Thought Leadership
Andreas Junck, Senior Sales Director DACH bei Gigamon, stellt vor: Die vier größten Blind Spots, die die Sicherheit des Unternehmensnetzwerks gefährden, und das wirksamste Mittel gegen den Blindflug.
Sogenannte Blind Spots oder auch „blinde Flecken“ im Netzwerk treiben den meisten deutschen IT- und Security-Entscheidern die Schweißperlen auf die Stirn – laut einer aktuellen Hybrid-Cloud-Studie von Gigamon sind das 52 Prozent. Das hat zur Folge, dass eine von drei Sicherheitsverletzungen unentdeckt bleibt. Cyber-Kriminelle kennen und nutzen diese dunklen Ecken gezielt aus, um sich Zugang zum Netzwerk zu verschaffen und Malware zu platzieren oder Daten zu stehlen.
Die folgenden vier Blind Spots zählen zu den kritischsten und unter Cyber-Kriminellen beliebtesten Schwachstellen von Unternehmensnetzwerken. IT- und Sicherheitsteams sollten diese kennen und aufdecken bevor sie zu gefährlichen Sicherheitsrisiken werden.
Blind Spot 1: Verschlüsselter Datenverkehr
HTTPS gilt als sicheres Kommunikationsprotokoll, da es Daten verschlüsselt überträgt. Diesen Datenverkehr nutzen Cyber-Kriminelle immer häufiger als eine Art Tarnung und verstecken hier Malware und anderen Schad-Code. In Wahrheit verbergen sich 93 Prozent der Malware hinter einer SSL- oder TLS-Verschlüsselung – so eine Untersuchung von Watchguard Threat Lab. Das Vertrauen in diese Verschlüsselungsverfahren scheint allerdings groß zu sein, denn den meisten deutschen IT- und Security-Verantwortlichen fehlt der Einblick in diesen Datenstrom. Laut der Gigamon-Studie wissen nur 21 Prozent von ihnen, was sich in den verschlüsselten Daten befindet, die durch ihr Netzwerk fließen. Im Umkehrschluss bedeutet das, dass 79 Prozent den Datenverkehr ungefiltert passieren lassen.
Das liegt unter anderem daran, dass die Entschlüsselung, Analyse und Rückverschlüsselung viel Zeit, Geld und Rechenleistung kostet. Müssen Entscheider aus finanziellen Gründen auf die notwendigen Mittel verzichten, setzen sie ihr Unternehmen einem unnötig hohen Sicherheitsrisiko aus.
Blind Spot 2: Lateraler Datenverkehr
Cloud Computing, Smart Devices und Remote Work: Moderne Technologien bilden heute die Grundlage für einen flexibleren und produktiveren Arbeitsalltag. Für IT- und Sicherheitsteams sind sie der Nährboden für Blind Spots: Ein großer Teil des Datenverkehrs bewegt sich zwischen Geräten, Anwendungen und Systemen lateral durch das Netzwerk und umgeht damit die meisten Sicherheits- und Netzwerk-Tools (East-West Traffic). Laut der Gigamon-Studie wissen 47 Prozent der deutschen Unternehmen nicht, was genau sich in diesen Daten verbirgt. Dabei können Cyber-Kriminelle, die Zugang zum Netzwerk haben, den lateralen Traffic nutzen, um Malware zu verstecken. Die schleicht sich dann unbemerkt an den Türstehern des Netzwerks vorbei.
Blind Spot 3: Komplexität
Früher war die Netzwerküberwachung wesentlich einfacher als heute: Alles, was in das Netzwerk wollte, musste die gleiche Schwelle überschreiten, die um die gesamte zentralisierte IT-Landschaft herum aufgebaut wurde. Doch im Laufe der Zeit haben Unternehmen ihren Tech-Stack um moderne Technologien wie Hybrid-/Multi-Cloud-Umgebungen und IoT massiv erweitert. Auf der einen Seite erleichtern sie die Arbeit und erlauben eine flexible Arbeitsplatzwahl. Auf der anderen Seite verlagern sich Netzwerke, Systeme, Anwendungen und Daten zwangsläufig außerhalb der ursprünglichen Netzwerkgrenze. Diese Entwicklung hat in vielen Unternehmen zu einer sehr hohen IT-Komplexität geführt. Das macht es IT- und Sicherheitsteams nicht nur schwerer, den Überblick über alle Komponenten zu behalten. Auch Cyber-Sicherheitslösungen greifen in den wenigsten Fällen in hybriden und dezentralen Umgebungen.
Blind Spot 4: Shadow- und Legacy-IT
Es kommt vor, dass Mitarbeitende in ihrem Homeoffice mit ihren privaten Geräten arbeiten oder ohne das Wissen der IT fremde Anwendungen installieren – zum Beispiel, weil ihnen bestimmte Ressourcen fehlen, um produktiv arbeiten zu können. In der Regel fliegen diese nicht verwalteten Geräte und Anwendungen (Shadow-IT) unter dem Sicherheitsradar des verantwortlichen Teams, weshalb sie schnell zur Gefahr für das Unternehmensnetzwerk werden.
Gleiches gilt für Legacy-IT. Oftmals haben Unternehmen seit vielen Jahren dieselben Geräte wie Drucker und Kopierer im Einsatz. Da diese mittlerweile über veraltete, potenziell unsichere Protokolle mit dem Netzwerk kommunizieren, sind sie das ideale Zugangstor für Cyber-Kriminelle.
Mit Deep Observability Licht ins Dunkel bringen
Lediglich 28 Prozent der deutschen IT- und Security-Entscheider haben laut Gigamon vollumfängliche Einsicht in ihre gesamte IT-Landschaft – und zwar von den Anwendungen bis zum Netzwerk. Für Unternehmen, die die mangelhafte Sichtbarkeit bislang ignoriert haben, besteht dringender Handlungsbedarf. Sie müssen ihre Netzwerkumgebung transparenter machen, um ein umfangreiches Verständnis von ihrem Netzwerk zu erhalten – einschließlich aller Geräte, Anwendungen, User sowie Datenströme und wie sich die Daten bewegen. Erst dann können die verantwortlichen Teams jeden noch so obskuren Blind Spot aufdecken und verborgenen Sicherheitsrisiken entgegenwirken.
Dafür reichen herkömmliche Sicherheits- und Monitoring Tools allerdings nicht mehr aus, da Agents in der Regel nicht so eine tiefgehende Netzwerkeinsicht haben und hier auch keine analysierbaren Logs erstellt werden. Mithilfe von Deep Observability hingegen profitieren IT- und Sicherheitsteams selbst in komplexen Hybrid- und Multi-Cloud-Umgebungen von Sichtbarkeit bis hinunter auf Netzwerk- und Datenpaketebene. Sämtliche Daten, die in das Netzwerk kommen oder sich innerhalb des Netzwerks bewegen, werden analysiert. Deep-Observability-Mechanismen wie Application Filtering oder Deduplizierung filtern den verschlüsselten Datenverkehr und entschlüsseln nur relevante, potenziell riskante Pakete. Das schont nicht nur die Rechenleistung, sondern auch das Budget.
Darüber hinaus bildet die vollständige Netzwerkeinsicht die Grundlage für weitere Sicherheitskonzepte wie das Zero-Trust-Modell. Denn dafür müssen Teams ganz genau wissen, wo sich sensible Daten in ihrem Netzwerk befinden und wer oder was Zugriff auf diese Inhalte hat. Demnach führt für IT- und Security-Entscheider kein Weg an Deep Observability vorbei.
