Top 100 - IT-Sicherheitssoftware
Unternehmen wollen vor Geheimdiensten nicht kapitulieren
Gewohnheitstier - als solches bezeichnet ein bekanntes Sprichwort den Menschen. Und gewöhnt haben wir uns schon längst, ob gewollt oder nicht, an das Wissen, dass wir alle - Privatleute wie Unternehmen - von Geheimdiensten weltweit überwacht und ausspioniert werden - mit teils kriminellen Methoden. 16 Monate nach Beginn der Snowden-Veröffentlichungen hat sich die große öffentliche Aufregung gelegt, nur die obligatorische wöchentliche neue Information aus dem Kosmos der Geheimdienste lässt einige Journalisten und Mediennutzer ab und an kurz die Augenbrauen hochziehen.
Technologie braucht Sicherheit
Gewöhnt haben sich deshalb auch viele Unternehmen an die Erkenntnis, dass sie die völlige Sicherheit ihrer Systeme und Daten niemals werden erreichen können. Ob es aber gleich die "Kapitulation der IT-Sicherheit" sein muss, die Chaos-Computer-Club-Sprecher Frank Rieger auf dem Bonner Dialog für Cyber-Sicherheit ausrief? Sicherlich nicht: Viele Anwender wollen zumindest versuchen, sich bestmöglich zu schützen. Schon allein deshalb, damit die Geheimdienste wenigstens etwas Gegenwind spüren. Aber das ist nicht der einzige Grund: "Je technologischer viele Unternehmen werden, desto mehr digitale Daten und mögliche Angriffspunkte müssen sie schützen", kommentiert Ruggero Contu, Analyst beim Marktforschungsunternehmen Gartner.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
So ist es kein Wunder, dass Anwender weltweit im vergangenen Jahr Gartner-Erhebungen zufolge satte 20 Milliarden Dollar für Sicherheitssoftware ausgegeben haben, fast eine Milliarde mehr als noch 2012. Und der Trend zeigt auch für das laufende Jahr weiter steil nach oben. Contu beobachtet insbesondere eine Entwicklung: "Auffällig ist die Demokratisierung von Sicherheitsrisiken, weil Schadsoftware und zugehörige Infrastruktur durch die Untergrundwirtschaft immer leichter zugänglich werden. Jeder kann heute gezielte Angriffe initiieren. Durch diese Allgegenwärtigkeit von Bedrohungen realisieren Unternehmen nun, dass ihre traditionellen Sicherheitsbemühungen Lücken aufweisen und überdacht werden müssen."
Wer früh erkennt, schützt besser
Betrachtet man die gefährlichsten Bedrohungen der vergangenen Monate, stößt man unweigerlich auf viele alte Bekannte: DDoS, Social Engineering, Phishing, Hacking, Identitätsdiebstahl und - als "Königsdisziplin" sozusagen - auf Multivektorangriffe, die mehrere oder gleich alle dieser Methoden miteinander kombinieren. Die Angreifer - unter ihnen längst nicht nur Geheimdienstler - werden zunehmend professioneller und haben heute einen Reifegrad erreicht, der seinesgleichen sucht. "Die erfolgreichsten Angriffe sind in der Regel eine Kombination aus mehreren Vektoren und damit auch umso schwerer zu entdecken", erklärt Dror-John Röcher, Berater für IT-Sicherheit bei Computacenter. Es sei daher zunehmend wichtig, Attacken rechtzeitig zu erkennen, um sie abwehren zu können. "Die Prävention heute ist schon gut, aber in der Detektion müssen wir besser werden", weist Röcher darauf hin, dass gerade viele mittelständische Unternehmen nach wie vor nicht wissen, wann und wie sie unter digitalen Beschuss geraten.
Um diese Erkenntnis in die Fläche zu tragen, startete Bundesinnenminister Thomas de Maizière kürzlich den erneuten Versuch, ein IT-Sicherheitsgesetz auf die Straße zu bringen - inklusive Meldepflicht. Wer Opfer eines Cyber-Angriffs wird, soll diese Information bald an öffentliche Stellen weitergeben müssen - in anonymisierter Form. Dadurch würden die Unternehmen angehalten, ihre Erkennungssysteme zu überarbeiten und besser auf die Aktivitäten innerhalb ihrer Netze zu achten. "Sie müssen eine Sensorik aufbauen, um Vorfälle schnell und rechtzeitig zu erkennen - deshalb ist die Meldepflicht wirklich hilfreich", meint auch Röcher.
- Jeder weiß selbst am besten, welche Gefahren konkret drohen
Oft wird über Gefahren gesprochen, als wären sie universell. Das ist in Ordnung, wenn es um weltweite Trends geht, eignet sich aber nicht, um auf konkrete Unternehmen einzugehen. Unternehmensgröße, Branche und der Wert, den Informationen für das Unternehmen haben, sind nur einige der Faktoren, die etwas über etwaige Gefährdungen aussagen. Die internen Sicherheitsverantwortlichen wissen am besten, welche Angriffe am wahrscheinlichsten sind und sollten ihrer Expertise trauen, anstatt sich ausschließlich auf den Anti-Malware-Anbieter zu verlassen. - Sicherheit und Big Data sind direkt vernetzt
Lange haben Sicherheitsanbieter geflissentlich Daten über Angriffe gesammelt, analysiert und entsprechende Verteidigungsmechanismen entwickelt. Während sich die Vorgehensweise als solche nicht sehr geändert hat, ist die Datenmenge exorbitant angestiegen – jedes Jahr werden Millionen neue Gefahren entdeckt, gegen die sich Unternehmen tagtäglich schützen müssen. Gleichzeitig sind die meisten davon sehr kurzlebig, so dass die erste Entdeckung oftmals auch gleich das letzte Mal ist, dass sie gesehen werden. Ein Ende dieses Datenwachstums ist nicht in Sicht. - Das Zusammenspiel von Systemen ist Pflicht
Neue Gefahren werden mit neuen Technologien bekämpft – die sehr oft nur unabhängig von anderen funktionieren und nicht kompatibel sind. Erkennt also eine Technologie eine Gefahr, dann wird sie blockiert – allerdings nur auf Systemen, die diese Technologie nutzen. So gehen sehr viele Kontextinformationen verloren, die gerade in Zeiten komplexer Sicherheitsbedrohungen wichtig für einen möglichst umfassenden Schutz sind. Collaboration ist demnach Pflicht, integrierte Systeme sind erfolgreicher als unabhängige. - Aus dem einen Endpunkt sind viele Endpunkte geworden
Traditionelle Anbieter von Anti-Malware-Lösungen haben sich oft auf „den einen Endpunkt“ konzentriert. Im Kampf gegen Advanced Malware werden allerdings ganzheitlichere Konzepte gebraucht. Angriffsziele sind über das gesamte Unternehmen verstreut – denn was hilft es, wenn klar ist, welcher Endpunkt angegriffen wird, aber nicht, welche Auswirkungen das auf andere Komponenten hat? Sicherheitsverantwortliche brauchen eine umfassendere Perspektive, um effektiv gegen Advanced Malware vorzugehen. - Es reicht nicht mehr, Angriffe nur zu entdecken
Häufig haben die Sicherheitsverantwortlichen keinen ausreichenden Überblick über aktuelle Angriffe. Zudem fällt es ihnen oft schwer, die Kontrolle über die Systeme nach einer Attacke zurückzugewinnen. Obwohl es wohl nie eine 100-prozentige Absicherung geben wird, sollten Unternehmen und Anbieter dennoch kontinuierlich in die Entwicklung neuer Technologien investieren – und zwar nicht nur, um Gefahren schnell zu entdecken, sondern auch, um sie zu bekämpfen, zu analysieren und zu kontrollieren. <br /><br /><em>(Tipps zusammengestellt von Volker Marschner, Security Consultant bei Sourcefire/Cisco)</em>
Einen Schritt weiter sind indes viele Großunternehmen, die sich bereits mit dem Aufbau eines Information-Security-Management-Systems (ISMS) beschäftigen. Hier wird Security nicht mehr nur als rein technisches Thema, sondern als Business-Enabler gesehen, ohne das kritische Geschäftsprozesse nicht länger realisierbar sind. Oliver Schonschek, Experton Group Research Fellow, blickt voraus: "Die IT-Sicherheit wird sich im kommenden Jahr zu einer Identitäts- und Informationssicherheit wandeln müssen. Sicherheitskonzepte alleine auf der Ebene von Geräten oder Anwendungen haben ausgedient. Die massenhaften Fälle von Identitäts- und Datendiebstahl der vergangenen Monate zeigen dies eindrücklich." Er betont aber auch, dass viele Manager nach wie vor noch zu reaktiv handelten, wenn es um IT-Sicherheitsrisiken gehe. Ein branchenübergreifendes IT-Sicherheitsgesetz könnte auch dies bald ändern.
"Revival des Endpoint"
Und was erwartet die Hersteller? Hier sind auf absehbare Zeit neue Ideen gefragt. "Wenn ich heute ein Security-Startup gründen würde - von denen es meiner Meinung in Deutschland zu wenige gibt -, dann würde ich mich um den Endpunkt und um die Automation einer technischen Analyse von Vorfällen kümmern", sagt Computacenter-Experte Röcher. Seiner Meinung nach stünde die Branche sogar vor "einem Revival des Endpoint", weil insbesondere kritische Infrastrukturen und Industrieanlagen nur mithilfe von Whitelisting-Lösungen wirklich abgesichert werden könnten. "Sobald sich die Ernüchterung über das Antivirenthema gelegt hat, sind Forschungsprojekte wie Microvisor-Virtualisierung, die jeden Prozess in einer eigenen Sandbox verarbeiten, auf dem Vormarsch", so Röcher. Was die technische Analyse von Sicherheitsvorfällen angeht, kann er sich überdies gut neue Player und Produkte für Instant Response vorstellen. Hierbei handelt es sich um Systeme, die schnell herausfinden, wo sich eine bestimmte Malware im Netz befindet und was sie bereits "angestellt" hat.