Critical Data Access

So lassen sich kritische Daten in Echtzeit schützen

16.07.2015 von Markus Winkler
Das Konzept des Critical Data Access hilft Unternehmen ihre sensiblen Daten vor Angreifern in Echtzeit zu schützen. Wir sagen Ihnen, worauf Sie dabei achten müssen.

In Zeiten vielfältiger Analysemöglichkeiten durch Big Data sind Daten zur Währung des 21. Jahrhunderts geworden. Das führt jedoch immer häufiger zu Missbrauch. So werden gestohlene Daten auf Schwarzmärkten gehandelt und teilweise sogar Hacker beauftragt, Informationen zu beschaffen. Wie aber können Unternehmen ihre kritischen Daten effizient schützen? Mit der Absicherung des Netzwerk-Perimeters ist es nicht getan. Dieser Artikel zeigt, wie sich diese mit dem Konzept des "Critical Data Access" in Echtzeit überwachen lassen.

Was sind meine kritischen Daten?

Der erste Schritt ist häufig der wichtigste, so auch bei Critical Data Access. Schließlich legt er die Basis für alle weiteren Prozesse. So müssen sich Unternehmen zu Beginn fragen, welches ihre kritischen Daten sind. Je nach Branche und Geschäftsmodell kann das sehr unterschiedlich sein. So sind es bei Händlern in der Regel Kundenprofile und Kreditkarteninformationen, bei Banken Kunden- und Kontobewegungsdaten oder bei herstellenden Unternehmen Produktions- und Konstruktionsdaten.

Wichtig hierbei ist, dass sowohl die Mitarbeiter aus den Fachabteilungen als auch IT-Abteilung und Sicherheitsverantwortliche diese Daten gemeinsam klassifizieren. Denn oft besitzen verschiedene Abteilungen innerhalb eines Unternehmens unterschiedliche kritische Daten. Auch Faktoren, die einen Einfluss darauf haben, welche Informationen kritisch sind, sollten beachtet werden. Dazu gehören etwa Daten zur Einhaltung von Compliance- oder gesetzlichen Vorgaben, für Audits, Revisionen oder die Finanzdienstleistungsaufsicht sowie Informationen mit Relevanz für den Betriebsrat oder die aktuelle Bedrohungslage.

Die besten Security-Appliances -
Die besten Security-Appliances
In großen und komplexen Netzwerken mit hohem Datenaufkommen ist es sinnvoll, Sicherheitsfunktionen wie die Firewall oder den Virenschutz in eigene Appliances auszulagern. Wir stellen verschiedene dieser Sicherheitslösungen vor.
Check Point 1100
Für die Außenstelle hat Central Point die UTM-Appliances der 1100er-Serie im Programm. Das Einstiegsmodell mit 10 GBit-Ethernet-Ports liefert eine Threat-Prevention für Büros mit bis zu 50 Mitarbeitern und dient auch gleich als sicherer WLAN-Access-Point. Optional ist das Gerät auch mit integriertem ADSL-Model verfügbar.
Check Point 41000
Am entgegengesetzten Ende der Check-Point-Modellpalette liegen die Enterprise- und Carrier-Systeme. Das modulare 41000 Security System ist für einen Firewall-Durchsatz von bis zu 40 Gbps ausgelegt. Das System ist über sogenannte Software Blades erweiterbar. In der Grundversion stehen die folgenden Funktionen bereits bereit: Firewall, IPsec VPN, Identity Awareness, Advanced Networking sowie Acceleration & Clustering.
Cisco ASA5500
Ciscos Next-Generation-Firewalls der 5000er-Serie für Kleinunternehmen oder Filialen reichen vom Einstiegsmodell ASA 5505 mit einem Stateful-Inspection-Durchsatz von 150 Mbps bis hin zur ASA 5515-X, die 1,2 Gbps bewältigen kann.
Cisco ASA5585-X
Die Enterprise-Firewall ASA 5585-X von Cisco wird mit verschiedenen Service-Modulen kombiniert. In der hier abgebildeten Spitzenversion mit dem Security Services Processor-60 (SSP-60) liefert die Next-Generation-Firewall eine Stateful-Inspection-Firewall-Performance von bis zu 40 Gbps.
Dell SuperMassive 9800
Die SuperMassive 9800 ist das neue Spitzenmodell unter den Next-Generation-Firewalls der 9000er-Serie von Dell. Sie soll bis zu 20 Gbit/s Leistung bei der Deep-Packet-Inspection bringen.
Fortinet FortiGate 5000
Laut Fortinet ist die FortiGate 5144C die erste Firewall mit einem Durchsatz von mehr als einem Terabit pro Sekunde. Das FortiGate-5144C-Chassis bietet Platz für bis zu 14 Security-Blades, mit dem FortiController-5913C kann auch ein 100-GbE-Controller eingesetzt werden.
Fortinet FortiWiFi 60D
Die FortiWiFi-60D-Appliance gehört zur Connected-UTM-Serie von Fortinet. Das Gerät ist für den umfassenden Schutz kleinerer Firmen und Zweigstellen bestimmt und bietet neben sieben Gigabit-Ethernet-Ports auch einen WLAN-Access-Point, der 802.11n auf beiden Bändern unterstützt.
Netgear UTM25S
Die Geräte aus Netgears UMT-S-Serie sollen den bisherigen Router ersetzen und so für Kleinbetriebe, Zweigstellen und auch Privatanwender eine umfassende Sicherheitslösung darstellen. Das UMT25S bietet zwei GBit-WAN und vier GBit-LAN-Ports und unterstützt zudem den 802.11n-WLAN-Standard auf dem 2,4- und dem 5-GHz-Frequenzband.
McAfee M-4050
Die McAfee-Appliance M-4050 ist ein Intrusion Prevention System mit integrierter Network-Access-Control-Funktion. Damit soll die Appliance das Netzwerk nicht nur vor Angriffen von außen schützen, sondern auch die Verwendung nicht genehmigter Endgeräte im Firmennetzwerk unter Kontrolle halten.
McAfee N-450
Die McAfee-Appliance N-450 ist ein Bespiel für hochspezialisierte Security-Appliance: Sie ist eine reine Network-Access-Control-(NAC) Appliance die sicherstellen soll, dass nur bekannte und sichere Endgeräte Zugriff auf das Firmennetzwerk erhalten. Für Gäste und externe Dienstleister können auf Regeln basierende Zugriffsrechte definiert werden, die sie etwa auch ein spezielles Gast-Portal weiterleiten.
McAfee Next Generation Firewall
McAfee hat Entwicklung effektiver Next-Generation-Firewalls den finnischen Anbieter Stonesoft gekauft. Eines der Resultate aus dieser Übernahme sind die Firewall-Appliances der 3200-Serie. Mit einem Stateful-Inspection-Durchsatz von bis 30 Gbps sind sie für den Schutz größerer Netzwerke ausgelegt.
WatchGuard FireboxT10
Die Lösung Firebox T10 hat WatchGuard speziell für SOHO- (Small and Home Office), Einzelhandels- und Filialumgebungen entwickelt. Egal ob stand-alone betrieben oder von der Unternehmenszentrale aus gesteuert: Die Appliance bietet einen theoretischen Firewall-Durchsatz von 200 Mbps beziehungsweise eine 55 Mbps UTM-Performance und verfügt über drei 1-Gigabit-Ethernetports. Konfigurationswerkzeuge und WatchGuards RapidDeploy-Technologie helfen Netzwerkadministratoren, die Firebox T10 in kurzer Zeit per Fernzugriff in Betrieb zu nehmen.
WatchGuard Firebox M440
Palo Alto Appliance PA-5060
Der Firewall-Durchsatz beträgt 20 Gbps.

Wo liegen meine kritischen Daten?

Der nächste logische Schritt ist die Ermittlung der Orte, an denen diese kritischen Daten gespeichert sind. Schließlich ist dies eine Grundvoraussetzung, um sie schützen können. Mögliche Speicherorte sind zum Beispiel Rechenzentren, Datenbanken, Mail-Server, Datei-Server und -Ordner, Sharepoint-Server, Cloud-Dienste oder mobile Geräte. Weil viele Daten zentral im Datacenter liegen, werden diese für Angreifer immer attraktiver.

Über Datendiebstahl berichten die Medien mittlerweile fast täglich: Bekannt geworden sind unter anderem das Eindringen von Hackern in das Firmennetz des Filmstudios Sony Pictures, bei dem unveröffentlichte Filme, persönliche Details von Filmschaffenden und E-Mails entwendet wurden, oder der Angriff auf das Netzwerk des Deutschen Bundestages.

Wie schütze ich meine kritischen Daten?

Die entscheidende und komplexeste Frage lautet: Wie lassen sich die kritischen Daten an den entsprechenden Orten möglichst zuverlässig und effizient schützen? Hier sollte jedem Unternehmen klar sein, dass es keinen hundertprozentigen Schutz gibt und sich jedes Sicherheitssystem umgehen lässt. Daher lautet das Ziel, es den Hackern möglichst schwer zu machen - einerseits um sie durch den nötigen hohen Aufwand abzuschrecken, andererseits um möglichst viel Zeit zwischen dem ersten Versuch und einem erfolgreichen Angriff zu erhalten. Damit erhöht sich die Wahrscheinlichkeit, die Attacke rechtzeitig entdecken und aktiv blockieren zu können.

Für einen effizienten Schutz sollten die kritischen Daten selbst so eng wie möglich überwacht werden. Dabei ist zu beobachten, was rund um die Datentresore geschieht, wer sich Zugang dazu verschafft und welche Aktionen ausgeführt werden. Dazu sind insbesondere Datenbank, File Server und Cloud-Anwendungen durch Activity-Monitoring-Tools, häufig kombiniert mit Security Information & Event Management (SIEM), zu überwachen. Damit können Unternehmen erfassen, was mit den kritischen Daten aktuell geschieht. Dann lassen sich Abweichungen vom normalen Verhalten erkennen und diese Anomalien automatisch entweder direkt an den zuständigen Administrator, den Chief Security Officer (CSO) oder an eine Sicherheitslösung wie ein SIEM oder SOC (Service Operation Center) senden. Nur durch dieses Erkennen und "Melden" kann der entsprechende Datenabfluss blockiert werden.

Wie reagiere ich auf einen Angriff?

Das Erkennen und Blockieren eines Angriffs ist zwar der entscheidende Schritt, doch damit ist das Thema noch nicht beendet. Schließlich sollte das Unternehmen schnell und effizient auf Angriffe reagieren können. Daher benötigen Unternehmen eine klare Prozessbeschreibung, was in welchem Fall geschehen soll.

Werden Angriffe automatisch blockiert oder Alarmmeldungen an den Administrator oder direkt an den CSO weitergeleitet, der über das weitere Vorgehen entscheidet? Wer wird über den Vorfall wie informiert? Soll das Activity-Monitoring-Tool selbst Alarmmeldungen an die Zuständigen verschicken oder an ein umfassendes Sicherheitssystem wie SIEM oder SOC? Welche Maßnahmen werden in welchem Fall durchgeführt: Firewalling, das Kappen der Netzwerkverbindung, die Unterbrechung des Datenstroms an die Anwendung oder das Sperren des Nutzer-Accounts, falls darüber etwa kritische Daten auf öffentlichen Cloud-Speichern abgelegt werden?

Nur wenn diese vier Schritte sorgfältig und umfassend durchgeführt werden, sind Unternehmen gut gerüstet. Dabei sind Activity-Monitoring-Tools heute unverzichtbar, da herkömmliche Lösungen keine Aktivitäten prüfen können. Gute Activity-Monitoring-Tools lassen sich zwar auch isoliert betreiben, doch eine Integration in ein SIEM oder SOC bietet wesentlich mehr Schutzmöglichkeiten und ist damit in nahezu jedem Fall ratsam. (hal)