Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Mobile, Cloud IT Security ist ein bisschen wie ein Wettlauf. Während Hacker sich immer gewieftere Angriff smethoden ausdenken, versuchen Sicherheitsexperten, mit geeigneten Maßnahmen gegenzusteuern. Umso wichtiger ist es, stets die aktuellen Sicherheitsvorfälle im Auge zu behalten. 2016 hat vor allem opferspezifische Malware für Furore gesorgt. 

Solche auf eine bestimmte Zielgruppe zugeschnittenen Schadprogramme mit komplexer Funktionsweise werden uns auch 2017 weiterhin beschäftigen. Dazu kommen Risiken durch den Einsatz mobiler Endgeräte im Unternehmen und die Verbreitung von Schatten-IT. Um sich bestmöglich zu schützen, brauchen Unternehmen ein ganzheitliches Sicherheitskonzept, das sowohl technische als auch organisatorische Maßnahmen umfasst. Hauptaugenmerk liegt dabei nicht zuletzt auf der Sensibilisierung der Mitarbeiter. Denn die größte Schwachstelle für die Unternehmenssicherheit ist und bleibt der Mensch.

Advanced Persistent Threats

Als Anfang des Jahres der Kryptotrojaner Locky großflächig auf Beutezug ging, waren sowohl Privatanwender, Firmen und öffentliche Verwaltungen davon betroffen. Die Schadsoftware schlich sich meist über einen präparierten EMail-Anhang auf die Computer der Opfer und verschlüsselte dort unbemerkt Dateien – auch auf Netzwerk- und Cloud-Speichern. Danach erhielten die Betroffenen eine Erpressernachricht, in der sie zur Lösegeldzahlung aufgefordert wurden.

Locky zählt zu den sogenannten Advanced Persistent Threats (APTs): Schadsoftware, die ein ganz bestimmtes Ziel verfolgt und dafür komplexe Techniken und Taktiken einsetzt. Sie ist auf klar definierte Opfergruppen zugeschnitten. Häufig dienen solche Schadcodes dazu, Unternehmen auszuspionieren und sich Daten zu erschleichen – oder wie im Fall von Locky Geld zu erpressen. APTs sind auf dem Vormarsch und werden Sicherheitsexperten auch weiterhin auf Trab halten. Technisch kann man ihnen mit verschiedenen Abwehrmitteln begegnen: Sandboxing-Mechanismen führen Inhalte, die per E-Mail oder Download ins Unternehmensnetz kommen, zunächst in einer abgeriegelten, virtuellen Umgebung aus. So lässt sich prüfen, ob bösartige Aktionen auftreten. Auch SIEMLösungen (Security Information and Event Management) sind ein wichtiges Security-Tool, um Schaden durch APTs zu vermeiden. Sie sammeln sicherheitsrelevante Daten, untersuchen diese in Echtzeit auf kritische Aktivitäten und steuern automatisch gegen.

Unternehmen sollten zudem proaktives Vulnerability Management betreiben und regelmäßig analysieren, wo ihre größten Schwachstellen liegen. Hierzu gehören zum Beispiel eine IT-Security-Qualitätssicherung sowie Penetrationstests. Gefahren durch Schatten-IT Ein weiteres Sicherheitsthema, das Unternehmen nachhaltig beschäftigt, ist Schatten-IT. Sie entsteht, wenn Fachabteilungen im Alleingang Cloud-Services buchen, ohne dass die IT-Abteilung dabei involviert ist, oder Mitarbeiter heimlich Dienste nutzen, die nicht für den Unternehmenseinsatz geeignet sind. Ein solcher Wildwuchs macht es für die IT-Verantwortlichen schwer, Sicherheitslücken zu schließen. Mitarbeiter gehen zudem oft fahrlässig mit Public-Cloud-Diensten wie Dropbox und Co. um, sodass sensible Daten und Informationen unkontrolliert das Haus verlassen. Zur Absicherung von Risiken durch die Cloud empfehlen sich zusätzlich zu den bekannten Netzwerk-Sicherheits-Tools sogenannte Cloud Access Security Broker (CASB). Sie machen die Cloud-Nutzung in Unternehmen transparent und setzen geeignete Kontrollmechanismen um. 

Mobile Security

Auch die zunehmende Verbreitung von mobilen Endgeräten und fließende Grenzen zwischen privatem und geschäftlichem Einsatz stellen ein Sicherheitsrisiko dar, mit dem sich IT-Abteilungen künftig noch intensiver auseinandersetzen müssen. Grundsätzlich gibt es zwei verschiedene Ansätze für mobile Security: Mobile Device Management (MDM) und eine Container-Lösung. Mobile Device Management schränkt die Nutzung eines Geräts ein, sodass nur Funktionen verfügbar sind, die mit der zentral konfigurierten Policy übereinstimmen. Gerade auf privaten Smartphones oder Tablets empfinden Mitarbeiter dies jedoch als großen Eingriff. Bei einer Container-Lösung bleiben die gewohnten Freiheiten dagegen erhalten. Sie trennt geschäftliche und private Daten auf dem Endgerät. Der Mitarbeiter installiert eine App, die die Kommunikation mit den Unternehmenssystemen über den integrierten VPN-Client steuert und dadurch absichert. Unternehmensdaten speichert die App in einem verschlüsselten Bereich, dem sogenannten Container.

Mitarbeitersensibilisierung

Bei allen technischen Sicherheitsmaßnahmen dürfen IT-Security-Verantwortliche jedoch den Menschen nicht aus den Augen verlieren. Denn je besser sich Unternehmen mit neuester Technologie absichern, desto eher suchen sich Angreifer leichter zu erreichende Ansatzpunkte. Die größte Schwachstelle sind die Mitarbeiter: Sie machen Fehler, klicken auf infizierte Dateien, gehen unvorsichtig mit sensiblen Daten um oder geben geheime Informationen an den freundlichen Besucher preis, nur weil der sich als Servicetechniker ausgibt. Mit geeigneten Schulungsmaßnahmen schaffen Sicherheitsexperten ein Bewusstsein für Gefahren. SecurityDienstleister wie die Axians IT Security bieten ein breites Portfolio an Trainings und Workshops, in denen Mitarbeiter sich sicherheitskonformes Verhalten am Arbeitsplatz aneignen können.

Information Security Management System

Entscheidend ist außerdem, dass alle Mitarbeiter genau wissen, wie sie sich im Stör- und Angriffsfall richtig verhalten. Das entsprechende Know-how muss gut dokumentiert und für alle zugänglich sein. Eine zentrale Rolle spielt daher der Aufbau eines Information Security Management Systems (ISMS). Darunter versteht man ein abgestimmtes Paket aus Sicherheits-Prozessen, Verfahren, Regeln und Verantwortlichkeiten. Ein gelebtes ISMS ist für Unternehmen eine zwingende Voraussetzung für die begehrte ISO27001-Zertifizierung, die die Einhaltung eines weltweit anerkannten Standards für die Sicherheit von Informationen und IT-Umgebungen bestätigt.

Entscheider und IT-Verantwortliche müssen sich dessen bewusst sein, dass ein fehlendes ISMS ein klares Sicherheitsdefizit darstellt. Zuweilen herrschen Vorbehalte, dass ein solches System eher zur Überprüfung der Arbeit der IT diene. Andere halten es für überflüssig, da in der Theorie ja alle potenziell Betroffenen Bescheid wissen sollten. Menschen verarbeiten Informationen aber auf unterschiedliche Weise. Um sicherzugehen, dass alle für den Ernstfall relevanten Informationen schnell zugänglich sind und Mitarbeiter zielgerichtet handeln können, ist ein ISMS unumgänglich.
Bei der Einführung eines solchen Systems kann es hilfreich sein, einen externen IT-Security-Dienstleister heranzuziehen. Auf Basis einer detaillierten Analyse erstellen die Experten ein auf das Unternehmen abgestimmtes Sicherheitskonzept.

Crocodial IT Security Bild1+

Ausblick

Die aktuellen Trends für die IT-Sicherheit werden sich auch im nächsten Jahr fortsetzen. Advanced Persistent Threats und die Schatten-IT werden weiterhin ein großes Thema sein. Mobile Security gewinnt zunehmend an Bedeutung, je mehr sich flexible Arbeitsmodelle durchsetzen.

Weitere Herausforderungen für 2017 bringt das neue Internetprotokoll IPv6 mit sich. Es macht den Umgang mit IP-Adressen komplexer. Vor allem für Unternehmen, die auf dem asiatischen Markt aktiv sind, wird das neue Protokoll immer wichtiger. Denn viele Lieferanten und Kunden in Asien nutzen bereits IPv6. Da bisher wenige Unternehmen in der Lage sind, die damit verbundene Komplexität im eigenen Hause zu meistern, empfiehlt sich auch hier die Unterstützung durch einen spezialisierten Dienstleister.

Olaf Niemeitz

 

 

 Autor: Olaf Niemeitz, Geschäftsführer Crocodial IT Security künftig Axians IT Security
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet