, dass bei uns der Kontrollverlust sehr ausgeprägt ist. Gerade bei Mittelstandsunternehmen geht es auch immer ein wenig um die Absicherung der eigenen Position. Derjenige, der outsourct, verliert dadurch ja ein wenig an Macht. Aber: Ein Produktionsunternehmen in der Schwäbischen Alb zum Beispiel wird immer Schwierigkeiten haben, einen Sicherheitsexperten dorthin zu bekommen. Deshalb nehmen viele Unternehmen ihre Security selbst in die Hand, merken aber nach spätestens drei Jahren, dass sie es allein durch den Ressourcenmangel doch nicht schaffen und sich Hilfe holen müssen. Technisches Know-how ist oft da, das allein reicht aber nicht aus.“

Frank Kölmel, Cybereason
„In unserer Ransomware-Studie gaben von mehreren hundert in Deutschland befragten Unternehmen 86 % an, gut vorbereitet zu sein. 70 % wurden jedoch erfolgreich gebreached. Die Schadenssummen betragen großteils bis zu 700.000 $, 10 % liegen zwischen 1,4 und 14 Mio. Folgeschäden wie neue Hardware sind hierbei noch nicht eingerechnet. Die Angreiferseite ist eine Milliarden-Industrie geworden, wie die Entwicklung bei Ransomware as a Service aktuell verdeutlicht. Das heißt: Je stärker die Angriffsseite sich ausprägt, umso mehr muss ein Unternehmen aufrüsten, um gewappnet zu sein. Dieses gegenseitige Hochschaukeln spielt natürlich eine Rolle, wenn Unternehmen Investitionsentscheidungen treffen. Die meisten glauben, dass eine Sicherheitsinvestition für die nächsten drei bis fünf Jahre ausreichen wird. Bei Security ist dem aber nicht so! Man muss ständig anpassen und sich auf neue Angriffsszenarien vorbereiten.“

Richard Werner, Trend Micro
„Seit über 30 Jahren sprechen wir in der IT und der IT-Security über Endpoint Security als das zentrale Thema. Das liegt daran, dass wir hier eine Monopol-Situation haben, in der Software geschrieben werden kann, die weit über 90 % der Menschen erreicht – zum Beispiel bei Betriebssystemen oder Office-Anwendungen. Wenn wir auch hier wieder monopolistische Ansätze fahren, also einen Ansatz, der für alle Unternehmen gleichermaßen funktioniert, dann haben wir die nächste Welle direkt vor der Haustür. Wir müssen unternehmensspezifisch agieren und dahingehend beraten, wie man auch andere im Unternehmen vorhandene Technologien mit einbinden kann, um ein komplettes Security-Konzept für das gesamte Unternehmen zu entwickeln. Eine Strategie zu entwickeln, statt taktisch von einem zum nächsten zu laufen und zu versuchen, das Loch zu stopfen, wird immer stärker nachgefragt.“

Arno Edelmann, Verizon
„Laut dem aktuellen Data Breach Investigations Report von Verizon sind 85 % der Vorfälle auf unbeabsichtigtes menschliches Handeln zurückzuführen. Um die Security Awareness der Mitarbeiter zu erhöhen, reicht es nicht aus, einen Zettel mit der Definition von Security in die Kantine zu hängen. Es braucht aktive Trainings mit Prüfungen, die gerne etwas schwieriger sein können, denn so müssen sich die Leute intensiv mit dem Thema Security auseinandersetzen. Vor allem aber müssen diese Trainings immer wieder stattfinden, damit die Awareness nicht nachlässt. Denn: Security ist eine Reise, die irgendwann einmal begonnen hat, aber nie aufhört.“

Security braucht Strategie und Budget

Die Zunahme erfolgreicher Angriffe macht jedem Unternehmen klar, dass es ein echtes Problem gibt, um das man sich kümmern muss. Am besten mit einer langfristigen Strategie, um auch vor dem nächsten Angriff geschützt zu sein. Das Automatisieren von Detection and Response kann ein Teil dieser Strategie sein, um den Prozess der Alarmbearbeitung zu optimieren. Vor allem im Mittelstand nimmt Automatisierung großen und schnellen Zulauf. Der Wunsch hier: mit einem Button das Problem löschen. Technologisch ist dies möglich, aber zu Security Operation gehören auch Access- und Identity-Management sowie die Kontrolle von Zugriffen im Internet und noch einiges mehr. Bei einer Automatisierung auf großem Grade wird es schwierig, dies alles zusammenzubringen. Dennoch ist die Konsolidierung von Tools und Plattformen anstelle einer Sammlung von Daten heute bereits zu sehen. Und das wiederum ermöglicht es, trotz der bei uns vorherrschenden Gesetze und Richtlinien die Automatisierung auch voranzutreiben. So, wie es in den skandinavischen Ländern längst geschehen ist.

Doch wer entscheidet am Ende über die Strategie? Im Idealfall der C(I)SO mit Budget-Verantwortung. Je größer das Unternehmen, desto häufiger trifft man ihn auch an. Beim Mittelstand liegt die Herausforderung darin, die Fach- und Budget-Verantwortlichen frühzeitig zusammenzubringen. Wie oft dies versäumt wird, belegt nicht nur die IDG-Studie zur Cloudsicherheit. Auch die Experten in der Runde machen häufig die Erfahrung, dass der CISO erst involviert wird, wenn im bereits laufenden Cloud-Projekt auftretende Sicherheitsanforderungen für Überraschungen sorgen. Diese Sorglosigkeit kommt nicht von ungefähr, denn die Meinung darüber, wie gut man Security-technisch aufgestellt ist, gehen bei Geschäftsführung und den Mitarbeitern am Endpoint sehr weit auseinander. Während nämlich der CIO sein Unternehmen in Sicherheit wiegt, weil es bis dato noch nie zu einem Vorfall kam, wissen die Mitarbeiter um die Lücken in ihren Tools. Ein simulierter Ernstfall brachte schon bei vielen die Kommunikationsdefizite zwischen Geschäftsführung und Fachbereich ans Tageslicht und somit das Thema Awareness in den Fokus.


Studie "Endpoint Security 2022": Sie können sich noch beteiligen!
Zum Thema Endpoint Security führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, hilft Ihnen Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Managed-Services-Studie finden Sie auch hier zum Download (PDF).

Fehler passieren, Angriffe auch

Ransomware, Industriespionage, Identitätsdiebstahl, Diebstahl von geistigem Eigentum und Vorfälle, die von Mitarbeitern bewusst oder unbewusst ausgelöst wurden, zählen nach wie vor zu den größten Bedrohungen am Endpoint. Besonders Letztere haben einen regelrechten Boom bei Awareness-Trainings ausgelöst. Falsche Bedienung, falsche Zertifikate oder falsche Identitäten - nicht immer steckt böse Absicht dahinter. Fehler passieren einfach. Deshalb sprechen Experten auch die klare Empfehlung aus, der Security-Abteilung ein eigenes Budget für Trainings zur Verfügung zu stellen. Durch Zertifizierungen und regelmäßige Prüfungen lässt sich sicherstellen, dass sich die Mitarbeiter nicht nur aktuell, sondern auch in Zukunft mit dem Thema Security beschäftigen. Ein entscheidender Punkt, denn Security entwickelt sich ständig weiter.

Beispielsweise bewirkt das immer stärker aufkommende Edge Computing eine starke Veränderung beim Endpoint-Management. Die typische Infrastruktur verschwindet und Endpoints kommunizieren völlig losgelöst von jeglicher Managebar- und Kontrollierbarkeit. Weder eine Standardplattform noch ein einzelner Outsourcing-Dienstleister reichen hier aus, um den Wunsch der Unternehmen, mit der Cloud-Strategie ein allumfassendes Security-Management zu erhalten, zu erfüllen. So konzentrieren sich aktuelle Entwicklungen zum einen auf Zero-Trust-Konzepte, um in der mobilen Arbeitswelt sowohl die Identität des Mitarbeiters sicherzustellen als auch die Sicherheit der Geräte und Verbindungen. Zum anderen geht der Trend zu Lösungen und Konzepten, die verschiedene Technologien unter ein Dach bringen, um verhaltensbasiert Angriffe zu entdecken, zu bewerten und zu eliminieren. Denn auch wenn der Endpoint immer flexibler wird - die Tatsache, dass er für den Angreifer das Wertvollste ist, bleibt gleich.

Informationen zu den Partner-Paketen der Studie 'Endpoint Security 2022'