Security-Herausforderungen
IT-Sicherheit 2013: Trends und Technologien
Künftige Angriffe auf die IT-Sicherheit wirksam abwehren
Will man die Unternehmens- IT wirksam absichern, sind Strategien inklusive des Einbeziehens entsprechender Security-Technologien ratsam. Dabei sind detaillierte Analysen der Security-Risiken notwendig. Unsere Sicherheitsexperten geben deshalb Antworten auf die Frage: Wie beziehungsweise mit welchen Mitteln können Unternehmen ihre IT vor möglichen Bedrohungen, Sicherheitsrisiken oder Angriffen im Jahr 2013 schützen?
Dirk Knop, Jakobsoftware / AVG: "Der erste Schutzwall ist nach wie vor ein stets aktueller Virenschutz auf Servern und Clients. Dieser schützt bereits vor dem größten Teil der Schädlinge. Die IT steht vor der großen Aufgabe, verfügbare Sicherheits-Updates für die auf den Rechnern installierte Software in einem immer kleineren Zeitfenster auf Kompatibilität zu testen und rasch auszurollen."
Sorin Mustaca, Avira: "Keine Sicherheitslösung ist in der Lage, alle Angriffe zu erkennen und abzuwehren. Deshalb ist es besonders wichtig, Mitarbeiter für bestehende Gefahren zu sensibilisieren. Gezielte Schulungen können dabei helfen, denn der beste Schutz gegen bekannte und unbekannte Bedrohungen ist Vorsicht. Weiterhin sollten Unternehmen neben der Implementierung umfassender Sicherheitslösungen darauf achten, ausgereifte, gründlich getestete Software einzusetzen, die so wenig Angriffsfläche wie möglich bietet."
Alexandru Catalin Cosoi, BitDefender: "Unternehmen und Nutzer sollten immer daran denken, dass die Sicherheit eines Systems die gleiche Leistung haben sollte wie das schwächste Glied in der Kette. Die schwächste Komponente muss auch nicht unbedingt Teil des Systems sein, sodass die Verantwortlichen jedes einzelne Teil des Unternehmensnetzwerks prüfen müssen. Man sollte alles sehr genau überprüfen und jedes Element dediziert schützen: neben dem Server auch die Mitarbeiter des Unternehmens bis hin zum Wachmann."
Robert Rothe, Eleven: "Die Angriffswege sind bereits heute ebenso zahlreich wie vielfältig. Wichtig ist daher eine umfassende IT-Sicherheits-Strategie, die E-Mail-Sicherheit, den Schutz vor DDoS-Attacken und Websicherheit, aber auch den Schutz mobiler Endgeräte sowie Trends wie BYOD umfasst. E-Mails, manipulierte Websites, soziale Netzwerke, Smartphones, Tablets, externe Datenträger: Gefahren können heute auf unterschiedlichste Weise ins Unternehmensnetzwerk gelangen. Bleibt eine Tür offen, nützen die besten Schutzmaßnahmen in den anderen Bereichen wenig. Jedes Unternehmen sollte daher genau analysieren, welche möglichen Infektionswege vorhanden sind, und entsprechende Maßnahmen ergreifen. Ein effektiver Schutz sollte immer unternehmensseitig erfolgen und mit entsprechenden Richtlinien verbunden sein, die beispielsweise die Benutzung externer Datenträger verbindlich regeln. Entscheidend für den Erfolg eines Sicherheitskonzepts ist, dass auch die immer häufiger im Unternehmenskontext eingesetzten mobilen Geräte wie Laptops, Tablets oder Smartphones in die Maßnahmen mit eingebunden sind."
Rüdiger Trost, F-Secure: "Die Bedrohungslage für Unternehmen wird immer unübersichtlicher. Neue Hardware wie vor allem die mobilen, oft von privater Hand in das Unternehmensnetz "eingeschleppten" Tablets und Smartphones erfordern neue Mittel der Gefahrenabwehr und eine Schulung der Mitarbeiter für den sicheren Umgang mit mobiler Firmenhardware. Auch macht die zunehmende Verlagerung von Inhalten in proprietäre Umgebungen - etwa im Tablet-Segment - eine neue Risikoanalyse in Bezug auf Online-Content nötig.
Eine besondere Rolle wird zudem das Software-Updating spielen. Unterlassene Update-Installationen reißen Sicherheitslücken. Jede Patch-Ankündigung ruft die Hacker auf den Plan, die leider immer noch davon ausgehen können, dass die Lücken nicht geschlossen werden. Das Problem ist vor allem bei unregelmäßigen Update-Zyklen der Software virulent. Viele Administratoren sind mit der Aktualisierung ihrer Unternehmenssoftware überfordert. Sicherheitsdienste müssen daher auch Update-Lösungen bieten.
Ein Unternehmen sollte zudem einen Notfallplan ausarbeiten, damit, wenn es zu einem erfolgreichen Angriff kommt, nachvollzogen werden kann, welche Daten tatsächlich entwendet wurden. Beim unautorisierten Zugriff auf Daten können Unternehmen oft nicht mehr nachvollziehen, ob und wenn welche wichtige Informationen gestohlen wurden. Manche Unternehmen haben sogar nicht einmal definiert, welche Daten für sie wichtig sind. Security Policy steht immer noch auf der Agenda, ebenso wie die Schulung von Mitarbeitern, etwa die Aufklärung in Sachen Spear Phishing."
Christian Funk, Kaspersky Lab: "IT-Sicherheit sollte nicht nur mehr Aufgabe der IT-Abteilung sein, sondern von jeder Person in einer Firma gelebt werden, vom Angestellten bis hin zum Top-Management. Sicherheitsschulungen für alle Mitarbeiter können das Risiko einer Kompromittierung durch Malware stark verringern, da in vielen Fällen nach wie vor die "Mithilfe" eines Menschen bei der Durchführung einer Attacke benötigt wird. Dies wird meist durch Social Engineering erreicht. Des Weiteren muss eine Firma ihre Sicherheitsstrategie sowie ihre Policies pflegen, da sich die Natur der Angriffe über die Jahre verändert. Schutzmaßnahmen sind somit nicht in Stein gemeißelt, sondern müssen auf die Angriffsvektoren angepasst werden. Zu Guter Letzt erfordern die äußeren Gegebenheiten einer Organisation verschiedene Herangehensweisen: In welcher Branche arbeiten Sie? Welche Arten von Informationen sind besonders schützenswert? Sind sensible Informationen potenziell über das Internet erreichbar? Gibt es Mitarbeiter im Außendienst? Fragen dieser Art sollte sich jedes Unternehmen stellen und darauf abgestimmt Sicherheitsmaßnahmen formen."
Hans-Peter Bauer, McAfee: "Ein großer Teil der heutigen Angriffe und Schadprogramme in Unternehmen zielt auf Sicherheitslücken oder Konfigurationsfehler in Applikationen ab. Das zentrale Management aller Komponenten einer Sicherheitsstrategie und deren kontinuierliche Überwachung werden immer wichtiger, um den Überblick über Schutzmaßnahmen und sicherheitsrelevante Ereignisse zu behalten. Zudem müssen sich Unternehmen der bestehenden Online-Risiken bewusst sein und sich stets darüber informieren, wie diese Bedrohungen vermieden und bekämpft werden können."
Gerhard Eschelbeck, Sophos: "Sicherheit ist ein zentrales Element der BYOD- und Cloud-Revolution. Um Daten in einer Welt zu schützen, in der sich Systeme rasend schnell verändern und freier Informationsfluss herrscht, benötigen wir ein koordiniertes Ökosystem aus Sicherheitstechnologien - sowohl auf Endpoint- und Gateway-Ebene als auch auf Mobilgeräten und in der Cloud. Konzentrierte sich IT-Security früher auf die Geräte an sich, steht heute der Benutzer im Fokus, und die sicherheitstechnischen Anforderungen sind vielfältig. Eine moderne Sicherheitsstrategie muss sich auf alle Schlüsselfaktoren konzentrieren - das Durchsetzen von Richtlinien, die Verschlüsselung von Daten, die Zugriffsabsicherung auf Unternehmensnetzwerke, die Produktivitäts- und Inhaltsfilterung, das Schwachstellen- und Patch-Management und natürlich den Schutz vor Malware und sonstigen Gefahren."
Thomas Hemker, Symantec: "Ein wichtiger Punkt ist immer noch die Sensibilisierung der Mitarbeiter, was den Schutz von Daten angeht. Im Fokus von Unternehmen sollte die Sicherheit der Informationen stehen, nicht die der Hardware (inklusive mobiler Endgeräte). Wenn Mitarbeiter regelmäßig zum Thema Datensicherheit auf den aktuellen Stand gebracht werden, sie Trainings erhalten, wie sie Daten schützen können oder worauf sie bei der Nutzung und Speicherung von Unternehmensinformationen auf mobilen Geräten achten sollten, dann erhöht dies ihr Bewusstsein dafür, dass sie Smartphones und Tablets wie Rechner behandeln sollten.
Darüber hinaus sollte jedes Unternehmen eine dezidierte Sicherheitsstrategie und darauf basierende Anwenderrichtlinien entwickeln. Immer noch sehen sich beispielsweise knapp 50 Prozent der KMU nicht als Ziel von Cyber-Angriffen (2011 SMB Threat Awareness Poll), da sie der Meinung sind, dass Großkonzerne eher attackiert werden. Firmen dieser Größenordnung sollten unbedingt in Sicherheitslösungen wie Symantec Endpoint Protection (SEP) investieren. SEP ist ein mehrschichtiges Sicherheitssystem, das Unternehmen vor Malware sowie vor gezielten Attacken schützt."
Michael Haas, WatchGuard: "Im Grunde sind alle Funktionen relevant, die unter dem Begriff UTM (Unified Threat Management) zusammengefasst werden. Einen besonders hohen Stellenwert nimmt dabei das Intrusion Prevention System (IPS) ein - in Kombination mit Proxies für die wichtigsten Protokolle. Da die Übertragung der meisten Applikationen heute über HTTP/HTTPS erfolgt, können ungewollte Inhalte mit klassischen Mitteln unmöglich identifiziert werden. Erst tiefer gehende Untersuchungen auf Protokollebene gewährleisten Sicherheit.
Von essenzieller Bedeutung ist dabei, dass die Bedrohungen erst gar nicht bis zum Netzwerk der Unternehmen vordringen können, sondern bereits im Vorfeld erkannt und geblockt werden. Dabei ermöglichen die Lösungen von WatchGuard ebenso die sichere Nutzung von mitgebrachten mobilen Endgeräten wie dem iPhone. Es besteht keinerlei Gefahr mehr, wenn Mitarbeiter, die auch außerhalb ihres Büros auf betriebliche Daten zugreifen müssen, kostenfreie Wi-Fi-Hot-Spots oder öffentliche Netzwerke nutzen."