IT-Sicherheit 2012: Aktuelle und künftige Security-Risiken in Unternehmen

Künftige Sicherheitsbedrohungen wirksam abwehren

Wenn es um IT-Sicherheit im Unternehmen geht, ist blinder Aktionismus ohne detaillierte Analysen der Security-Risiken fehl am Platz. Unsere Sicherheitsexperten geben deshalb Antworten auf die Frage: Wie können sich Unternehmen wirksam und gezielt vor den Bedrohungen beziehungsweise Sicherheitsrisiken 2012 schützen?

Markus Hennig, Sophos / Astaro: "Unternehmen müssen sich den Gefahren offensiv stellen und handfeste, übergreifende Maßnahmen in Sachen Complete Security ergreifen, die individuell zugeschnitten und vor allem auch umsetzbar sind. Funktionieren die neuen Policies nicht, sprich, ist der Mitarbeiter nicht mit im Boot, droht jeglichem Sicherheitskonzept schnell das Scheitern. Außerdem ist es eminent wichtig, nicht nur einmalig ein System zu installieren, sondern vor allem darauf zu achten, Sicherheitseinrichtungen wie Updates oder Patches wirklich immer aktuell zu halten. Aufgrund der Vielfältigkeit der Gefahrenlandschaft ist ohne ständiges Betreuen heutzutage kein effektiver Schutz mehr möglich."

Sascha Krieger, eleven: "Die Zeit der einzelnen Sicherheitslösungen ist vorbei. Firmen sollten ihren gesamten Kommunikationsprozess absichern. Dazu zählen Spam- und Virenschutz, aber auch die sichere Verbindung von Geräten und Netzen ebenso wie die gesetzeskonforme E-Mail-Archivierung. Fehlt ein Baustein im Sicherheitskonzept, drohen weitreichende Schäden. Als Beispiel sei hier die Virenfrüherkennung genannt. Diese identifiziert neuartige Viren oder Trojaner während der kritischen Zeitspanne zwischen dem ersten Auftreten und der Bereitstellung von Virensignaturen durch die Antivirenanbieter. Genau diese Zeitspanne wird verstärkt genutzt, um einen Großteil neuer Malware zu verbreiten.

Wesentlichstes Ziel jeder E-Mail-Sicherheitsstrategie ist die Sicherstellung der geschäftlichen E-Mail-Kommunikation zu jedem Zeitpunkt, also auch bei besonders hoher Belastung durch Spam-Wellen oder Denial-of-Service-Angriffen. Hier bieten ausgelagerte, Cloud-basierte Lösungen, sogenannte Managed Services, deutliche Vorteile, wehren sie doch Spam und gefährliche E-Mails ab, bevor diese das Unternehmen erreichen. Damit kann die Überlastung der eigenen Infrastruktur wirksam verhindert werden. Ein weiterer Faktor ist das Filtern ausgehender E-Mails: Werden Unternehmensrechner von Botnets gekapert und zum Spam-Versand missbraucht, kann das schnell festgestellt werden, wenn die ausgehende E-Mail auf Spam und Malware überprüft wird. Damit wird verhindert, dass ganze Unternehmensnetze als vermeintliche Spammer auf Blacklists landen und dadurch über Tage hinweg von der geschäftlichen E-Mail-Kommunikation abgeschnitten sind.

Bei der Spam-Filterung ist außer auf die Spam-Erkennungsrate, die konstant über 99 Prozent liegen sollte, vor allem auf zwei Aspekte zu achten: Erstens sollte die Lösung die Fehlkategorisierung individueller E-Mails als Spam (False Positives) möglichst ausschließen, da sonst wichtige geschäftliche E-Mails verloren gehen können. Zweitens sollte die eingesetzte Lösung Phishing-E-Mails genauso zuverlässig erkennen wie Spam. Die Bedeutung von Phishing und die davon ausgehende Gefahr für Unternehmen werden 2012 deutlich zunehmen."

Stefan Ortloff, Kaspersky Lab: "Durch ein ausgereiftes Sicherheitskonzept, das auch Raum für Anpassungen bietet. Darüber hinaus können die regelmäßige Weiterbildung der Verantwortlichen und die Sensibilisierung der anderen Mitarbeiter - auch jener aus dem Nicht-IT-Bereich - besonders vor Spear-Phishing schützen. Neben der selbstverständlichen Nutzung etwa von Sicherheits-Updates und Sicherheitssoftware sind nach wie vor Standardsicherheitsmechanismen unverzichtbar, wie das bereits in den Jahren zuvor der Fall war."

Thomas Hemker, Symantec: "Mitarbeitern stehen mehr Endgeräte denn je zur Verfügung. Die IT ist dadurch mit einer wachsenden Zahl potenzieller Datenlecks konfrontiert. Hier den Überblick zu bewahren ist nicht einfach. Deshalb sollten IT-Sicherheitsverantwortliche nicht mehr in den gewohnten Kategorien Gerät, Plattform, Betriebssystem oder Speicherort denken. Vielmehr gilt es, Informationen und Identitäten zu schützen - ganz egal, ob diese physisch, virtuell oder in der Cloud gespeichert sind. Gebündelte Schutzmechanismen wie durchdachte Archivierungskonzepte, eDiscovery, Verschlüsselung und Data Loss Prevention sind hier der Schlüssel zum Erfolg. So können sich Unternehmen gegen unbefugten Zugriff von außen wappnen. Allerdings müssen Verantwortliche auch auf Angriffe von innen gefasst sein: In vielen Fällen haben es gerade Mitarbeiter auf das geistige Eigentum ihres Arbeitgebers und auf sensible Firmendaten abgesehen - sei es, um diese Informationen gewinnbringend an Wettbewerber zu verkaufen, sei es, um ein eigenes Unternehmen mit diesem Insiderwissen aufzubauen.

Das Perfide daran: Diese Innentäter haben laut einer aktuellen Analyse von Symantec in 75 Prozent der Fälle sogar offiziell Zugang zu den Daten. Unternehmen können sich daher nicht auf das Formulieren interner Sicherheitsrichtlinien beschränken. Sie müssen vielmehr darauf achten, dass diese auch effektiv umgesetzt werden. Hier helfen unter anderem regelmäßige Schulungen des Personals."

Raimund Genes, Trend Micro: "Die Unternehmen müssen das Thema IT-Sicherheit in ihr allgemeines Risikomanagement integrieren. Denn eines ist sicher: Technologie allein kann nur einen Teil des Problems lösen, und 100-prozentige Sicherheit gibt es nicht und wird es nie geben. Daher müssen zusätzlich zu neuen Sicherheitsansätzen auf Technologieebene neue Prozesse implementiert werden, die klar die Zuständigkeiten regeln, wenn sicherheitsrelevante Ereignisse auftreten, und definieren, was von wem in welcher Zeit zu tun ist. Ferner müssen die vertraulichen Unternehmensdaten als solche identifiziert und entsprechend - sowohl mithilfe von Lösungen als auch von Prozessen - geschützt werden, unabhängig davon, wo sie sich gerade befinden.

All dies muss freilich vor dem Hintergrund der unternehmensweiten Risikobewertung und der allgemeinen IT-Strategie geschehen. Wie hoch darf mein Restrisiko bei etwaigen Datenverlusten sein, ohne dass mein Unternehmen ernsthaft gefährdet ist? Habe ich schon vor der Virtualisierung an die damit verbundenen Sicherheitsrisiken gedacht und entsprechende Vorkehrungen getroffen? Ist es sinnvoller, die Nutzung privater Endgeräte zu verbieten, weil ich in geeignete Sicherheitslösungen nicht investieren will, oder muss ich damit rechnen, dass dieses Verbot umgangen wird und der dadurch mögliche Schaden die notwendigen Ausgaben mehr als aufwiegt? All dies sind Fragen, die gestellt und beantwortet werden müssen. Dann ist ein effektiver Schutz möglich."