So können Unternehmen aktuellen Sicherheitsrisiken begegnen

Wird die IT-Sicherheit weitgehend automatisiert, verkürzen sich die Reaktionszeiten. Dafür müssen sich die Tools verschiedener Hersteller austauschen.

Die Bedrohung durch Ransomware nimmt stetig zu – allein im ersten Quartal 2016 stiegen die Angriffe im Vergleich zum Vorgängerquartal um 24 Prozent. Wie die Erpressungen üblicherweise ablaufen, zeigt der Fall des Hollywood Presbyterian Medical Centers in Los Angeles. Hacker drangen im Februar 2016 in das Computernetz des Krankenhauses ein und setzten alle wichtigen Systeme außer Gefecht.

Die gesamte Kommunikation kam zum Stillstand, Ärzte und Pfleger mussten auf Papier zurückgreifen, um die Grundversorgung der Patienten sicherzustellen. Die IT-Abteilung zeigte sich mit der Situation überfordert und auch externe Berater fanden keine schnelle Lösung. Schließlich sah sich die Krankenhausleitung gezwungen, das von den Hackern geforderte Lösegeld zu zahlen. Sie überwiesen den Kriminellen 40 Bitcoins, was einem aktuellen Gegenwert von zirka 20.000 Euro (Stand August 2016) entspricht.

Weshalb werden immer mehr Unternehmen Opfer von Hackern? Das Grundproblem ist vielschichtig. Erstens entwickelt sich Cyberkriminalität zu einem zunehmend komplexeren Phänomen. Wo ehemals vor allem Einzelpersonen agierten, sind mittlerweile multinationale Banden am Werk, die Know-how und Ressourcen zu bündeln verstehen. Sie können außerdem auf professionell entwickelte Software zurückgreifen, die ihre Arbeit wesentlich erleichtert.

Zweitens sind Unternehmensnetzwerke heute weniger einfach zu schützen als früher. Im Cloud-Zeitalter verschwimmen die Grenzen zwischen Systemen, Phänomene wie das Internet der Dinge oder Industrie 4.0 lässt die Menge der zu schützenden Anwendungen wachsen – und damit auch die Zahl der Sicherheitslücken und potenziellen Einfallstore.

Drittens herrscht in der IT derzeit ein massiver Mangel an Fachkräften. Laut einer Umfrage von Intel Security und dem Center for Strategic and International Studies (CSIS) klagen 82 Prozent der Unternehmen über einen Mangel an kompetenten Kräften im Bereich der IT-Security. Dieser wird sich sogar noch verschärfen: Bis 2020 werden voraussichtlich 15 Prozent der vakanten Stellen unbesetzt sein. Dieser in naher Zukunft nicht zu behebende Engpass verlangt nach neuen Ansätzen in der IT-Sicherheit.

Der Threat Defense Lifecycle

Im Angesicht der aktuellen Bedrohungslage müssen Sicherheitsexperten ihre Strategien verbessern. Um die Reaktionszeiten zu verkürzen, sollten sie in Zukunft wesentliche Teile der IT-Sicherheit automatisieren, denn selbstlernende Lösungen erkennen neue Bedrohungen schneller als Menschen. Es gilt, verschiedene Komponenten eines Systems auf eine bessere Zusammenarbeit hin abzustimmen. Dies lässt sich am besten anhand des „Threat Defense Lifecycle“ erklären, der aus drei Phasen besteht:

Protect (also der Schutz): Ziel der IT-Sicherheit muss es sein, die Produktivität der Benutzer zu steigern, verbreitete Angriffe zuverlässig zu blockieren und bisher unbekannte Techniken zu zerstören. Eine zentrale Plattform lässt Informationen von Endgeräten und Cloud zusammenlaufen und minimiert so die Fragmentierung der einzelnen Sicherheitsmaßnahmen. So können Angriffe wirksamer und mit weniger Aufwand bekämpft werden.

Detect (also die Erkennung): Einzelne Analyse-Tools sind nicht in der Lage, alle denkbaren Angriffe zuverlässig zu erkennen. Gerade ausgefeilte Techniken könnten durch das Raster fallen. Um auch unauffällige beziehungsweise versteckte Angriffsmuster zu entlarven, müssen vielseitige Analysen und mehrstufige, integrierte Verfahren implementiert werden. Je besser die einzelnen Sicherheits-Tools miteinander vernetzt sind und Informationen untereinander austauschen, desto größer ist der Fundus an globalen sowie lokalen Daten, auf die sie zurückgreifen können und desto effizienter können sie arbeiten. Die Integration einer Vielzahl an Verhaltens- und Kontextanalysen verschafft einen besseren Überblick über das System und beschleunigt die Identifikation von Bedrohungen. Da sich die Unternehmen unterschiedlich spezialisieren, kann durch eine Vernetzung der jeweiligen Anbieter ein großflächiger Schutz gewährleistet werden.

Correct (also die Korrektur): Um Angriffe abzuwehren, Schaddaten zu löschen und Sicherheitslücken schließen zu können, bedarf es zunächst verlässlicher Analysen und einer prinzipiell intakten Perimetersicherheit. Aber auch wenn im Falle konkreter Bedrohungen Maßnahmen ergriffen werden müssen, helfen Erfahrungswerte und eine möglichst breite Datenbasis weiter. Bereits gewonnene Informationen können automatisiert in Aktionen umgewandelt werden, die sich im Angesicht neuer Risiken ständig weiterentwickeln. Durch diese Automatisierung wird wertvolle Zeit gespart, in der Gegenmaßnahmen schneller eingeleitet und Sicherheitsrichtlinien angepasst werden können.

Der beschriebene Zyklus bietet die Voraussetzung für einen weiträumigen Schutz, der flexibel auf Bedrohungen reagieren kann. Um einen optimalen Informationsaustausch garantieren zu können, sind die einzelnen Lösungen darauf angewiesen, ihre Informationen weitgehend verlustfrei austauschen zu können.

Standards erleichtern die Kooperation

Ab einer bestimmten Größe sind Unternehmen darauf angewiesen, die Sicherheitsprodukte nicht eines, sondern gleich mehrerer Anbieter parallel einzusetzen. In einen Informationsaustausch können diese Tools nur dann treten, wenn sich die Hersteller zuvor auf industrieweite Standards geeinigt haben. Die US-amerikanische MITRE Corporation hat sich des Problems angenommen und STIX sowie TAXII auf den Weg gebracht.

Hinter den beiden Akronymen verbergen sich Open-Source-Standards, die den Austausch von Informationen über Sicherheitslücken, Angriffsvektoren und geeignete Gegenmaßnahmen erleichtern sollen. Structured Threat Integration eXpression (STIX) ist eine Sprache, die Datenerfassung im XML-Format ermöglicht. Der Trusted Automated eXchange of Indicator Information (TAXII) hingegen schafft eine Grundlage für den Austausch der gesammelten Informationen.

„Ab einer bestimmten Größe sind Unternehmen darauf angewiesen, die Sicherheitsprodukte nicht eines, sondern gleich mehrerer Anbieter parallel einzusetzen.“

Hans-Peter Bauer, Intel Security

Zahlreiche Hersteller haben in den letzten Monaten eine Schnittstelle für STIX und TAXII in ihre Produkte integriert. Die Security Innovation Alliance, ein Zusammenschluss mehrerer Sicherheitsanbieter und Partner, spielt bei der Verbreitung der beiden Standards eine wichtige Rolle. Sie bietet integrierte Sicherheitslösungen, durch die mehr Bedrohungen schneller und mit weniger Ressourcen abgewehrt werden können.

Durch die Implementierung von Standards kann es den Anbietern von Sicherheitslösungen gelingen, ihren Vorsprung gegenüber Cyberkriminellen wiederzuerlangen. Auch der Schutz komplexer und weitläufiger Unternehmensnetzwerke gestaltet sich so einfacher und zuverlässiger. Der Schutz vor Ransomware und vergleichbaren Bedrohungsszenarien sind letztlich eine technische Herausforderung, auf die eine geeignete Antwort gefunden werden muss. Die verstärkte Integration und die fortschreitende Automatisierung von Sicherheitsmaßnahmen sind unter anderem entscheidende Schritte in die richtige Richtung.

Über den Autor:
Hans-Peter Bauer ist Vice President Central Europe bei Intel Security. Er wechselte zum 1. Januar 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA verantwortlich war. Er bringt eine mehr als 20-jährige Erfahrung in der Computer- und Informationstechnologie-Branche in seine Position ein. Intel Security fokussiert sich mit seiner Security-Integrated-Strategie, einem Ansatz für hardwareunterstützte Sicherheitslösungen und einem Global-Threat-Intelligence-Netzwerk, auf die Bereitstellung von proaktiven Sicherheitslösungen, die Systeme, Netzwerke und mobile Geräte im geschäftlichen und privaten Umfeld weltweit schützen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Warum Industriestandards wie STIX und TAXII in der IT-Sicherheit notwendig sind.

Best Practices: Ransomware verhindern oder eindämmen.

Ransomware: Die Malware-as-a-Service-Infrastruktur dahinter.

Was das BSI-Zertifikat für IT-Sicherheitsprodukte und Anwender bedeutet.

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close