Anzeige

Sicherheit Schloss

Mit der zunehmenden Verbreitung von „Bring Your Own Device“, Schatten-IT und Telearbeit wird die IT-Sicherheit im Unternehmen stark beansprucht. Die Cyberbedrohungen in der Arbeitswelt sind zahlreich, weshalb Lösungen sorgfältig anhand der Definition von zu erkennendem verdächtigem Verhalten evaluiert werden müssten. Eine aufgrund der Komplexität des Themas schwierige Aufgabe. Stormshield bringt Licht ins Dunkel.

Auf einer Workstation kann verdächtiges Verhalten verschiedenartig definiert werden. Zu nennen wäre etwa Software, die ohne Wissen der IT-Abteilung installiert ist und auf Schatten-IT hinweisen könnte. Dann gibt es Anwendungen, die unzweifelhaft als Schadsoftware zu klassifizieren sind. Beispielhaft sei hier Ransomware zu nennen, die nach ihrer Aktivierung schnell damit beginnt, Back-Ups zu löschen und Dateien zu verschlüsseln. Schließlich besteht verdächtiges Verhalten auch aus Ketten eigentlich gewöhnlicher Einzelaktionen, die unbemerkt ausgeführt werden und Schaden anrichten, bevor sie als Bedrohung erkannt werden. Dies ist insbesondere bei APTs („Advanced Persistent Threats“) der Fall.

„Heute sind IT-Manager dafür verantwortlich, verdächtiges Verhalten zu definieren. Die IT-Abteilung ist jedoch nicht allwissend: Arbeitspraktiken und Anwendungen, die von der Norm abweichen und daher als verdächtig gelten, sind in bestimmten Berufsfeldern womöglich üblich und dürfen nicht aufgehalten werden“, erklärt Uwe Gries, Country Manager DACH bei Stormshield.

„Das Definieren von verdächtigem Verhalten dient dem Verständnis, was als Solches erkannt werden muss“, informiert Gries. Diese Analyse erfordert jedoch tiefgreifende Kenntnisse über die Angriffstechniken und insbesondere die Hauptvektoren von Workstation-Infektionen. Drei davon stechen besonders hervor:

Phishing

Phishing wird von 75 bis 80 % der Malware verwendet. Es ist unter Angreifern beliebt, da es sowohl einfach durchzuführen als auch effektiv ist und sehr viele Personen erreichen kann. Die Phishing-Angriffe haben in den letzten Monaten vor dem Hintergrund der Corona-Pandemie, die von Angreifern ausgenutzt wurde, erheblich zugenommen. Darüber hinaus hat die Verlagerung eines großen Teils der Bevölkerung auf Telearbeit diesen Trend weiter verstärkt. Ersten Zahlen zufolge hätten die Phishing-Versuche beispielsweise in der ersten Woche des Lockdowns um 400 % zugenommen.

USB-Geräte

Die Masche besteht darin, einen USB-Stick mit schädlichem Inhalt in der Nähe eines Zielunternehmens auf den Boden zu legen. Die natürliche Neugier einiger Mitarbeiter soll dann dafür sorgen, dass der Stick mitgenommen und an eine Workstation angeschlossen wird.

Remote-Desktop-Protokolle

RDPs („Remote Desktop Protocols“) ermöglichen den Zugriff auf entfernte Rechner und werden gern von Ransomware zweckentfremdet. Auch bei den RDPs verstärkten die Umstände der Pandemie dieses Phänomen und insbesondere Brute-Force-Angriffe. Mitarbeiter greifen durch den Lockdown und die Verbreitung der Telearbeit verstärkt von ihren persönlichen Terminals aus auf ihr berufliches Umfeld zu, ohne unbedingt auf dem aktuellen Stand der IT-Sicherheit zu sein. Die Anzahl der RDP-Kompromittierungen hat daher erheblich zugenommen.

Lösungen zum Schutz der Endgeräte als Rettung

Bisher waren Antivirenprogramme das Mittel der Wahl gegen Cyberangriffe. Neben Endpoint-Lösungen wurden auch andere Verfahren in Betracht gezogen, etwa Sandboxing, mit dem unbekannte oder verdächtige Elemente risikolos in einer isolierten Testumgebung ausgeführt werden können. Ob einzeln oder kombiniert, erwies sich dieser Ansatz schnell als unzureichend, da bestimmte Angriffstechniken versuchen, sich vor der Schutz-Software zu verstecken. Daher müssen Lösungen her, die den gebotenen Schutz um die Erkennung verdächtiges Verhaltens ergänzen.

Fortschrittlichere Sicherheitslösungen wie „Endpoint Protection Platforms“ (EPP) kamen auf, die verdächtiges und eindeutig schädliches Verhalten erkennen und über Workstation-Schutzfunktionen verfügen. Danach erschien das „Endpoint Detection & Response“ (EDR), das auf die Anforderung der proaktiven Erkennung verdächtigen Verhaltens reagiert, indem alles genau verfolgt wird, was auf einer Workstation geschieht, und schwache Signale erkannt werden, etwa den plötzlichen Start zahlreicher Operationen auf derselben Workstation.

EPP- und EDR-Lösungen bieten jeweils interessante Schutz- und Erkennungsniveaus und ergänzen sich vor allem je nach Einsatzbereich der Unternehmen. Eine Technologie, die häufig mit EDR einhergeht, ist künstliche Intelligenz (KI). „Die KI bringt insbesondere eine stärkere Rechenleistung mit sich, die es ermöglicht, unerwartete Verhaltensweisen zu klassifizieren und besser auf sie reagieren zu können“, erklärt Gries.

Die Hersteller müssen in der Lage sein, die Schutzlösungen so zu gestalten, dass sie alle Regeln von vornherein einbetten, damit die richtige Erkennungsstufe bereitgestellt werden kann. Um effektiv zu sein, müssen diese Lösungen daher Schutzmaßnahmen und zugehörige Verhaltensmuster kombinieren. Und doch sind Endpoint-Lösungen naturgemäß nicht unfehlbar. Zur Begrenzung von Fehlalarmen ist es empfehlenswert, eine Whitelist (oder Allowlist) festzulegen, um legitime Anwendungen nicht zu blockieren. Zur Gewährleistung vollständiger Wirksamkeit, sollte man zudem diesen Ansatz für jedes Unternehmen maßgeschneidert verfolgen und den Schutz an unterschiedliche Verhaltensweisen anpassen. 

Uwe Gries, Country Manager DACH
Uwe Gries
Country Manager DACH, Stormshield
Als Country Manager DACH bei Stormshield verantwortet Uwe Gries seit Januar 2018 die Aktivitäten des Unternehmens im gesamtdeutschen Sprachgebiet. Dank der über zwanzigjährigen berufliche Laufbahn in Führungs- und Managementfunktionen im Vertrieb von Soft- und Hardware mit disziplinarischer Verantwortung für bis zu knapp 60 Mitarbeitern bei Unternehmen wie G DATA Software AG, Avira, Computacenter u.v.m. verfügt Gries über umfangreiche Erfahrung im direkten und indirekten Vertrieb und ausgezeichnete Kenntnisse der IT/ITC-Märkte.

Artikel zu diesem Thema

Whitepaper EDR on Premises?
Mär 31, 2021

EDR on Premises?

Endpoint Detection and Response (EDR) war bis vor wenigen Jahren großen Unternehmen mit…
Cyber Attacke
Dez 14, 2020

Konzernzentrale bis Homeoffice: Angreifer nutzen jede Front

Der veröffentlichte Internet Security Report von WatchGuard Technologies für das dritte…
BYOD
Nov 27, 2020

Fallstricke beim BYOD-Modell: Worauf müssen Länder und Kommunen achten?

Mobiles Arbeiten beschleunigt die öffentliche Verwaltung und ermöglicht den Mitarbeitern…

Weitere Artikel

Ransomware

Fertigungs- und Produktionsbetriebe zahlen am seltensten Ransomware-Lösegeld

19 Prozent. Nur so wenige Unternehmen aus der Fertigung und Produktion bezahlen Lösegeld nach einem Ransomware-Angriff, um ihre verschlüsselten Daten zu befreien. Weitaus weniger als der branchenübergreifende Durchschnitt mit 32 Prozent.
Industrie 4.0

Schlecht geschützte industrielle Steuerungssysteme gefährden KRITIS

Industrielle Steuerungssysteme sind oft unzureichend gegen Cyberattacken gesichert, wie Sicherheitsforscher von CloudSEK berichten. Das betrifft auch Unternehmen der Kritischen Infrastruktur.
Cyber Crime

Brand Protection - Von Einhörnern und Cyberverbrechen

Unternehmen investieren viel Geld und Energie in den Markenaufbau. Die Marke ist mittlerweile einer der wichtigsten Erfolgsfaktoren eines Unternehmens – ob Mittelstand oder Großkonzern. Sie zu schützen ist also essenziell.
TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?
Identität

Rootkits: neuer Trend bedroht Online-Gamer

Die Experten der Bitdefender-Labs haben mit FiveSys ein neues Rootkit identifiziert, welches eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.