Kontinuierliches und proaktives Überwachen des Netzwerks verschafft den Unternehmen den vollständigen Überblick über sämtliche Vorgänge in ihren Infrastrukturen.
Dieses Jahr häuften sich Schlagzeilen von Attacken auf die IT-Systeme von Unternehmen, die enorme Datenverluste zur Folge hatten. Unabhängig davon, ob die Ursache dafür unbekannte Schwachstellen, auf Überlastung abzielende, gesteuerte Massenangriffe (Distributed Denial of Service-Attacken, DDoS) oder ganz allgemein zu laxe Richtlinien für die Daten- und Informationssicherheit in Unternehmen sind: Datenlecks sind heute allgegenwärtig. Tatsächlich gibt es ein Konsens darüber, dass es absolute IT-Sicherheit für Organisationen nicht geben kann und Hacker es schaffen, in Unternehmensnetze einzudringen. Doch sie können gestoppt werden, bevor sie geschäftlichen Schaden anrichten.
Böswillige Insider und fahrlässige Mitarbeiter. Bislang haben sich Unternehmen bei ihren Anstrengungen, Datenpannen zu unterdrücken, darauf konzentriert, externe Bedrohungen aufzuspüren und sich davor zu schützen. Doch viele der aktuellen Angriffe zeigen, dass oftmals Insider daran beteiligt sind. Ein Beispiel ist der Fall Ofcom: Hier hat ein ehemaliger Mitarbeiter große Mengen sensibler Daten über mehrere TV-Unternehmen gestohlen und diese seinem neuen Arbeitgeber angeboten – einem Wettbewerber seines ehemaligen Arbeitgebers. Dieser Fall zeigt: Wenn wichtige, schützenswerte Informationen für Mitarbeiter zugänglich sind, besteht die Möglichkeit, dass jemand seine Vertrauensposition ausnutzt.
Ein weiteres Problem ist, dass viele Organisationen überzeugt sind, dass Insider-Bedrohungen sich nur auf Mitarbeiter beziehen, die vorsätzlich bösartig handeln. Doch das stimmt nicht immer. Es gibt auch Angestellte, die unwissentlich Helfer für außerhalb agierende Angreifer werden – das Spektrum möglicher Insider-Bedrohungen ist wesentlich breiter als vielen Unternehmen bewusst ist. Tatsächlich können unbeabsichtigte Insider-Bedrohungen sich zu sehr viel größeren Problemen für eine Organisation entwickeln – eben weil es so viele Möglichkeiten gibt. Oft reicht ein unbedachter Klick oder ein Download, um beispielsweise sensible Finanzdaten des gesamten Unternehmens preiszugeben. Ein Beispiel ist der Datendiebstahl bei Target im Jahr 2013, bei dem Kriminelle Kreditkartendetails von 40 Millionen und persönliche Informationen von 70 Millionen Kunden erbeuteten. Was viele nicht wissen: Die Hacker gelangten mit den Zugangsdaten eines Angestellten, die sie zuvor gestohlen hatten, in das Netzwerk des Händlers.
Letzten Endes ist es egal, ob ein Angriff böswillig erfolgt oder nicht – das Ergebnis ist häufig dasselbe. Die im letzten Jahr beschlossene European General Data Protection Regulation (GDPR) der Europäischen Union, zu deutsch: EU-Datenschutz-Grundverordnung (EU-DSGVO), wird die Grundlage für eine einheitliche Herangehensweise an die Datensicherheit in ganz Europa schaffen. Unternehmen, die Opfer von Datenverlusten werden, drohen dadurch härtere Strafen. Ab dem ersten Quartal 2016 werden Unternehmen zwei Jahre Zeit haben, ihre IT-Infrastruktur an die Bestimmungen der GDPR anzupassen. Wichtig ist vor allem, dass sie in der Lage sind, sowohl externe als auch interne Bedrohungen zu identifizieren und zu stoppen, bevor sie Schaden anrichten können.
Insider-Bedrohungen stoppen ist möglich. Zu lange haben Organisationen zu viel in Schutzmaßnahmen an ihren Netzwerkgrenzen investiert – Firewalls, Antivirus-Lösungen und andere. Damit können sie Kriminelle von ihren Netzwerken fernhalten. Dies führt zu einem trügerischen Gefühl vermeintlicher Sicherheit – und hat sich immer wieder als ein falscher Ansatz herausgestellt. Selbst wenn er bislang funktioniert hat, versagt er bei Insider-Bedrohungen, bei denen sich die Person bereits innerhalb des Netzwerks befindet. Dies gleicht dem Versuch, eine Burg mit Wassergräben zu schützen, obwohl die Mauern längst mit Fluggeräten überwunden werden können. Daher müssen Organisationen ihre Investitionen für die Cybersicherheit mehr darauf ausrichten, ihre Netzwerke überwachen und bei Bedarf schnell und richtig reagieren zu können.
Nur durch kontinuierliches und proaktives Überwachen des Netzwerks werden Unternehmen in der Lage sein, den vollständigen Überblick über sämtliche Vorgänge in ihren Infrastrukturen zu erlangen. Dies erlaubt es, jede fragwürdige und ungewöhnliche Aktivität sofort zu identifizieren. Tatsächlich können Kleinigkeiten auf einen Befall hindeuten, etwa das regelmäßige Umbenennen von Dateien, das Herunterladen von ungewöhnlich vielen Dokumenten oder der Zugriff auf eine autorisierte Datei zu einem ungewöhnlichen Zeitpunkt. Organisationen können sich nicht immer darauf verlassen, dass ihr IT-Sicherheitsteam auch solche Aktionen im Auge behält, die auf den ersten Blick völlig normal aussehen.
Schnelles Erkennen ist erforderlich, um schädliche Aktivitäten zu identifizieren, bevor diese zu einer handfesten Datenpanne auswachsen. Nach dem Erkennen der anormalen Aktivität müssen Firmen schnell und automatisiert darauf reagieren – mit dem Ziel, die Bedrohung zu unterdrücken und jedes Risiko für wichtige Informationen abzuwenden. Mithilfe von Werkzeugen, die das Benutzerverhalten analysieren, müssen IT-Teams verstärkt das Anwenderverhalten überwachen. Auf Basis dieser fortschrittlichen Techniken lassen sich veränderte Verhaltensmuster schnell aufdecken – unabhängig davon, ob es sich um einen Anwender handelt, der gerade unbedacht handelt – oder um einen Kriminellen, der sich über die gestohlenen Zugangsdaten des Benutzers Zugang zum Netzwerk verschafft hat.
Ohne Zweifel haben IT-Sicherheits-Tools für die Absicherung der Netzwerkgrenze (Perimeter) nach wie vor ihre Berechtigung. Doch sie sind nicht in der Lage, Unternehmen vor modernen, zielgerichteten oder auch unerwarteten Angriffen zu schützen. Schon gar nicht, wenn Insider-Bedrohungen im Spiel sind. Ohne die Fähigkeit, genau zu wissen, was im eigenen Netzwerk zu jedem Zeitpunkt passiert und ohne zu verstehen, was normale Aktivitäten von ungewöhnlichen unterscheidet, können Insider Daten entwenden und über eine längere Zeit unentdeckt bleiben.
Daher ist auch das Trainieren der eigenen Mitarbeiter wichtiger als je zuvor. Unternehmen müssen ihre Angestellten für das Thema IT-Sicherheit noch stärker als bisher sensibilisieren und mögliche Bedrohungen und Risiken für sensible Informationen verdeutlichen. So können sie sicherstellen, dass diese korrekt behandelt und verarbeitet werden. Damit das eigene Unternehmen nicht zum nächsten Ziel wird, müssen diese Schulungen auch neuste Phishing- und Social-Media-Bedrohungen umfassen, so dass die Mitarbeiter lernen, auch mit diesen in geeigneter Weise umzugehen. Denn wenn Mitarbeiter nicht gelernt haben, wie man potenzielle Phishing-Scams erkennt oder sichere Passwörter erstellt, erleichtert dies den Kriminellen ihr Vorgehen. Als zusätzliche Sicherheitsebene müssen Organisationen sicherstellen, dass sie stringente Verschlüsselungs- und Zugriffskontrollregeln implementiert haben, die es Angestellte unmöglich machen, nicht für sie autorisierte Daten einzusehen.
Im Kampf mit heutigen Hackern zählt Geschwindigkeit. Unabhängig davon, wie gut die Firewalls und Schulungsprogramme eines Unternehmens sind: Ohne umfassende Netzwerktransparenz, Informationsaustausch und fortschrittliche, intelligente IT-Sicherheitssysteme werden Unternehmen nicht fähig sein, Angriffe unmittelbar zu stoppen, sobald diese beginnen.
Die EU-Datenschutz-Grundverordnung verspricht eine erhöhte Transparenz. Für Unternehmen ist es daher entscheidend, rechtzeitig Sicherheitsmaßnahmen zu implementieren, die sowohl externe als auch interne Bedrohungen aufspüren und in geeigneter Weise darauf reagieren können.
Roland Messmer, Regional Director Central and Eastern Europe bei LogRhythm