Von unserem Gastautor Sergej Schlotthauer, VP Security bei Matrix42

[datensicherheit.de, 20.08.2018] 70 % aller Malware-Ausbrüche haben ihren Ursprung in den Geräten, die Mitarbeiter für die Arbeit einsetzen. PCs, Laptops, Mobiltelefone und Tablets dienen Angreifern als Einfallstore in die Unternehmen. Wenn Unternehmensdaten und die Produktivität der Mitarbeiter effektiv geschützt werden sollen, ist ein Fokus auf diese Endpoints unumgänglich. Der effektive Schutz der Endpoints wird zum Fokus jeder IT-Security-Strategie!
Die Anzahl der Cyber Security Incidents steigt kontinuierlich; die Nachfrage nach effektiven Sicherheitslösungen genauso. Nach Patentlösungen wird fieberhaft gesucht. Denn klar ist, die Anfälligkeit für Angriffe wird durch die fortschreitende Digitalisierung und Vernetzung noch größer.

Herausforderung: Angriffe in Echtzeit erkennen

Einer der wichtigsten Faktoren, um einen effektiven Schutz aufzubauen, ist das rechtzeitige Erkennen von Angriffen. 70 % der Malware-Infektionen werden von AntiVirus-Lösungen erst gar nicht erkannt. [1] Die Malware verschafft sich über ein oder mehrere Endgeräte Zugang zum Unternehmensnetzwerk und nistet sich dort unbehelligt ein. Im Durchschnitt sind Unternehmenssysteme bereits seit 200 Tagen infiltriert, bevor dieser Umstand überhaupt erkannt wird. Je später ein Angriff bemerkt wird, desto mehr Schaden kann entstehen, sei es der Diebstahl oder die Manipulation von Daten, oder die durch Datenverschlüsselung beeinträchtigte Produktivität der Mitarbeiter.

Nicht Angriffe, sondern Schaden verhindern

Wie aber kann Schutz funktionieren, wenn die Angriffe immer häufiger und immer ausgefeilter werden und die Angriffsflächen der Unternehmen immer größer? Effektiver Schutz beginnt mit der Erkenntnis, dass Attacken kaum noch verhindert werden können. Firewalls und Antiviren-Tools bieten keinen ausreichenden Schutz vor Viren, Trojanern und Ransomware. Sehr wohl unterbunden werden kann allerdings die Entstehung des Schadens durch Malware-Ausbrüche. Zielführender, als sich auf die Prävention von Infiltrierungen zu konzentrieren, ist es, die Ausbreitung von Schadsoftware zu verhindern, wenn sie bereits ins Unternehmensnetzwerk eingedrungen ist. Da die Einfallstore in den meisten Fällen die Endpoints sind, gilt es das Augenmerk auf deren Sicherheit zu legen.

EDR, SIEM und SOM reichen nicht aus

Eine bunte Palette an unterschiedlichen Sicherheitslösungen steht den Unternehmen zur Verfügung. Endpoint Detection and Response Lösungen (EDR), Security Incident und Event Management Lösungen (SIEM) sowie Security Operation Management Tools (SOM) bieten zweifellos viele Vorteile. Dennoch ist der Schutz stets unvollständig. Sei es, dass das Tool die Priorität der jeweiligen Attacke zu niedrig einschätzt oder die Anzahl der von der Lösung aufgezeigten Attacken für die verantwortlichen IT-Mitarbeiter schlichtweg nicht bewältigbar ist, weil jede Eindämmung zu viele manuelle Eingriffe erfordert.

Automated Endpoint Security

Der Schutz von Daten und Produktivität muss automatisiert erfolgen, unabhängig davon, ob ein Angriff von außen erfolgt oder die Gefahr von innen ausgeht, weil etwa ein Mitarbeiter Daten auf einen nicht autorisierten USB-Stick kopieren will. Automated Endpoint Security Lösungen bieten effektiven Schutz, weil sie:

• sich darauf konzentrieren, Angreifer am Erreichen ihres Ziels zu hindern: dem Stehlen, Manipulieren oder Verschlüsseln von Endpunkt- und Serverdaten
• die Funktionen einer Endpoint Prevention Plattform mit denen einer Endpoint Detection and Response kombinieren
• Datendiebstahl in Echtzeit verhindern, indem sie auf der Ebene des Betriebssystems agieren
• Echtzeitschutz gegen Ransomware gewährleisten
• erst dann eine Warnmeldung absetzen, wenn es zu einer schädlichen Outbound-Kommunikation, Datenmanipulation kommt oder wenn sie eine unautorisierte Verschlüsselung unterbunden haben

Dennoch: Awareness ist wichtig

Automated Endpoint Security Lösungen bieten umfassenden Schutz. Dennoch darf eines nicht außer Acht gelassen werden. Gegen die Unvorsichtigkeit von Mitarbeitern hilft keine noch so gute Lösung. Das Bewusstsein für den sicheren Umgang mit Daten muss geschärft werden. Wenn Mensch und Software optimal agieren, haben Angreifer es schwer, erfolgreich zu sein.

[1] Quelle: SC Magazin

Bild: EgoSecure

Sergej Schlotthauer, Geschäftsführer EgoSecure und Vice President Security bei Matrix42 AG

Er ist seit 2007 Geschäftsführer der EgoSecure und heute als Vice President Security bei Matrix42 für den weiteren Ausbau des Bereichs Security verantwortlich. Zusammen mit einem Team aus 70 Mitarbeitern bildet er das Center of Excellence for Security.

Weitere Informationen zum Thema:

datensicherheit.de, 16.03.2018
Unternehmen hinken bei EU-DSGVO-Anpassung hinterher

datensicherheit.de, 20.09.2017
Innentäter bedrohen Unternehmenssicherheit

datensicherheit.de, 13.04.2017
Sicherheitslösungen müssen unkompliziert in der Anwendung sein

[datensicherheit.de, 31.03.2016] Zum heutigen World Backup Day empfiehlt die SEP AG das Thema Backup in der IT-Security-Strategie fest zu verankern. Die aktuellen Cyberattacken durch Verschlüsselungstrojaner, bei denen Produktivdaten in Unternehmen und Organisationen verschlüsselt und damit unbrauchbar gemacht werden, zeigen die Notwendigkeit für den Einsatz einer durchdachten Backupstrategie. Nur so lässt sich der Geschäftsbetrieb so schnell wie möglich wiederherstellen.

Auslagern der Backup-Daten

Der wirksamste Schutz bei solchen Attacken ist das Auslagern der Backup-Daten. Dies geschieht durch den sogenannten Medienbruch, also das Erstellen einer automatischen, zeitgesteuerten Kopie der Sicherungssätze auf ein auslagerbares Medium, wie beispielsweise ein Magnetband. Der Aufbewahrungszeitraum der Backup-Daten sollte angesichts der schleichenden und unentdeckten Ausbreitung der Trojaner um mehrere Wochen verlängert werden. Da sich die Schadsoftware ständig mit neuen Signaturen verbreitet, sind Viren-Scanner bei der Erkennung dieser Art von Malware weitgehend wirkungslos. Der einzige wirksame Schutz vor dem Daten-Totalverlust ist die Wiederherstellung von nicht infizierten Daten mittels einer ausgereiften Datensicherungslösung. Durch die jüngsten Ereignisse wird deutlich, dass neben den eingeführten IT-Security-Lösungen die Datensicherung und Wiederherstellung eine tragende Säule bei der Absicherung von IT-Infrastrukturen darstellt.

„Wir haben in den letzten Wochen einigen betroffenen Kunden bei der zügigen Wiederherstellung ihrer Daten geholfen“, sagt Georg Moosreiner, Vorstand der SEP AG. „Dank unserer Datensicherungslösung konnte der Geschäftsbetrieb schnell wiederhergestellt werden. Zum heutigen World Backup Day rufen wir daher erneut dazu auf, umfassende Backup-Strategien und -Lösungen in Unternehmen und Organisationen unter dem Gesichtspunkt der IT-Security einzuführen. Denn wenn der präventive Schutz vor Bedrohungen nicht wirkt, hilft nur eine ausgeklügelte und erprobte Datensicherungs- und -wiederherstellungs-Lösung.“

Bild: SEP AG

Erläuterung der Infografik:

1. Infektion hat stattgefunden.
2. Sie wird von den IT-Administratoren erkannt.
3. Anhand der Backups analysieren, wann der Befall stattfand und wie die Ausbreitung verlaufen ist. Und durch Vergleiche der Sicherungssätze erkennen, wo sich die Schadsoftware befindet. Dazu werden Daten Betriebssystem-übergreifend verfügbar gemacht. Dies erfolgt auf einem abgeschotteten, integren System, beispielsweise mit Hilfe von Forensik Linux KALI.
   • Die Backup-Daten werden von Wechselmedien (Bandlaufwerken) auf bereinigte Backup-Festplatten eingelesen und Read-Only gemountet.
   • Vergleich von Datensätzen von verschiedenen Zeitpunkten.
   • Sichere Datensätze werden erkannt und wiederhergestellt.
4. Das System kann wieder anlaufen und der IT-Betrieb ist wieder lauffähig.