Phishing nimmt Unternehmen und Privatanwender ins Visier

Palo Alto Networks gibt fünf Tipps für Maßnahmen zum Schutz vertraulicher Daten

[datensicherheit.de, 08.09.2016] Phishing gilt längst nicht mehr als besonders neue Taktik, um an fremde Daten zu gelangen – und dennoch werden regelmäßig erfolgreiche Kampagnen bekannt. Unternehmen versuchten deshalb, den Erfolg von Phishing-Angriffen zu verhindern, indem sie das Sicherheitsbewusstsein der Mitarbeiter förderten – dies sollte auch ein zentraler Bestandteil der Sicherheitsstrategie sein, betont Palo Alto Networks. Doch trotz aller Anstrengungen fielen einzelne Benutzer weiterhin auf die Masche der Angreifer herein. IT-Sicherheitsexperten von Palo Alto Networks beschreiben fünf aktuelle Maßnahmen, um sich effektiv vor Phishing zu schützen.

Schutzbedarf richtet sich nach den als kritisch eingestuften Daten
Zunächst gelte es jedoch zu klären, was Unternehmen und Institutionen schützen wollen, bevor es darum gehe, wie dies geschehen soll:

• Welche geschäftskritischen oder vertraulichen persönlichen Daten sind gefährdet?
• Ist es der Software-Quellcode der Entwicklungsabteilung, sind es die Daten der Schüler in den Lehrerzimmer-PCs, Patientenakten im Krankenhaus oder wichtige Unterlagen zur bevorstehenden Fusion zweier Unternehmen?

„Je nachdem, wie kritisch die Daten sind, sollte auch der Schutzbedarf eingestuft werden“, rät Thorsten Henning, „Senior Systems Engineering Manager“ bei Palo Alto Networks. „Die nächste Frage wäre, wie die Daten geschützt werden können, auch wenn ein Phishing-Versuch erfolgreich war, d.h. der Angreifer bereits den Fuß in die Tür gesetzt hat.“

Fünf Maßnahmen für ein hohes Niveau an Sicherheit

Um ein hohes Niveau an Sicherheit zu erzielen, empfiehlt Palo Alto Networks die folgenden fünf Maßnahmen:

1. Umsetzung des Prinzips der geringsten Rechte
   Bestimmte, zu schützende Daten müssten nicht für alle Mitarbeiter zugänglich sein. Dieses Prinzip scheine einfach, werde aber nicht immer befolgt.
   Bei einer hochkarätigen Datenschutzverletzung bei einem großen US-Einzelhändler hätten die Angreifer die Anmeldedaten eines Drittanbieters gestohlen und dann „Memory-Scraping-Malware“ auf über 7.500 SB-Kassenterminals installiert. Dieser Drittanbieter hätte eben nicht Zugang zu Tausenden von POS-Terminals haben sollen.
   Um das Prinzip der geringsten Rechte zu verfolgen, gelte es zu identifizieren, wer Zugriff auf sensible Daten haben muss. Rollenbasierte Zugriffsverwaltung stelle sicher, dass der Zugriff überwacht werde. Darüber hinaus könnten Zugangskontrollen für jede Anwendung eingerichtet werden – durch Benutzerkontrolle mittels einer Next-Generation-Firewall zur Überwachung des gesamten Netzwerkverkehrs. Die Implementierung benutzerbasierter Zugriffsrichtlinien in der Firewall schütze sensible Daten, egal ob diese im Rechenzentrum, in einer privaten oder öffentlichen Cloud vorgehalten werden.
2. Hohe Integrität der Benutzeridentifizierung
   Die Zugriffskontrolle werde an mehreren Stellen implementiert. Beispielsweise identifizierten sich Benutzer zuerst am Endpunkt und dann würden Authentifizierungs- und Autorisierungs-Checks am VPN-Gateway, WLAN-Controller, an der Firewall und schließlich an der Anwendung ausgeführt.
   Die Benutzerkennung auf jeder Ebene müsse hochgradig zuverlässig sein. Dies bedeute erstens, dass Benutzer, die sich mit dem Netzwerk verbinden, innerhalb kürzester Zeit identifiziert werden müssten. Zweitens sei bei dynamischen Umgebungen eine schnelle Aktualisierung entscheidend, da Anwender von einer IP-Adresse zu einer anderen wechselten. Eine Möglichkeit sei hierzu der Einsatz von Zertifikaten auf Benutzerendpunkten. Es gelte dann sicherzustellen, dass die Firewall diese Benutzeridentität mit geringer Latenz erfasse, um unmittelbar die benutzerbasierte Zugriffskontrolle zu erzwingen.
3. Den Zugriff auf Anwendungen festlegen, nicht auf Server IP-Adressen
   Bislang sei der Zugriff auf Anwendungen unter Verwendung von IP-Adressen definiert gewesen. Im heutigen Umfeld, in dem sich Anwendungen bewegten, sogar von der privaten in die öffentliche Cloud, sei es notwendig, den Zugriff auf Anwendungen zu definieren, nicht auf IP-Adressen.
   Die Sicherheitslösung, wie etwa eine Firewall, sollte in der Lage sein, bekannte Anwendungen zu identifizieren und die Möglichkeit bieten, kundenspezifische Anwendungen zu definieren.
4. Nutzung von Benutzergruppen
   „Definieren Sie den Zugriff auf Anwendungen mittels Benutzergruppen anstelle von bestimmten, jeweils benannten Benutzern!“, so die Empfehlung. Diese Methode sei nämlich skalierbar und sicher.
   Werde eine Gruppe definiert, die Zugriff auf die Daten haben muss, könnten Benutzer ganz einfach hinzugefügt oder entfernt werden, ohne die Zugriffsrichtlinie auf der Sicherheitshardware verändern zu müssen. Die Gruppen könnten dabei in den Verzeichnisservern angelegt sein oder nicht. Wenn nicht, gelte es mit den Administratoren der Verzeichnisdienste hierfür eine Vorgehensweise zu definieren. Zum Beispiel könne eine Untergruppe von einer kleinen Anzahl Personen auf der Grundlage spezifischer Attribute angelegt werden. Sobald jemand das Unternehmen verlässt, werde der Benutzer aus der Gruppe im Verzeichnisserver entfernt und verliere automatisch Zugriff auf die sensiblen Daten.
5. Regelmäßige Audits und Überprüfung der Zugriffsregeln
   Richtlinien veränderten sich. Alte Anwendungen würden stillgelegt und neue eingeführt. Unternehmen könnten akquiriert werden, was Anpassungsbedarf nach sich ziehe. „Wie lässt sich nun sicherstellen, dass die Zugriffsrichtlinien, die vor Monaten definiert wurden, noch relevant und aktuell sind?“, lautet dann die Frage.
   Hierzu müssten regelmäßige Überprüfungsprozesse eingerichtet werden, in die auch die Unternehmensführung mit einbezogen werden müsse. Interne Audits oder die Sicherheitsprüfung für bestimmte Datenbestände gewährleisteten, dass das nötige Sicherheitsniveau stets in adäquatem Maße aufrechterhalten bleibe.