Neue Gefahren erzwingen neue Abwehrstrategien

Der unentdeckte Feind als Sicherheitsproblem

von - 05.11.2015
Sascha Pfeiffer, Principle Security Consultant bei Sophos
Sascha Pfeiffer, Principle Security Consultant bei Sophos: „75 Prozent der neuen Malware-Samples sind einmalig und werden nur bei einem Unternehmen gefunden.“
Die Duqu-Affäre zeigt, dass Hacker selbst vor dem Angriff auf Security-Spezialisten nicht zurückschrecken und sich äußerst geschickt tarnen.
Das größte Problem ist deshalb oft, einen erfolgreich durchgeführten Angriff überhaupt zu erkennen. Nicht identifizierte Infektionen gehören zu den gravierendsten Sicherheitsproblemen, mit denen Unternehmen heute zu kämpfen haben. „Auf Hacker-Angriffe kann man nur dann reagieren, wenn man weiß, dass und wie man angegriffen wurde“, sagt HP-Manager Lemke.
Nach Angaben von Mandiant, einem Unternehmen, das sich auf die Entdeckung von Angriffen spezialisiert hat, blieben Einbrüche in IT-Systeme 2014 im Mittel 205 Tage unentdeckt. Im Jahr zuvor waren es noch 229 Tage. Es sind also immerhin kleine Fortschritte zu verzeichnen. Doch viele Unternehmen haben gar keine Ahnung, wie es um den Sicherheitsstatus ihres Netzes bestellt ist.

Mehr Sicherheit in acht Schritten

1. Klären Sie auf

Unbedachtes oder fahrlässiges Verhalten der Mitarbeiter kann das beste Sicherheitskonzept aushebeln. Informieren Sie regelmäßig und stellen Sie klare Regeln auf.

2. Seien Sie ein Vorbild

Nicht selten glauben gerade Vorstände und Geschäftsführer, dass lästige Vorschriften wie VPN-Benutzung, sichere Passwörter oder das Verbot, offene WLANs zu verwenden, für sie nicht gelten und verlangen von der IT Sonderrechte. Tun Sie es nicht.

3. Verschaffen Sie sich einen Überblick

Sorgen Sie für eine möglichst lückenlose Inventarisierung aller Netzkomponenten, Endgeräte und Applikationen, die Zugriff auf Unternehmensdaten haben. Vergessen die dabei Cloud-Services wie Dropbox nicht.

4. Erkennen Sie Ihre Schwachstellen

Wenn Sie alle Hard- und Software inventarisiert haben, sollten Sie diese auf fehlende Patches, veraltete Versionen und offene Ports überprüfen lassen.

5. Lassen Sie sich hacken

Penetrationstest geben oft unerwartete Einblicke in die Schwachstellen einer Unternehmens-IT – und können einen heilsamen Schock auslösen.

6. Verschlüsseln Sie – alles!

Versuchen Sie, alle Daten so weit es geht durch Verschlüsselung zu sichern. Bei einem erfolgreichen Diebstahl ist es dann für Kriminelle wesentlich schwerer, an Informationen zu kommen und relevante Daten von unwesentlichen zu unterscheiden. Und installieren Sie PGP.

7. Nutzen Sie die Cloud

Bei allen Vorbehalten gegen Cloud-Dienste: Große Provider können wesentlich effizientere und ausgefeiltere Sicherheitsvorkehrungen implementieren, als dies in kleinen und mittelständischen Unternehmen der Fall ist.

8. Haben Sie einen Plan B

Gehen Sie immer davon aus, dass Sie früher oder später gehackt oder Opfer einer DDOS-Attacke werden. Wer vorsorgt, gerät in diesem Fall nicht in Panik, sondern bleibt handlungsfähig.
So konnten 24 Prozent der vom SANS-Institut für den „SANS Analytics and Intelligence Survey 2014“ Befragten keine Aussage darüber machen, ob sie in den vergangenen zwei Jahren gehackt wurden, und 21 Prozent wiegten sich in der – trügerischen – Sicherheit, nicht ernsthaft angegriffen worden zu sein. Die restlichen 55 Prozent meldeten dagegen alarmierende Zahlen: 23 Prozent der Befragten hatten mit zwei bis fünf Einbrüchen zu kämpfen, 6 Prozent mussten gar mehr als 50 Angriffe abwehren beziehungsweise Schäden beheben. Im Jahr zuvor waren es nur 3 Prozent gewesen, die sich mit derart vielen Einbrüchen herumschlagen mussten.
Seite
  1. Teil: Neue Gefahren erzwingen neue Abwehrstrategien
  2. Teil: Targeted Threats nutzen Zero-Day-Lücken
  3. Teil: Der unentdeckte Feind als Sicherheitsproblem
  4. Teil: Vorbeugende Systeme und Probelauf im Sandkasten
  5. Teil: SIEM spürt verdächtige Verhaltensweisen auf
  6. Teil: Die mobile Gefahr per Smartphone und Tablet
  7. Teil: Industrie 4.0 und das Internet der Dinge
  8. Teil: Security als Service für kleine Unternehmen
  9. Teil: „Wir sind nicht am Ziel, aber die Richtung stimmt“
  10. Teil: „Ich würde dringend zur Awareness-Schulung raten“
Verwandte Themen

Mehr zum Thema