Unsere US-Schwesterpublikation CSOonline hat kürzlich eine Studie zum Thema „IT-Sicherheit“ veröffentlicht. Für die Studie fragte der Sicherheitsspezialist in einschlägigen Foren sowie per E-Mail und Telefon nach den Erfahrungen mit traditionellen Sicherheitslösungen. Das Ergebnis: Gängige Standardwerkzeuge eignen sich allenfalls bedingt zur Gefahrenabwehr.
1. Antiviren-Programme
Seit Jahren beklagen Sicherheitsfachleute, dass Antivirenprogramme eigentlich überflüssig sind. Der Grund: Die Anbieter solcher Schutzprogramme kommen mit ihren Maßnahmen gegen immer neue Viren und Malware nicht hinterher. David Litchfield, Sicherheitsexperte und Buchautor, fasst sein fehlendes Vertrauen in Antiviren-Software so zusammen: „Diese Lösungen arbeiten komplett reaktiv und bieten nur wenig Schutz im Voraus. “
Per Regelwerk seien viele Unternehmen verpflichtet, Antiviren-Software einzusetzen. Die Fachleute setzen dagegen auf eine breite Mischung von Werkzeugen, um mit dem Problem von Malware und Viren fertig zu werden. Unternehmen benötigen weniger ein Werkzeug, als eine tiefgreifende Sicherheitsstrategie, um sich wirkungsvoll zu schützen.
„Jede Sicherheitstechnologie, die auf Reaktion setzt, wird über kurz oder lang scheitern. Antiviren-Lösungen funktionieren auf Dauer nicht, wie die jährlich sinkenden Erkennungsraten zeigen“, meint zum Beispiel Ari Takanen finnischen Anbieter proaktiver Sicherheitslösungen Codenomicon. „Alle Techniken, die Angriffe erkennen sollen, können über verschleierte Attacken ausgetrickst werden.“
Firewalls nur ein Beruhigungsmittel
2. Firewalls
Auch Firewalls halten einer genauen Überprüfung ihres Nutzwerts selten stand. Die Schwächen entsprechen weitgehend denen der Antiviren-Programme. Der Hauptgrund aber, warum diese Technik ebenfalls keinen dauerhaften Schutz bietet: Der zunehmend unübersichtliche Umfang der Gefahren sorgt dafür, dass auch Firewalls mehr und mehr überflüssig werden.
Guy Hadsall, ein Sicherheitsspezialist aus Washington D.C., kommentiert kurz und bündig: „Firewalls sind out. Wir können gar nicht genug Firewalls aufziehen, um unsere Geräte tatsächlich zu schützen.“ Eigentlich seien die Schutzwälle nur ein Beruhigungsmittel für die eigene Klientel: „Im besten Falle ist die Firewall eine Checkbox in der nächsten Sicherheitsüberprüfung, im schlimmsten ein Schnuller für Mitarbeiter, die sich wild durchs Internet klicken wollen“.
3. Identity- und Access-Management (IAM)/Multi-Factor Authentication
Identity- und Access-Management sowie Multi-Factor Authentication sind nicht dasselbe, haben aber eine Gemeinsamkeit: Der Schlüssel für die Wirksamkeit liegt in der Umsetzung dieser Technologien.
Das Problem ist nicht, dass diese Techniken nicht halten, was sie versprechen. Es besteht darin, dass viele Unternehmen es nicht richtig anwenden. „Es dauert mitunter Jahre, bis diese Anwendungen fehlerfrei arbeiten“, meint Scott Damron vom Sicherheitsberater Accuvant. Angesichts der rapide wachsenden Zahl von Viren und Malware hätten die Unternehmen aber diese Zeit nicht.
Schlecht implementierte IAM-Lösungen seien ähnlich verheerend, wie das Festhalten an schwachen Passwörtern, die IAM eigentlich ablösen sollte. Für Jennifer Jabbush, CISO bei Carolina Advanced Digital in North Carolina, sorgen solche schlecht gewartete Lösungen dann auch für eine reine „Wohlfühl-Sicherheit“: „Wirklich hilfreich sind solche Lösungen dann aber nicht“, so Jabbush.
Network Acces Control ist überbewertet
4. Network Access Control (NAC)
Aus denselben Gründen hält zumindest der eben zitierte Scott Damron auch die Network Access Control für überbewertet. „Es dauert einfach zu lange, bis solche Lösungen korrekt arbeiten“, kritisiert der Sicherheitsberater.
Ein Praktiker springt ihm bei dieser Einschätzung zur Seite: Tom Giangreco, Leiter der Informationssicherheit bei der gemeinnützigen SchoolsFirst Federal Credit Union aus Kalifornien: „Wir haben drei Jahre gebraucht, bis unsere NAC-Lösung unseren Ansprüchen genügt hat und nicht denen einer Universität, für die es ursprünglich entwickelt wurde“.
Eine Fortsetzung der Diskussion ist geplant: Demnächst wird es bei CIO.com auch einen Artikel zu den am meisten unterbewerteten Sicherheitstechnologien geben. Interessanterweise könnte es passieren, so die Kollegen von CIO.com, dass die hier genannten Lösungsansätze dort unter anderen Vorzeichen erneut auftauchen werden.