Das Thema IT-Security hielt im Jahr 2011 alle Verantwortlichen gewaltig auf Trab. Eine Fülle neuer Angriffe durch Botnetze, Malware, Trojaner und Pishing-Attacken bedrohte die Unternehmensdaten beziehungsweise -kommunikation. Eines hat sich im Bereich Security herauskristallisiert: Die Angreifer setzen immer auf "Qualität statt Quantität", da sie gezielt Informationen in Firmen suchen, die sich zu Geld machen lassen. Das bedeutet für die Unternehmen, dass sie noch wachsamer sein müssen als bisher, da jeder Angriff auf sensible Firmendaten einen hohen wirtschaftlichen Verlust nach sich ziehen könnte. Ungeachtet der Planung neuer Security-Konzepte muss der IT-Verantwortliche allerdings darauf achten, dass er die herkömmlichen Abwehrmaßnahmen nicht vernachlässigt.
Worauf sich der Administrator und der Anwender in Bezug auf die künftigen Sicherheitsbedrohungen einstellen müssen, darüber geben die folgenden namhaften Security-Unternehmen Auskunft.
Zusätzlich erörtern die Sicherheitsspezialisten, welche Sicherheitsrisiken das Jahr 2011 geprägt haben und wie die steigende Zahl mobiler Geräte wie Smartphones, Tablets oder Notebooks sowie die Technologien Cloud, Social Media und andere Trends die Sicherheit in den Unternehmen im Jahr 2012 beeinflussen werden.
Markus Hennig, CTO bei Sophos / Astaro
Sascha Krieger, Head of Corporate Communications bei eleven
Stefan Ortloff, Virus Analyst bei Kaspersky Lab
Toralv Dirro, Security Strategist bei McAfee
Thomas Hemker, Principal Systems Engineer bei Symantec
Raimund Genes, CTO bei Trend Micro
2011 - Hacktivisten und Botnetze
Die Artenvielfalt von Angriffen auf einzelne Computer oder auf eine Unternehmens-IT ist vergangenes Jahr ständig weitergewachsen. Wir haben unsere Sicherheitsexperten befragt, was für sie die größten Herausforderungen in puncto Sicherheit 2011 waren?
Markus Hennig, Sophos / Astaro: "Das Jahr 2011 war durch aufmerksamkeitsstarke Internetattacken geprägt, die, unterstützt von der rasch steigenden Nutzung mobiler Geräte im Geschäftsleben, viele neue Plattformen anvisiert haben. Entsprechend sorgten immer mehr schlagkräftige "Hacktivisten"-Gruppen mit ihren virtuellen Firmeneinbrüchen für unschöne Schlagzeilen. Der Kampf gegen diese Gruppierungen steht seit einigen Monaten vermehrt im Fokus und ist lange noch nicht gewonnen - zumal die Aufmerksamkeit von Privatpersonen und Unternehmen aufgrund vermeintlich immer sichererer Systeme abgenommen hat. Hier galt es, die Trägheit zu überwinden und Administratoren für die vielfältigen Bedrohungen zu sensibilisieren."
Foto: eleven
Sascha Krieger, eleven: "Die Sicherheitslandschaft hat sich vor allem im Bereich des E-Mail-Schutzes 2011 spürbar verändert. Einen nicht unwichtigen Anteil daran hatte die Abschaltung des weltgrößten Botnets Rustock im März, woraufhin das weltweite Spam-Aufkommen um zirka 80 Prozent einbrach. Ende Mai war ein erster leichter Spam-Anstieg zu verzeichnen, und erst im August wuchs das Spam-Volumen wieder deutlich an. Das Niveau vor der Rustock-Abschaltung ist bis heute nicht erreicht. Das liegt jedoch weniger an den Verbreitungskapazitäten der Spammer, die ihre Botnet-Infrastrukturen weitgehend ersetzt haben.
Vielmehr lässt sich der dominierende Trend 2011 in drei Wörtern zusammenfassen: Qualität statt Quantität.
Egal ob Spam, Malware oder Phishing: Es geht weniger darum, möglichst große Mengen unerwünschter oder gefährlicher E-Mails zu versenden. Im Zentrum steht zunehmend das Ziel, E-Mails professioneller zu gestalten, um die Öffnungsrate deutlich zu verbessern. So machten beispielsweise die Viagra-Spammer, die von der Rustock-Abschaltung am stärksten betroffen waren, aus der Not eine Tugend: Statt mit eindeutigen Betreffzeilen für ihre Produkte zu werben, nahmen sie zunehmend populäre Ereignisse als Vorwand. Sie versprachen exklusive Meldungen oder Bilder in der Hoffnung, dass der Nutzer auf diese Weise auf eine Seite des Anbieters von Viagra & Co. gelangt und eher bereit ist, auch einzukaufen. Im Bereich Phishing war eine starke Regionalisierung zu beobachten. So wurden deutsche E-Mail-Nutzer vor allem mit falschen Nachrichten deutscher Banken oder Behörden attackiert, die auch in Deutsch verfasst waren. Damit steigt die Wahrscheinlichkeit, dass der Empfänger die Nachricht als echt empfindet. Ähnliche Trends lassen sich ebenso im Bereich Malware beobachten.
Zum Thema "Qualität statt Quantität" gehören auch sogenannte "Blended Threats": 2011 war gekennzeichnet von einer Zunahme von E-Mails, die mehr als einem Zweck dienten, beispielsweise Phishing und Malware-Verbreitung gleichzeitig. Auch bei der Art der Verbreitung gibt es Verschiebungen, wobei die Botnets ihre dominierende Rolle beibehalten haben. Gleichzeitig versuchen Online-Kriminelle jedoch zunehmend, E-Mail-Konten zu hacken, um über diese Spam abzusetzen. Verstärkt beobachten wir Phishing-Angriffe, die auf Zugangsdaten für E-Mail-Konten abzielen. Ähnliches gilt für Facebook- oder Twitter-Konten. Schutzmaßnahmen gegen Phishing sollten daher im Mittelpunkt jeder E-Mail-Sicherheitsstrategie stehen.
Auch wenn das Spam-Wachstum zunächst gestoppt scheint: Die massenhafte Verbreitung von Spam, Phishing und Malware bleibt das A und O der E-Mail-Kriminalität. Um profitabel zu sein, müssen diese E-Mails weiterhin in großer Zahl versandt werden. Allerdings scheint derzeit ein Niveau erreicht zu sein, das die Urheber dieser Kampagnen zufriedenstellt und ihnen die Möglichkeit gibt, durch professionellere Kampagnen die Öffnungsraten zu steigern."
Stefan Ortloff, Kaspersky Lab: "Die stark gestiegene Anzahl von mobilen Schädlingen, besonders für die Android-Plattform. Des Weiteren war 2011 das Jahr des "Hacktivism" und "APT" (Advanced Persistent Threat: gezielte, verdeckte Cyber-Attacke) mit der Entdeckung von "Duqu". Auch die Angriffe auf die SSL-Zertifikat-Infrastruktur durch DigiNotar und Comodo waren große Themen im vergangenen Jahr."
Foto: Kaspersky
Toralv Dirro, McAfee: "Rückblickend waren dies sicher der konstante, große Zuwachs an Malware und deren technologische Weiterentwicklung. Im kriminellen Untergrund gab und gibt es einen Wettbewerb um Marktanteile zwischen mehreren Entwicklern von Crime Packs, die es Kriminellen mit wenig Technikverständnis erlauben, sich fortschrittliche Trojaner nach Bedarf zusammenzustellen. Entsprechend schnell werden neue Technologien und Features eingebaut. Dabei macht vor allem die inzwischen weit verbreitete Verwendung von Rootkit-Technologien Schwierigkeiten, insbesondere bei der Bereinigung. Bedenklich war außerdem der dramatische Zuwachs an Malware im Bereich Mobile."
Thomas Hemker, Symantec: "Die Menge der Schadcodes ist genauso gewachsen wie die Qualität einzelner Schädlinge. Wir haben pro Tag rund 1,8 Millionen neue Samples erfasst und zugleich mit "Duqu" einen mutmaßlichen Nachfolger von "Stuxnet" entdeckt. Beide Entwicklungen sind ein Beleg für die wachsende Qualität, der wir gegenüberstehen.
Cyber-Kriminelle gingen zielgerichteter vor, als das bislang der Fall war. Speziell Industrieunternehmen rückten dabei in den Fokus der Angriffe. Das primäre Ziel ist der Diebstahl von Know-how. Prominente Beispiele sind hier der Duqu-Trojaner und die Nitro-Attacken. Für 2012 erwarten wir, dass im Durchschnitt pro Angriff mindestens zehn Systeme betroffen sein werden.
Aber nicht nur größere Industriefirmen waren betroffen. Cyber-Kriminelle hatten zudem auch kleine und mittlere Unternehmen (KMU) verstärkt im Visier. Eine Symantec-Studie ergab, dass sich seit Anfang 2010 ganze 40 Prozent aller Cyber-Attacken gegen Firmen mit weniger als 500 Mitarbeitern richteten, wohingegen große Unternehmen nur in 28 Prozent der Fälle Opfer solcher Angriffe waren. Dies haben sich kleinere Unternehmen oft selbst zuzuschreiben, da sie die Bedrohungslage schlicht unterschätzen und einfachste Schutzmaßnahmen nicht berücksichtigen.
Mobiles Arbeiten, soziale Medien, die steigende Zahl von Anwendungen sowie die Vermischung privater und geschäftlicher Daten auf einem Gerät - all diese Entwicklungen bedeuteten 2011 vor allem eines: Es wurden neue Angriffsflächen für den wachsenden Schadcode geschaffen."
Raimund Genes, Trend Micro: "Die größten Herausforderungen für einen IT-Sicherheitshersteller wie Trend Micro waren die Sicherheitsrisiken, die durch die privaten Endgeräte im Arbeitsalltag sowie durch Virtualisierung und Cloud Computing entstanden sind. Dadurch wurde das bisherige Sicherheitskonzept des Perimeterschutzes obsolet. Wenn nicht mehr zu jedem beliebigen Zeitpunkt mit Sicherheit feststeht, wo sich unternehmensrelevante Informationen gerade befinden und wer darauf zugreifen kann und darf, muss ein neuer Sicherheitsansatz her, der nicht den Schutz der Geräte, sondern den der Daten in den Mittelpunkt stellt. Wir haben 2011 diesen Ansatz entwickelt und vorgestellt; außerdem sind schon erste konkrete Produkte verfügbar, die diesen neuen Ansatz realisieren. Im Kern geht es darum, Spionageabwehr zu betreiben und die schützenswerten Daten und Ressourcen mit Selbstverteidigungsmechanismen auszustatten."
2012 - neue Bedrohungen durch zunehmende Mobilität
Die Angreifer setzen immer gezielter spezifische Schadsoftware gegen Unternehmen ein. Das zwingt die IT-Verantwortlichen, schnell zu reagieren und neue Abwehrmaßnahmen zu entwickeln. Wir wollten von unseren Insidern wissen, mit welchen Arten von Bedrohungen sich die Administratoren 2012 auseinandersetzen müssen?
Markus Hennig, Sophos / Astaro: "Der rapide Anstieg der Nutzung von Smartphones und anderen internetfähigen Geräten privat und im Unternehmen stellen die IT vor signifikante Herausforderungen. Tatsächlich schafft der BYOD-Trend (Bring-Your-Own-Device) immer mehr Verbindungspunkte zwischen den privaten Geräten der Mitarbeiter und sicherheitsrelevantem Material auf Firmenseite. Aufgrund dieser Datenmobilität müssen neue Standards gesetzt werden, die sich auf Nutzerbedingungen, Datenverschlüsselung, sicheren Zugang zu Netzwerken, Filtersystem und natürlich Malware-Schutz konzentrieren. Mobile-Security- und Management-Tools werden 2012 ein entscheidendes Thema sein."
Sascha Krieger, eleven: "Die "Qualitätsoffensive" der Spammer, Phisher und Malware-Verbreiter wird 2012 weiter zunehmen. Dazu gehören die fortgesetzte Regionalisierung solcher Kampagnen ebenso wie die Nutzung aktueller Ereignisse für unterschiedlichste Zwecke: als Köder für Spam, Anlass für Nigeria-Scams oder als Verbreitungsweg für Malware, die sich beispielsweise hinter vermeintlichen Videos oder Bildern verbirgt. Neugier zu wecken scheint immer noch ein guter Weg zu sein, die natürliche Vorsicht vieler Internet- und E-Mail-Nutzer auszuhebeln.
Generell ist zu beobachten, dass Online-Kriminelle gezielter vorgehen. Hier ist besonders das sogenannte "Spear Phishing" zu erwähnen, das 2012 weiter an Bedeutung gewinnen wird. In einer kleinen, aber sehr spezialisierten Aktion wird versucht, eine bestimmte Personengruppe auszuspähen. Diese Phishing-Aktionen werden sehr gründlich vorbereitet und haben deshalb auch eine hohe Erfolgsquote. Neben monetären Gründen dürften auch immer mehr Informationen jeder Art Ziel der Angriffe sein.
Drittens ist damit zu rechnen, dass gehackte E-Mail-Konten neben den Botnets zum zweiten Standbein vieler Spammer werden. Damit soll sichergestellt werden, dass Botnet-Abschaltungen geringere Auswirkungen haben, als dies bei Rustock der Fall war. Daher werden auch Phishing-Attacken auf E-Mail-Konten zunehmen, wobei vor allem die großen Freemail-Dienste im Mittelpunkt stehen werden."
Stefan Ortloff, Kaspersky Lab: "Die Trends aus 2011 werden sich auch dieses Jahr fortsetzen: mobile Malware, Hacktivism und APT. Aber auch Spear-Phishing kann besonders für Unternehmen problematisch werden."
Foto: McAfee
Toralv Dirro, McAfee: "Neben dem Grundrauschen an Angriffen mit einfachem kriminellen Hintergrund sind es vor allem gezielte Angriffe zum Zweck staatlicher oder herkömmlicher Wirtschaftsspionage. Voriges Jahr wurde zunehmend klarer, dass einige Akteure im ganz großen Stil Unternehmen angreifen, um in den Besitz ihrer Daten zu gelangen. Im Bereich der mobilen Geräte wird die Bedrohung mit steigender Anzahl von Schadsoftware und mit dem zunehmenden Einsatz verschiedenster Geräte zum Zugriff auf Unternehmensressourcen leider ebenfalls größer werden."
Thomas Hemker, Symantec: "Viele Firmen wollen ihren Mitarbeitern erlauben, ihr eigenes Gerät im Unternehmensnetz zu nutzen. Der Ruf nach diesem "Bring Your Own Device"-Konzept (BYOD) wird lauter. Smartphones und Co. versetzen IT-Verantwortliche allerdings in erhöhte Alarmbereitschaft. Laut einer aktuellen Umfrage von IDC und Symantec stufen 94 Prozent von ihnen diese Devices als Sicherheitsrisiko ein. Denn wegen der wachsenden Zahl verkaufter Smartphones und Tablets ist für dieses Jahr mit einer Zunahme mobiler Schadsoftware zu rechnen.
Obendrein stellt ein Konzept wie BYOD, das risikolos in die Unternehmens-IT integriert werden soll, die dafür Verantwortlichen vor eine Herkules-Aufgabe.
Sie müssen diese neuen Geräte in ihr Konzept integrieren, zugleich aber eine plattformunabhängige Sicherheitsstrategie implementieren. Der Smartphone Markt ist nämlich sehr dynamisch, niemand kann vorhersagen, welches System in zwei Jahren populär sein wird. Eine Sicherheitsstrategie muss dieser Dynamik aber gerecht werden."
Raimund Genes, Trend Micro: "Datendiebstahl steht 2012 ganz oben auf der "Wunschliste" der Cyber-Kriminellen. Der massenhafte Einsatz mobiler Endgeräte - ob nun privater oder geschäftlicher - im Unternehmensalltag verschafft hier neue Angriffsmöglichkeiten. Je mehr sich wenige mobile Plattformen wie Android im Markt durchsetzen, desto interessanter und lohnender wird die Entwicklung von Schad- und Spionagesoftware. Daher müssen wir mit einem massiven Anstieg von Android-Schädlingen von aktuell rund 1000 auf 100.000 bis Ende 2012 rechnen. Dabei werden die Cyber-Kriminellen statt wie bisher bösartige Apps zunehmend auch legitime Apps als Einfallstor missbrauchen, indem sie deren Sicherheitslücken analysieren und ausnutzen. Zudem werden die Angriffe immer zielgerichteter. Das heißt zum Beispiel, dass die Botnetze kleiner, dafür aber zahlreicher werden. Darüber hinaus werden Social-Engineering-Taktiken noch einmal stark zunehmen und zusätzlich zu den Mitarbeitern großer und sehr großer Unternehmen immer häufiger das Personal mittelständiger Betriebe treffen, gerade in Deutschland."
Sicherheitstrends, über die Sie Bescheid wissen müssen
Mit dem Thema IT-Sicherheit geht jedes Unternehmen anders um. Das Spektrum reicht von Ignoranz bis hin zur Nutzung spezieller und teurer Hochsicherheitslösungen. Beide Vorgehensweisen sind sicherlich nicht optimal. Daher kann sich nur derjenige wirkungsvollschützen, der die Herangehensweise von Angreifern kennt. Deshalb fragten wir unsere Security-Profis, mit welchen allgemeinen Sicherheitstrends sich die IT-Verantwortlichen 2012 beschäftigen müssen?
Markus Hennig, Sophos / Astaro: "Malware-Attacken werden immer professioneller durchgeführt, da mittlerweile viele Tools von Kriminellen kommerziell vertrieben werden, die auch technisch nicht versierte Hacker auf einen neuen Level heben. Diese Produkte und Dienste erleichtern die massenhafte Generierung von Kampagnen und Ausbeutungen mit neuen Schadcodes. Unter dem Strich steht ein signifikanter Anstieg bei Malware und Systeminfektionen, die vor allem auf Social-Media-Plattformen ausgerichtet sind und sein werden. Im kommenden Jahr wird die Geschäftswelt die Herausforderung meistern müssen, sowohl diese Bedrohungslandschaft zu entschärfen als auch Wege zu finden, die neue Zugänge zu Applikationen und Daten, beispielsweise über die Cloud, eröffnen."
Sascha Krieger, eleven: "Die Nutzung mobiler Geräte für den geschäftlichen Einsatz wird auch im Jahr 2012 zunehmen. Diese Devices stehen besonders im Fokus der Kriminellen. Neben den eher geschlossenen Systemen von Apple und RIM, ist insbesondere mit Angriffen auf Android-Versionen und -Geräte zu rechnen, zumal in diesem Bereich die Sicherheitsmaßnahmen vielfach noch in den Kinderschuhen stecken.
In noch größerem Maß als bisher werden zudem soziale Netzwerke wie Facebook, aber auch Dienste wie Twitter in den Fokus der Online-Kriminellen rücken. Zum einen stellen sie einen guten zusätzlichen Verbreitungsweg für Spam oder Malware dar, zum anderen sind sie eine wertvolle Informationsquelle, da sie viele persönliche Daten enthalten. Diese ermöglichen es Spammern, ihre Kampagnen gezielt auf die Interessen der Empfänger zuzuschneiden, aber auch Nachrichten im Namen tatsächlicher Kontakte zu schicken in der Hoffnung, dass der Empfänger die E-Mail eines bekannten Absenders eher öffnet."
Stefan Ortloff, Kaspersky Lab: "Die Integration von Mobile Devices wie Tablets und Smartphones wird ein großes Thema in den IT-Abteilungen sein. Auch das Verhindern gezielter (von innen und außen) oder automatisierter Angriffe wird weiterhin die Administratoren und andere IT-Verantwortliche beschäftigen."
Toralv Dirro, McAfee: "Es sind vor allem zwei Bereiche, die besonders herauszuheben sind: zum einen die Absicherung mobiler Geräte und häufig überhaupt erst deren Einbindung in eine Managementstruktur und zum anderen ein besserer Schutz der kritischen Unternehmensdaten vor unbefugten Zugriffen. Häufig konzentriert sich der Schutz auf die Absicherung der Endgeräte. Ist da erst einmal ein System kompromittiert, steht einem Angreifer häufig nicht mehr viel im Wege, um seine Ziele zu erreichen.
Mit Technologien, mit denen Zugriffe auf Daten kontrolliert werden, und Techniken, die helfen, ungewöhnliches Verhalten und Angriffe innerhalb des Unternehmensnetzes auf Netzwerkebene zu erkennen, lassen sich auch gezielte Attacken auf ein Unternehmen feststellen und blocken."
Foto: Symantec
Thomas Hemker, Symantec: "Es ist davon auszugehen, dass neben Angriffen über mobile Geräte auch Übergriffe über Social-Media-Kanäle zunehmen - ohne dass die klassischen Schadcodes ins Hintertreffen geraten. Das Jahr 2011 hat ebenfalls gezeigt, dass Anbieter von SSL-Zertifikaten nicht sicher sind vor Hacker-Angriffen. Deshalb sollten speziell Webseitenbetreiber stärkere Sicherheitsmaßnahmen ergreifen, um sich und ihre Kunden zu schützen.
Doch die größte Schwachstelle in Sachen IT-Sicherheit ist immer noch der Mensch. Mithilfe von Social-Engineering-Methoden nutzen Hacker deren Neugierde und Unwissenheit aus. So ist es Cyber-Kriminellen ein Leichtes, beispielsweise an Passwörter zu kommen. Größere Angriffswellen über soziale Netzwerke gehören deshalb auch 2012 zum Standardrepertoire von Hackern."
Raimund Genes, Trend Micro: "Virtualisierte und zunehmend mobile Ressourcen erfordern zusätzliche Sicherheitsanstrengungen. Dazu bedarf es eines neuen Sicherheitsansatzes sowie neuer Sicherheitslösungen, die auf diese Herausforderungen zugeschnitten sind. Ob agentenlose Malware-Scans in virtuellen Maschinen und Desktops, agentenlose Integrity-Checks des Hypervisors, zentrales Management mobiler Endgeräte und der Zugriffsberechtigungen auf Unternehmensressourcen sowie Verschlüsselung in der Cloud mit davon losgelöstem Schlüsselmanagement - dies sind wirklich aktuelle Themen, mit denen sich die Administratoren auseinandersetzen müssen, und zwar je schneller, desto besser."
Künftige Sicherheitsbedrohungen wirksam abwehren
Wenn es um IT-Sicherheit im Unternehmen geht, ist blinder Aktionismus ohne detaillierte Analysen der Security-Risiken fehl am Platz. Unsere Sicherheitsexperten geben deshalb Antworten auf die Frage: Wie können sich Unternehmen wirksam und gezielt vor den Bedrohungen beziehungsweise Sicherheitsrisiken 2012 schützen?
Markus Hennig, Sophos / Astaro: "Unternehmen müssen sich den Gefahren offensiv stellen und handfeste, übergreifende Maßnahmen in Sachen Complete Security ergreifen, die individuell zugeschnitten und vor allem auch umsetzbar sind. Funktionieren die neuen Policies nicht, sprich, ist der Mitarbeiter nicht mit im Boot, droht jeglichem Sicherheitskonzept schnell das Scheitern. Außerdem ist es eminent wichtig, nicht nur einmalig ein System zu installieren, sondern vor allem darauf zu achten, Sicherheitseinrichtungen wie Updates oder Patches wirklich immer aktuell zu halten. Aufgrund der Vielfältigkeit der Gefahrenlandschaft ist ohne ständiges Betreuen heutzutage kein effektiver Schutz mehr möglich."
Sascha Krieger, eleven: "Die Zeit der einzelnen Sicherheitslösungen ist vorbei. Firmen sollten ihren gesamten Kommunikationsprozess absichern. Dazu zählen Spam- und Virenschutz, aber auch die sichere Verbindung von Geräten und Netzen ebenso wie die gesetzeskonforme E-Mail-Archivierung. Fehlt ein Baustein im Sicherheitskonzept, drohen weitreichende Schäden. Als Beispiel sei hier die Virenfrüherkennung genannt. Diese identifiziert neuartige Viren oder Trojaner während der kritischen Zeitspanne zwischen dem ersten Auftreten und der Bereitstellung von Virensignaturen durch die Antivirenanbieter. Genau diese Zeitspanne wird verstärkt genutzt, um einen Großteil neuer Malware zu verbreiten.
Wesentlichstes Ziel jeder E-Mail-Sicherheitsstrategie ist die Sicherstellung der geschäftlichen E-Mail-Kommunikation zu jedem Zeitpunkt, also auch bei besonders hoher Belastung durch Spam-Wellen oder Denial-of-Service-Angriffen. Hier bieten ausgelagerte, Cloud-basierte Lösungen, sogenannte Managed Services, deutliche Vorteile, wehren sie doch Spam und gefährliche E-Mails ab, bevor diese das Unternehmen erreichen. Damit kann die Überlastung der eigenen Infrastruktur wirksam verhindert werden. Ein weiterer Faktor ist das Filtern ausgehender E-Mails: Werden Unternehmensrechner von Botnets gekapert und zum Spam-Versand missbraucht, kann das schnell festgestellt werden, wenn die ausgehende E-Mail auf Spam und Malware überprüft wird. Damit wird verhindert, dass ganze Unternehmensnetze als vermeintliche Spammer auf Blacklists landen und dadurch über Tage hinweg von der geschäftlichen E-Mail-Kommunikation abgeschnitten sind.
Bei der Spam-Filterung ist außer auf die Spam-Erkennungsrate, die konstant über 99 Prozent liegen sollte, vor allem auf zwei Aspekte zu achten: Erstens sollte die Lösung die Fehlkategorisierung individueller E-Mails als Spam (False Positives) möglichst ausschließen, da sonst wichtige geschäftliche E-Mails verloren gehen können. Zweitens sollte die eingesetzte Lösung Phishing-E-Mails genauso zuverlässig erkennen wie Spam. Die Bedeutung von Phishing und die davon ausgehende Gefahr für Unternehmen werden 2012 deutlich zunehmen."
Stefan Ortloff, Kaspersky Lab: "Durch ein ausgereiftes Sicherheitskonzept, das auch Raum für Anpassungen bietet. Darüber hinaus können die regelmäßige Weiterbildung der Verantwortlichen und die Sensibilisierung der anderen Mitarbeiter - auch jener aus dem Nicht-IT-Bereich - besonders vor Spear-Phishing schützen. Neben der selbstverständlichen Nutzung etwa von Sicherheits-Updates und Sicherheitssoftware sind nach wie vor Standardsicherheitsmechanismen unverzichtbar, wie das bereits in den Jahren zuvor der Fall war."
Foto: Astaro
Thomas Hemker, Symantec: "Mitarbeitern stehen mehr Endgeräte denn je zur Verfügung. Die IT ist dadurch mit einer wachsenden Zahl potenzieller Datenlecks konfrontiert. Hier den Überblick zu bewahren ist nicht einfach. Deshalb sollten IT-Sicherheitsverantwortliche nicht mehr in den gewohnten Kategorien Gerät, Plattform, Betriebssystem oder Speicherort denken. Vielmehr gilt es, Informationen und Identitäten zu schützen - ganz egal, ob diese physisch, virtuell oder in der Cloud gespeichert sind. Gebündelte Schutzmechanismen wie durchdachte Archivierungskonzepte, eDiscovery, Verschlüsselung und Data Loss Prevention sind hier der Schlüssel zum Erfolg. So können sich Unternehmen gegen unbefugten Zugriff von außen wappnen. Allerdings müssen Verantwortliche auch auf Angriffe von innen gefasst sein: In vielen Fällen haben es gerade Mitarbeiter auf das geistige Eigentum ihres Arbeitgebers und auf sensible Firmendaten abgesehen - sei es, um diese Informationen gewinnbringend an Wettbewerber zu verkaufen, sei es, um ein eigenes Unternehmen mit diesem Insiderwissen aufzubauen.
Das Perfide daran: Diese Innentäter haben laut einer aktuellen Analyse von Symantec in 75 Prozent der Fälle sogar offiziell Zugang zu den Daten. Unternehmen können sich daher nicht auf das Formulieren interner Sicherheitsrichtlinien beschränken. Sie müssen vielmehr darauf achten, dass diese auch effektiv umgesetzt werden. Hier helfen unter anderem regelmäßige Schulungen des Personals."
Raimund Genes, Trend Micro: "Die Unternehmen müssen das Thema IT-Sicherheit in ihr allgemeines Risikomanagement integrieren. Denn eines ist sicher: Technologie allein kann nur einen Teil des Problems lösen, und 100-prozentige Sicherheit gibt es nicht und wird es nie geben. Daher müssen zusätzlich zu neuen Sicherheitsansätzen auf Technologieebene neue Prozesse implementiert werden, die klar die Zuständigkeiten regeln, wenn sicherheitsrelevante Ereignisse auftreten, und definieren, was von wem in welcher Zeit zu tun ist. Ferner müssen die vertraulichen Unternehmensdaten als solche identifiziert und entsprechend - sowohl mithilfe von Lösungen als auch von Prozessen - geschützt werden, unabhängig davon, wo sie sich gerade befinden.
All dies muss freilich vor dem Hintergrund der unternehmensweiten Risikobewertung und der allgemeinen IT-Strategie geschehen. Wie hoch darf mein Restrisiko bei etwaigen Datenverlusten sein, ohne dass mein Unternehmen ernsthaft gefährdet ist? Habe ich schon vor der Virtualisierung an die damit verbundenen Sicherheitsrisiken gedacht und entsprechende Vorkehrungen getroffen? Ist es sinnvoller, die Nutzung privater Endgeräte zu verbieten, weil ich in geeignete Sicherheitslösungen nicht investieren will, oder muss ich damit rechnen, dass dieses Verbot umgangen wird und der dadurch mögliche Schaden die notwendigen Ausgaben mehr als aufwiegt? All dies sind Fragen, die gestellt und beantwortet werden müssen. Dann ist ein effektiver Schutz möglich."
Security-Risiken durch Cloud-Technologien
Die Cloud-Services bieten Unternehmen die Möglichkeiten, ihr Business effizient und somit kostengünstig zu betreiben. Allerdings eröffnet es Angreifern auch neue "Betätigungsfelder", da herkömmliche Sicherheitslösungen keinen ausreichenden Schutz mehr bieten. Daher die Frage an unsere Experten: Welche Veränderungen in puncto Sicherheit bringen die Cloud-Technologien 2012?
Markus Hennig, Sophos / Astaro: "Die Absicherung dieser (virtuellen) Systeme ist eine der wichtigsten Herausforderungen im kommenden IT-Security-Jahr. Nur mit überzeugenden Sicherheitskonzepten kann es gelingen, Vertrauen bei den Kunden aufzubauen. Es gilt zunächst, die Basis mit Technologien wie VPN und Encryption zu legen, bevor das enorme Leistungspotenzial der Cloud ohne flaues Gefühl in der Magengrube abgerufen werden kann.
Danach gilt es, wachsam zu bleiben: Datenschutz in einer virtuellen Welt mit extrem schnelllebigen Systemwechseln und Informationsflüssen ist eine Mammutaufgabe, bei der aber nicht nur der Anwender in der Pflicht ist, sondern sich auch der Anbieter die Frage stellen muss, was er tun kann, um für mehr Sicherheit zu sorgen."
Sascha Krieger, eleven: "Hier sind zwei Aspekte wichtig: Erstens verlagern viele Unternehmen immer mehr IT-Aufgaben in die Cloud - teils aus Kostengründen, teils aufgrund der wachsenden Mobilität ihrer Mitarbeiter. Damit entsteht ein komplett neuer Datenraum, den es zu schützen gilt. Verschlüsselte Datenübertragung und -zugriff spielen hier ebenso eine Rolle wie die Datensicherung. Viele Cloud-Dienste bieten keine ausreichend redundanten Speichersysteme. Das heißt: Fällt ein System aus oder wird ein Anbieter Opfer eines DDoS-Angriffs, gehen im schlimmsten Fall alle dort gespeicherten Daten verloren - wie 2011 bei einigen führenden Anbietern geschehen.
Hinzu kommt das Thema Datenschutz: Vertraut ein Unternehmen ausländischen Anbietern, zum Beispiel aus den USA, sind seine Daten weitreichenden Zugriffsmöglichkeiten staatlicher Behörden, beispielsweise im Rahmen des Patriot Act, ausgesetzt. Auch wenn die Daten nur in Europa gespeichert werden, reicht dies nicht aus: Es gilt der Unternehmenssitz des Anbieters. Europäische Infrastrukturen von US-Providern sind damit genauso unsicher. Unternehmen sollten daher möglichst auf deutsche Anbieter setzen, da diese dem strengen deutschen Datenschutzrecht unterliegen.
Der zweite wichtige Aspekt ist die Nutzung der Cloud für die IT-Sicherheit. Insbesondere im Bereich der E-Mail-Sicherheit bieten Cloud-basierte Services Unternehmen Chancen, ihre Sicherheit zu erhöhen und dabei Kosten zu sparen. So können gefährliche oder unerwünschte E-Mails bereits außerhalb des Unternehmens abgefangen werden gemäß dem Motto: Was das Unternehmen nicht erreicht, kann dort auch keinen Schaden anrichten. Gleichzeitig entfallen Investitionskosten für Hard- und Software, regelmäßige Anpassungen der IT-Infrastruktur sowie jeglicher Wartungs- und Pflegeaufwand. Die Kosten werden langfristig planbar und liegen zumeist deutlich unter denen aufwendiger Inhouse-Lösungen."
Stefan Ortloff, Kaspersky Lab: "Durch die Auslagerung von Services in die Cloud betreibt man nicht nur Outsourcing auf der Anwendungsebene, sondern auch bei der IT-Security. Man muss also dem Cloud-Betreiber diese Aufgabe zutrauen und ihm auch vertrauen."
Toralv Dirro, McAfee: "Cloud-Technologien in Sicherheitsprodukten bieten die Möglichkeit, neueste Informationen über Malware, bösartige Webseiten oder andere Bedrohungen nahezu in Echtzeit zur Verfügung zu stellen, ohne dass die Software auf den Clients erst aktualisiert werden muss. Seit der Einführung dieser Technologie in unseren AV Produkten (unter dem Namen "Artemis") vor wenigen Jahren hat sich dies als De-facto-Standard für die schnelle Erkennung neuer Malware etabliert. Auch im Spam-Schutz und für die Bewertung von Webseiten ist dies heutzutage die wichtigste Grundlage.
Cloud-Technologien sind allerdings auch ein zweischneidiges Schwert: Schon bei diesen Reputationsdienstleistungen muss dem Anbieter vertraut werden, da allein das Abfragen zum Beispiel der Reputation einer Website die Information preisgibt, dass einen die Reputation eben dieser Website interessiert. Gerade bei sehr sensiblen Kunden wie Regierungen oder Militär gewinnen deshalb sogenannte "Private Cloud"-Lösungen an Bedeutung.
Die gleichen Bedenken treffen auch - und das in viel stärkerem Ausmaß - auf die Auslagerung von Daten und Geschäftsprozessen in die Cloud zu. Es lassen sich zwar für Unternehmen erhebliche Einsparungen und Optimierungen erreichen, doch muss kritisch hinterfragt werden, wem genau man seine Daten anvertraut, wo diese aufbewahrt und verarbeitet werden und ob der Anbieter den Anforderungen im Bereich Datenschutz gerecht wird."
Foto: TrendMicro
Thomas Hemker, Symantec: "Cloud Computing ruft bei IT-Verantwortlichen oft gemischte Gefühle hervor. Beim Weg in die Wolke bereitet vor allem das Thema IT-Sicherheit den Unternehmen noch Kopfzerbrechen. Einer Symantec-Studie zufolge sehen Firmen hier immer noch große Risiken: Vor allem wenn es darum geht, geschäftskritische Applikationen zu virtualisieren und in die Cloud zu verlagern, zögern Unternehmen. Bisher migriert weltweit nur ein Drittel der in der Studie befragten Unternehmen geschäftskritische Anwendungen in die Wolke. Dennoch können Dienstleistungsangebote wie Platform-as-a-Service oder Infrastructure-as-a-Service wesentliche Vorteile für die IT-Sicherheit bieten. Im Bereich Mobile Security stellen Cloud-Lösungen beispielsweise eine Alternative zu internen Sicherheitsanwendungen dar. Sie lassen sich oft schnell und einfach umsetzen und passen sich leicht Veränderungen in der Belegschaft an.
Prinzipiell aber gilt: Egal ob Unternehmen auf Private-Cloud-, Hybrid-Cloud- oder Public-Cloud-Technologien setzen, die IT muss bei den Informationen und Daten ansetzen, die es zu schützen gilt. Davon ausgehend sollte dann ein umfassendes Sicherheitskonzept konzipiert und umgesetzt werden."
Raimund Genes, Trend Micro: "Wie angedeutet, machen Cloud-Technologien den klassischen Perimeterschutz obsolet. Denn die virtuellen Ressourcen "wandern" und damit auch die wertvollen Unternehmensdaten, die begehrte Beute der Cyber-Kriminellen. Also muss es 2012 darum gehen, diese Beute etwa durch konsequentes Verschlüsseln wertlos zu machen. Sicherlich gelingt dies erstens nur, wenn die zugehörigen Schlüssel nicht bei den Daten liegen. Zweitens muss jede virtualisierte Ressource ihr Schutzniveau bei jeder Änderung des physischen Aufenthaltsortes zuverlässig beibehalten. Und drittens werfen Cloud-Technologien Rechtsfragen auf: In welchem Land entstehen meine Daten, dürfen sie das Ursprungsland verlassen, welche Datenschutzstandards gelten am jeweiligen Aufbewahrungsort? Die Veränderungen sind also nicht nur technischer, sondern auch strategischer Natur und verlangen strategische Überlegungen und Antworten des Managements." (hal)