IT-Sicherheit: Blitzschnell in den Abwehrmodus

Die Firewall, so war ein Kunde von Gianluca De Lorenzis überzeugt, ist sicher.  Doch der Chef der IT-Beratung FGND Group fand eine Lücke, die es Angreifern dennoch erlauben würde, ins Netzwerk einzudringen: Der Konzern nutzte für eine interne Anwendung noch eine veraltete Version des Internet Explorers. Die Tragweite einer solchen Schwachstelle sei vielen Unternehmen nicht bewusst, sagt De Lorenzis: „Wenn man einmal im Unternehmensnetz drin ist, hat man schnell Zugriff auf alles.“

Auf 51 Milliarden Euro beziffert der Digitalverband Bitkom den jährlichen Schaden, der deutschen Unternehmen durch digitale Wirtschaftsspionage, Sabotage und Datenklau entsteht. In einer kürzlich veröffentlichten Studie berichten über die Hälfte der 1 000 befragten Unternehmen, entsprechende Vorfälle in den vergangenen zwei Jahren festgestellt zu haben. Nach Einschätzung der Befragten handelt es sich bei den Tätern oft um aktuelle oder ehemalige Mitarbeiter. Doch auch Hobby-Hacker und professionelle Verbrecherbanden werden in vielen Fällen als Täter vermutet.

Angesichtes der zunehmenden Attacken stehen IT-Abteilungen vor der Herausforderung, Vorfälle möglichst früh zu erkennen – und schnell gegenzusteuern. Sowohl organisatorisch als auch technisch ist das eine Mammutaufgabe: „Sehr viele Sicherheitslösungen müssen zusammenspielen, um das Schutzniveau zu erreichen, das sich das Unternehmen wünscht“, sagt Mathias Widler, Europachef des IT-Sicherheitsdienstleisters Zscaler.

Problematisch ist der ständige Zuwachs von Geräten, die ans Unternehmensnetz angeschlossen werden – seien es Smartphones, Tabletcomputer oder Netzwerkdrucker. Auch unterschiedliche Schutzniveaus in der Zentrale einer Firma und an anderen Standorten nutzen Hacker aus. „Jeder Angreifer sucht sich das schwächste Glied in der Kette“, sagt Widler.

Wenn es um die Abwehr einzelner Gefahren geht, sind viele Unternehmen zwar gut aufgestellt. Doch oft gleicht der technische Schutz einem Flickenteppich – die Sicherheitslösungen sind in der Regel nur für einzelne Aufgaben zuständig: Die Firewall kontrolliert als äußerer Ring ein- und ausgehende Datenpakete, andere Softwarelösungen verschieben und analysieren verdächtige Dateien, wieder andere Programme kontrollieren den verschlüsselten Datenverkehr.

Die Folge: Je nach Sensibilität der Systeme können täglich mehrere Hundert Alarmmeldungen in der IT-Abteilung eingehen und diese überlasten. „Es ist sehr wichtig, die Balance zwischen automatischer und manueller Analyse zu finden, um die Qualität zu sichern“, sagt Márton Illés, Technikchef des IT-Sicherheitsanbieters Balabit. Wird automatisch bei jedem Alarm ein System abgeschaltet, kann das die Unternehmens-IT unnötig lahmlegen. Umgekehrt darf es nicht zu lange dauern, bis eine klare Risikobewertung abgegeben wird – damit ein Eindringling in der Zwischenzeit nicht weitere Bereiche infiziert oder munter Daten abschöpft.

Mit Hochdruck arbeiten Forscher und Unternehmen daran, die automatisierte Analyse zu verbessern. Ein Hauptproblem bei dem Zusammenspiel der verschiedenen Sicherheitssysteme: „Die Daten müssen erst in eine gemeinsame Sprache übersetzt werden, um dann nach Auffälligkeiten und Hinweisen auf Angriffe suchen zu können“, erläutert Christoph Meinel, wissenschaftlicher Direktor des Hasso-Plattner-Instituts für Softwaresystemtechnik.

In einem Test mit realen Daten eines Dax-Konzerns gelang es den Forschern kürzlich, diese Übersetzung nahezu in Echtzeit zu erledigen – dank neuer Rechenkraft, die in kürzerer Zeit mehr Schichten durchsuchen kann. „Das erhöht die Genauigkeit der Analyse, weil man den Kontext von Daten im ganzen Netzwerkverkehr sieht – und die Erkenntnisse dann auch an die Verantwortlichen signalisieren kann“, sagt Meinel.

Nicht alle Unternehmen können die Analyse im eigenen Haus stemmen. Abhilfe versprechen Anbieter von Sicherheitslösungen aus der Cloud. Der Vorteil: Ist ein Schädling einmal in der Cloud identifiziert, merkt sich das Programm die Vorgehensweise. Das verringert die Verbreitungschancen von Applikationen wie Botnets, die zunächst unscheinbar wirken. „Durch ein intelligentes Zusammenspiel diverser Sicherheitstechnologien gibt es nahezu keine Fehlalarme – wenn einmal ein Fehler erkannt ist, wird er an alle Kunden in Echtzeit weitergegeben“, erklärt Widler.

Der Umgang mit Angriffen ist auch eine organisatorische Herausforderung. Wie die Bitkom-Studie ergab, verfügt bisher nur jedes zweite Unternehmen über ein adäquates Notfallmanagement. „Wichtig sind Mitarbeiter, die das gesamte Netzwerk überblicken können“, sagt Berater de Lorenzis. Im Ernstfalls gilt es schnell zu entscheiden, welche Teile der IT abgeschaltet werden können und müssen – und wie es gelingt, unternehmenskritische Bereiche möglichst frei von Infektionen zu halten. Balabit-Manager Illés rät zu standardisierten Prozessen, um im Ernstfall nicht improvisieren zu müssen.

Zu einer guten Vorbereitung gehört daher eine schonungslose Bestandsaufnahme der existierenden Sicherheitsmaßnahmen. Viele Unternehmen, so die Mahnung der Sicherheitsexperten, wissen zu wenig über die Belastbarkeit der eigenen Systeme – etwa hinsichtlich der sogenannten Denial of Service-Attacken (DDoS), bei der Server so lange mit sinnlosen Anfragen unter Dauerfeuer genommen werden, bis sie zusammenbrechen.

„Nur wenn man weiß, wann das System in die Knie geht, kann man abschätzen, ab wann ein Angriff tatsächlich bedrohlich wird“, sagt de Lorenzis. Auch sogenannte Penetrationstests helfen: Mitarbeiter oder selbst angeheuerte Hacker suchen dabei nach Schwachstellen, bevor sie von böse gesinnten Angreifern entdeckt werden.

Ratsam ist darüber hinaus eine eingehende Analyse vergangener Vorfälle, sagt Widler: „Wenn ich als Unternehmen weiß, dass mich jemand gezielt angegriffen hat, kann ich zumindest Rückschlüsse daraus ziehen.“ Eine saubere Auswertung sorgt so für einen wertvollen Lerneffekt der Unternehmens-IT, um sich für zukünftige Einbruchsversuche besser zu wappnen.

Erschienen am 18. Mai 2015 im Handelsblatt.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *