Dr. Michael von der Horst, Managing Director Cyber Security bei Cisco Deutschland, erklärt wie sich die Anforderungen an die IT-Security in der Krise verändert haben, und wie Unternehmen darauf reagieren können.

Bild: Pixabay TheDigitalWay

Der innere Schutzperimeter reicht nicht mehr Krise verändert die Anforderungen an den IT-Schutz

10.09.2020

Die Corona-Pandemie stellte die IT nicht nur vor die Herausforderung, viele Mitarbeiter schnell aus der Ferne arbeiten zu lassen. Es kam ein zweiter, ebenso wichtiger Aspekt hinzu: was das für die IT-Security bedeutet. Der Wagenburg-Schutz reicht nicht mehr aus.

Mit der großen Zahl von Endgeräten außerhalb der Unternehmensstandorte, die nun Zugriff auf die Unternehmensdaten benötigen, zeigt sich, dass das klassische Paradigma „alle Daten liegen an einem Ort, der Schutzperimeter darum ist entscheidend“ überholt ist.

Da Home-Office nach Meinung der überwältigenden Mehrheit von IT-Experten auch langfristig eine stärkere Rolle spielen wird (dies sagen 84 Prozent in einer Erhebung der Bertelsmann-Stiftung), hat das auch langfristige Folgen für die IT-Security.

Skalierbare Security-Lösung durch Cloud-Elemente

Zunächst mussten die Unternehmen die Herausforderung meistern, kurzfristig bis zu 80 oder sogar 90 Prozent ihrer Belegschaft aus der Ferne arbeiten zu lassen. Das bedeutete eine massive Kapazitätserweiterung bestehender VPN-Zugänge oder das Aufsetzen kompletter Lösungen.

Auf Cloud-Servern betriebene Firewalls und dezentrale Software-Verteilung von VPN-Clients stellte hier für viele Kunden von Cisco einen guten Weg dar, schnell ihre Kapazitäten auszubauen. Mit der Sicherstellung der Arbeitsfähigkeit ist aber die Sicherheit noch lange nicht gegeben.

Bei vielen Cloud-Anwendungen beispielsweise können sich Mitarbeiterinnen und Mitarbeiter direkt einloggen. Was die eigene VPN-Lösung entlastet, lässt aber gleichzeitig einen potenziellen Angriffspunkt entstehen.

Mehr Endgerätesicherheit, mehr Netzwerktransparenz

Analysen von Cisco Talos, der Threat-Intelligence-Organisation von Cisco, zeigen eine Verfünf- bis Verzehnfachung von Phishing-Attacken in der Corona-Zeit. Dabei werden zwei klare Ziele verfolgt: Der Diebstahl von Identitätsdaten und die Verbreitung von Malware.

Wenn es Angreifern gelingt, Login-Daten für Cloud-Dienste zu erhalten, sind dort bearbeitete Daten in Gefahr. Zudem werden diese Zugangsdaten für andere Angriffe genutzt, da Nutzer oft die gleiche ID/Passwort Kombination verwenden. Malware-Varianten, die sich nicht nur auf dem lokalen Rechner einnisten, sondern nach Aktivierung einer VPN-Verbindung versuchen, auch in das Unternehmensnetzwerk einzudringen, stellen eine große Bedrohung dar.

Daher tun IT-Abteilungen gut daran, die Endgerätesicherheit zu erhöhen und gleichzeitig den Kommunikationsverkehr in ihrem Netzwerk auf Anomalien zu überprüfen. Nur eine dynamische, KI-gestützte Anomalie-Erkennung kann frühzeitig vor den klassischen Werkzeugen anschlagen und die Infektion durch Malware erkennen.

Das Thema Endgerätesicherheit wird im Home-Office aus mehreren Gründen wichtiger: Zum einen steigt mit hoher Wahrscheinlichkeit der Dual Use, also die Verwendung des Geräts auch für private Zwecke. Zum anderen bedeutet das aber auch, dass mehr Seiten besucht werden, ohne dass das Gerät sich hinter der Firewall des Unternehmens befindet.

Das gilt auch ohne Dual Use immer dann, wenn Mitarbeiterinnen und Mitarbeiter mit dem Gerät online gehen, ohne die VPN-Verbindung zu aktivieren. In vielen Fällen ist das sogar erwünscht, weil dadurch die Last niedriger wird und die Performance steigt. Daraus folgt aber: Die Absicherung des Endgeräts wird wichtiger. Das gilt sowohl für Sicherheitssoftware auf dem Endgerät als auch für einen aktuellen Patch-Status.

Noch immer sind Unternehmen gerade in Deutschland nachlässig dabei, Updates zu installieren. Doch viele größer angelegte Attacken würden ins Leere laufen, wäre die verwendete Software aktualisiert worden.

Wenn auf dem Endgerät kein 360-Grad-Schutz vorliegt, sollte man definieren, unter welchen Bedingungen Geräte auf das Unternehmensnetzwerk selbst und konkrete Daten sowie Speicherorte darin zugreifen können. So lässt sich beispielsweise festlegen, dass ein Gerät ohne gepatchtes Betriebssystem keinen VPN-Zugriff erhält oder nur zu bestimmten Bereichen zugelassen wird.

Ein weiterer Aspekt, der generell die Sicherheit erhöht, aber gerade bei Cloud-Anwendungen von Vorteil ist, ist die 2-Faktor-Authentifizierung. Wenn die Identität einer Person über einen weiteren Kanal bestätigt wird, indem sich die Person über das Smartphone zusätzlich identifizieren muss, können entwendete Login-Daten nicht so schnell Schaden anrichten. Lösungen wie Cisco Duo sind darauf ausgelegt, 2-Faktor-Authentifizierung hardwareunabhängig und plattformübergreifend zu ermöglichen.

Mehr Sicherheit im Netzwerk

Die Notwendigkeit, 2-Faktor-Authentifizierung zu verwenden, stammt schon aus der Situation, dass ein reiner Wagenburg-Schutz, bei dem sich alles auf den äußeren Perimeter konzentriert, nicht mehr ausreicht. Nachdem räumlich unabhängiges Arbeiten zumindest in Teilen bleiben wird, sollten Unternehmen stattdessen eine andere Perspektive einnehmen: Wie lässt sich der Kommunikationsverkehr tracken, um Anomalien zu erkennen?

Neben der Absicherung von E-Mail und dem Einsatz von DNS-Resolvern, um verdächtige Domains schneller zu erkennen, gehört dazu auch eine Verfolgung der Netzwerkbewegungen: Plötzlich ansteigende Zugriffe aus schwach besetzten Regionen etwa sollten auffallen und analysiert werden.

Bei dieser Aufgabe hilft ein Trend, der sich bereits vorher abgezeichnet hat: Der Weg zu Best-integrated-Architekturen. Die Sicherheitslösungen der Zukunft müssen interoperabel sein, damit sie sich vernetzen lassen und Vorgänge besser verfolgt werden können. Sicherheitsexperten sollten ihre Zeit nicht damit verbringen, bis zu 50 verschiedene Anwendungen zu managen, sondern Attacken, Herkunft und ihre Ausbreitung schnell erkennen und nachvollziehen.

Firmen zu diesem Artikel
Verwandte Artikel