Tipps für mehr Endpoint-Security

Ein Hauptproblem der zunehmenden Digitalisierung sind Angriffe direkt in der IT-Infrastruktur: So gehören laut Allianz-Risk-Barometer 2019 Cybervorfälle gemeinsam mit Betriebsunterbrechungen (je 37%) zu den größten Geschäftsrisiken weltweit. Aber was kann man dagegen tun?

Nach einer Studie des Digitalverbands Bitkom standen 84 % der Industrieunternehmen im Jahr 2018 noch heftiger unter Beschuss als zwei Jahre zuvor. Nach Einschätzung des Verbandes stecken dahinter ganz unterschiedliche Akteure – von digitalen Kleinkriminellen über die organisierte Kriminalität bis zu Hackern im Staatsauftrag. Diese bedrohliche Entwicklung betrifft nicht nur Konzerne und Großunternehmen: Gerade die mittelständische Wirtschaft gerät immer stärker in den Fokus der Angreifer, sagt der Gesamtverband der Deutschen Versicherungswirtschaft. Das bedeutet in Zahlen: Derzeit sind weltweit rund 800 Millionen Malwareprogramme im Umlauf. Von den daraus resultierenden Angriffen entstehen etwa 70 % direkt am Endpoint. Dass rund zwei Drittel (60 %) der Attacken überhaupt nicht erkannt werden, macht das Risiko vollends unkalkulierbar. Die Folgen liegen auf der Hand:

  • Im Zusammenhang mit Datenverlust und Datendiebstahl ist etwa an Imageverlust, Vertragsstrafen und die Kosten für die Wiederherstellung von Daten zu denken. Einen zusätzlichen Risikofaktor stellen große Adressstämme dar und haben mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) erheblich an Brisanz gewonnen. Wenn Unternehmen in Fällen von Datendiebstahl nachweislich gegen Sorgfaltspflichten verstoßen haben, drohen ihnen Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des gesamten, weltweit erzielten Jahresumsatzes.
  • Die Risiken von Manipulationen durch Fernsteuerung von Geräten oder Systemen steigen nicht erst mit intelligenten, smarten Software-Lösungen. Schon heute sind Hochrisikobranchen wie Energie, Gesundheit oder Chemieindustrie, aber auch Bereiche wie Telekommunikation, Verkehr und Transport, äußerst gefahrenaffin. Selbst in weniger sensiblen Bereichen wie dem Handel können die Folgen von fremdgesteuerten IT-Prozessen weitreichend sein. Wenn etwa Sendungen gezielt umgeleitet oder Bestellungen ohne Zutun von Kunden getätigt werden, entstehen schnell hohe wirtschaftliche Schäden und der Imageverlust lässt sich meist überhaupt nicht beziffern. Dabei dürften die Probleme in Zukunft noch deutlich drastischer werden, denn im Zuge der zu erwartenden Entwicklung hin zu künstlicher Intelligenz und Industrie 4.0 potenzieren sich speziell in diesem Umfeld die Gefahren.
  • Betriebsunterbrechungen waren laut Allianz Risk Barometer über viele Jahre die größte Sorge für Unternehmen weltweit und auch heute liegen sie gemeinsam mit Cybervorfällen immer noch an der Spitze. Da störungsbedingte Stillstände häufig einhergehen mit der Software-seitig lahmgelegten Netzwerken, liegt eine direkte Korrelation der beiden Faktoren vor.
  • Erpressung und Geldforderungen auf Grundlage von Ransomware werden in der Regel als eine besonders dreiste Form des Cybercrime empfunden. Denn hier wird spürbar, dass sich Unternehmen oder Teile von ihnen, Taten von Cyberkriminellen ohnmächtig ausgesetzt sehen. Verschlüsselte Daten oder Systeme bedeuten oft eine immens eingeschränkte Funktionalität.

 

Neue Infektionswege für Malware

Malware ist nicht mehr auf bestimmte Dateiformen begrenzt, sondern gelangt auf immer neuen Infektionswegen in Netzwerke. Die Raffinesse von Cyberkriminellen nimmt beständig zu und sie wappnen ihre Schadsoftware immer besser gegen gängige Antivirenprogramme. Auch das führt zunehmend zu Problemen. Trotz des gestiegenen Risikobewusstseins verfügen immer noch zu wenige Firmen über umfassenden Schutz. So haben zum Beispiel laut der IDC-Studie „IT-Security in Deutschland 2018“ lediglich 58 Prozent der an der Untersuchung teilnehmenden Organisationen ein zentrales Konzept zur Informationssicherheit. Ungesicherte Endpoints stellen nach Anwenderfehlern (37%) das zweitgrößte Risiko dar (34%).

Auch weitere Quellen unterstreichen, dass deutsche Firmen häufig nur mangelhafte Cyber-Strategien vorweisen können und im internationalen Vergleich nicht besonders gut aufgestellt sind. Laut Cyber-Readiness-Report 2018 des Spezialversicherers Hiscox ist zwar hierzulande bei 64 Prozent aller Unternehmen der Vorstand in Strategieprozesse in Bezug auf Cyber-Sicherheit eingebunden. Aber nur 38 Prozent der Unternehmen haben eine offizielle Strategie für besseren Schutz verabschiedet. Hiscox folgert daraus, dass viele deutsche Unternehmen bei der Umsetzung einer umfassenden Cyber-Strategie noch einen weiten Weg vor sich haben. ***

 

Anforderungen an Security-Management

Natürlich ist 100-prozentige Sicherheit nicht möglich: Jedoch können sich Unternehmen mit umfassendem Security Management für die Prävention und die Protektion von Geräten, Systemen und Daten zu einem hohen Grad schützen. Für maximale Kontrolle braucht es ein umfassendes Risk Management, das im Hinblick auf die Auswahl adäquater Security Software die Grundläge bildet, die wiederum hohe Erkennungsraten gewährleistet und eine höchstmögliche Bandbreite an Bedrohungen abdeckt. Weiter muss das Security-Management für Transparenz bei Angriffsszenarien sowie Bedrohungslagen sorgen, und darauf reagieren – am besten automatisiert.

 

Tipps für mehr Sicherheit am Endpoint

Risiko-Assessment, Analysen und Strategien: Bevor Unternehmen zusätzliche Sicherheitsmaßnahmen ergreifen, braucht es ein umfassendes Assessment, in dem alle spezifischen Cyberrisiken bewertet werden. Dabei spielen Branche und Umfeld eine ebenso wichtige Rolle wie die interne Aufstellung. Sämtliche potenzielle Einfallstore für Malware sollten aufgelistet werden, wobei dem Endpoint und den Mitarbeitern eine Schlüsselfunktion zukommt, denn durch Fehler aus Unwissenheit werden viele Risiken überhaupt erst virulent. Auf Basis von Assessment können Unternehmen Strategien entwickeln, die bestmögliche Abwehr ebenso umfassen wie die Frage, wie im Falle des Falles zu reagieren ist. Neben klassischen externen Einfallstoren, bestehen sehr viele Risiken im Umgang mit z.B. USB-Geräten, Cloud-Speicher und Anwendungen. Hier ist muss man wissen, an welcher Stelle im Unternehmen Daten wie verarbeitet werden – nicht nur im Sinne der EU-DSGVO.

 

Mitarbeiter-Schulungen und Weiterbildung: Der Endpoint ist eng mit den Usern verknüpft. Wenn über eine ausgeklügelte Endpoint-Security-Lösung Fakten und Einblicke in die Verarbeitung von digitalen Daten bestehen, ist es einfacher mit diesen Erkenntnissen gezielt Mitarbeiter auf die potenziellen Gefahren und bestehenden Risiken zu sensibilisieren und zu schulen. Viele Risiken können Unternehmen eliminieren, indem sie ihre Mitarbeiter entsprechend trainieren, wenn es beispielsweise um Ablage von Daten, Nutzung von Passwörtern oder mobiler Datenträger geht.

 

Mehrstufige Abwehrsysteme: Für die sichere Abwehr von Angriffen sind mehrstufige Abwehrsysteme gegen unautorisierten Datentransfer sinnvoll. Es ist wichtig, dass Software-Lösungen laufend in Echtzeit Prozesse, sowie Datenbewegungen und -speicherungen auf sämtlichen Ebenen analysieren. Entscheidend ist die Ebene des Betriebssystems (Kerneltreiber). Durch diese Technologien lässt sicher der Schutz auf Betriebssystem-Ebene automatisieren, so dass Protokollierungen von Datenzugriffen, Malware-Bekämpfung, Reaktionen auf Anomalien und Verschlüsselung von Daten ohne Produktivitätsverluste umgesetzte werden.

 

Automatisierter Schutz am Endpoint: Aufgrund der Anfälligkeit der Endpoints ist zu empfehlen, diese konsequent zu überwachen und Warnfunktionen einzurichten, die bei Eintreten einer Bedrohung automatische Response-Reaktionen hervorrufen.  Generell sollten sämtliche Datenzugriffe kontrolliert, protokolliert, gefiltert und verschlüsselt werden. Weiter sinnvoll ist die Implementierung von Echtzeit-Blockierfunktionen und Schutzmechanismen nach Malware-Infektionen und vor ungewollten Datenabflüssen. Wenn z.B. durch automatische Blockierung von Schadcodes die Ausführung von Malware in Echtzeit verhindert wird, obwohl deren Angriffsmuster noch nicht bekannt ist, wird in der überwiegenden Zahl der Fälle Schlimmeres verhindert. Arbeiten Lösungen systemzentrisch, so können auch Bedrohungen erkannt werden, deren Ursprung keiner Datei zuzuordnen sind. Dazu zählen etwa Fileless, In-Memory und Zero-Day-Exploit. Dennoch sollte darauf geachtet werden, dass Systeme nicht unnötig Alarm schlagen. Die Anbindung an das Security System ermöglicht einen Abgleich mit bereits erkannten Angriffsmustern. Falscher Alarm wird so leichter identifiziert und reduzieren den Bearbeitungsaufwand für die IT.

 

Kontrolle für den Administrator: Ein hoher Automatisierungsgrad schafft nicht nur Sicherheit sondern führt auch zur Entlastung des Administrators. Im Idealfall muss sich dieser nicht manuell um spezifische Bedrohungen kümmern. Dennoch sollte er einen Überblick über alle Vorgänge haben, insbesondere wenn es um Anomalien bei Datenbewegungen (z.B. auf Cloud-, Netzwerk- oder USB- Ebene), sowie Malware geht. Mit einem transparenten System ist er in der Lage, einzugreifen, wenn es nötig ist. Sofern die Sicherheitssoftware eine schädliche Outbound-Kommunikation, Datenmanipulation oder unautorisierte Verschlüsselung in Echtzeit erkannt und blockiert hat und dann den Administrator informiert, verschafft sie der IT Zeit, um die Eingangstore hinsichtlich möglicher Sicherheitslücken zu analysieren und neue Gegenstrategien zu entwickeln.

 

Entwicklung von Notfallplänen: Mit den richtigen Schutzmaßahmen lassen sich die meisten Angriffe von vornherein vermeiden oder rechtzeitig abwehren. Für den Fall, dass eine Attacke dennoch Schaden anrichtet, sollten Notfallpläne vorliegen. Es muss abteilungsübergreifend für jeden Beteiligten klar sein, was zu tun ist. Am besten bereiten entsprechende Trainings auf unterschiedliche Szenarien vor.

#Netzpalaver #Matrix42