Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat seinen Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2016 vorgelegt. Demnach ist die Lage „weiterhin angespannt“. Ein Kommentar von Christoph Brecht, Regional Manager DACH bei Stormshield.
Täglich sichtet das BSI nach eigenen Angaben 380.000 neue Varianten von Schadprogrammen. Im August 2016 waren insgesamt 560 Millionen Malware-Arten bekannt. Aufgrund der Geschwindigkeit, mit der neue schädliche Software auf der Bildfläche erscheint, haben viele klassische, signaturbasierte Anti-Viren(AV)-Programme Schwierigkeiten, einen ausreichenden Schutz für Unternehmen zu gewährleisten. Um den immer ausgeklügelteren Cyberthreats schlagkräftig entgegenzutreten, müssen neue Ansätze gewählt werden.
Schadsoftware gibt es in vielen verschiedenen Formen. Das gemeinsame Ziel ist stets, auf einem infizierten Rechner für Nutzer unerwünschte und für das System schädliche Aktionen auszuführen. Ob unentdeckt oder offensichtlich, hängt von der Angriffstaktik ab. Banking-Trojaner beispielsweise wollen unentdeckt bleiben, um Zugangsdaten für Internetbanking ungehindert auszuspionieren. Eine andere Strategie nutzen Ransomware-Varianten wie Locky, Cerber und Co., die 2016 die Berichterstattung beherrschten: Sie wollen gesehen werden. Denn sie verschlüsseln wichtige Daten und fordern ein Lösegeld von den Eigentümern.
Je nachdem, welcher Rechner wie infiziert wurde, kann bei betroffenen Unternehmen ein immens hoher Schaden entstehen. Leider können in der Unternehmenskommunikation die Hauptangriffswege der Cyberkriminellen nicht komplett vermieden werden, denn zu den häufigsten Infektionswegen zählen nach wie vor E-Mail-Anhänge. An zweiter Stelle stehen Drive-by Downloads, also Infektionen durch den Besuch schadhafter Webseiten. Auch Werbebanner, die auf eigentlich vertrauenswürdigen Seiten angezeigt werden, sind immer häufiger Ursache von Infektionen.
Infektionen sind nicht per se zu vermeiden, aber …
Rechner, Laptops und andere Geräte, die mit einem Firmennetzwerk verbunden sind, vor diesen Infektionen und anderen Cyberbedrohungen zu schützen, ist Teil der Endpoint Security. Viele klassische Sicherheitslösungen und Antivirenprogramme setzen dafür auf Signaturen. Das heißt, jeder Variante eines Schadprogramms wird nach eingehender Analyse eine Signatur zugewiesen. Anhand dieser Signatur kann ein Virenscanner die Schadsoftware erkennen und gegebenenfalls entfernen. Neuere Varianten von Schadprogrammen werden aber schneller erzeugt, als sie analysiert werden können. So geraten klassische signaturbasierte Lösungen immer häufiger in Verzug. Sogenannte Zero-Day-Exploits – also Angriffe, für die noch keine Gegenmaßnahmen bekannt sind – verschärfen diese Situation zusätzlich.
Um hier vorzubeugen, verfolgen wir bei Stormshield als europäischer Hersteller von IT-Sicherheitslösungen einen neuen Ansatz bei der Endpoint Security: Anstatt den Datenbestand von Virenscannern auslesen zu müssen, wie es bei signaturbasierten Verfahren der Fall ist, führt Stormshield detaillierte und tiefgehende Verhaltensanalysen im Netzwerk durch. Diese Analysen sind nicht nur schneller als signaturbasierte Ansätze, wir setzen mit unseren Analysen auch deutlich früher an als andere verhaltensbasierte Lösungen. Zusätzlich lässt unser Ansatz auf dem Endpoint nur das zu, was ausdrücklich erlaubt wird, andere Programme dürfen nicht ausgeführt werden. Dieses „Deny all“ genannte Verfahren schützt Systeme spürbar zuverlässiger vor Zero Day Exploits, denn unsere Gegenmaßnahmen eingeleitet werden, bevor schädlicher Code ausgeführt wird. Das ist besonders wichtig, wenn die Firewall einmal versagt hat und infizierte Dateien zum Beispiel über E-Mail-Anhänge ins Netzwerk gelangt sind. Mit diesem doppelten Schutz hat Malware keine Chance.
IT-Security in der Industrie folgt eigenen Regeln
Solche Infektionen sind keine Seltenheit. Laut BSI-Lagebericht war ein Drittel der befragten Unternehmen in den vergangenen sechs Monaten von Ransomware betroffen. Man könnte nun annehmen, dass viele deutsche Unternehmen ihre IT-Sicherheit auf die leichte Schulter nehmen. Das ist aber nicht unisono der Fall. Es gilt vielmehr, einzelne Branchen zu betrachten. IT-Security in der Industrie beispielsweise funktioniert grundsätzlich anders als in Behörden. Firmen möchten in erster Linie nicht ihre Daten, sondern ihre operativen Prozesse schützen. Deshalb erfordert IT-Security in der Industrie eine neue Denkweise. Wenn technische Sicherheitsmaßnahmen, zum Beispiel eine Firewall, die Prozesse in einem Betrieb stören – etwa, weil sie eine bestimmte Art von Daten nicht mehr durchlassen –, kann das schnell finanzielle Folgen haben.
Ein signaturloser Endpoint Security-Ansatz bietet dagegen ein hohes Schutzniveau, ohne die täglichen Arbeitsprozesse zu behindern. Daher ist es notwendig, Firewalls an die Bedürfnisse der Industrie bzw. der jeweiligen Branche anzupassen. Doch in einer vernetzten Produktionsumgebung wie in der Industrie 4.0 reicht das allein nicht aus. Auch hier ist der signaturlose Deny all-Ansatz zur Endpoint Security als Ergänzung zur Firewall die bessere Alternative. Zum einen schützt er kompromisslos vor Datendiebstählen, denn ungewöhnliche Datenbewegungen werden sofort entdeckt und ggf. gestoppt. Zum anderen ist der verhaltensbasierte Ansatz eine perfekte Absicherung für vernetzte Industrieanlagen, denn es besteht nicht die Gefahr, dass die Lösung die falsche Art von Traffic blockiert und so die Produktion gestört wird. Geschäftlich relevante Anwendungen und der dazugehörige Traffic sind ja ausdrücklich im Deny all-Verfahren als erlaubt gekennzeichnet. Der Ansatz schützt also kompromisslos vor Datendiebstählen und eignet sich gleichzeitig perfekt dazu, vernetzte Industrieanlagen abzusichern.
Cyberattacken gehören seit 2016 zum Alltag für Unternehmen in Deutschland. Es ist zwar vereinzelt gelungen, Botnetze auszuschalten, die von Kriminellen für diese Angriffe genutzt werden, trotzdem werden sich Cyberattacken in Zukunft weiter ausbreiten und stets neue Wege suchen. Der Kreativität der Angreifer sind keine Grenzen gesetzt. Unternehmen sollten jetzt in eine zukunftsfähige IT-Sicherheitslösung investieren, bevor es zu spät ist.