English   Deutsch      

Martin Kuppinger: IT-Sicherheit beginnt beim Beachten von Grundregeln

IT-Sicherheit beginnt beim Beachten von Grundregeln
APTs und der gesunde Menschenverstand
by Martin Kuppinger
mk@kuppingercole.com

Es steht außer Frage, dass sich die Bedrohungslage durch Angriffe aus dem Internet in den vergangenen Jahren kontinuierlich verschärft hat. Dabei spielen aber nicht nur komplexe Angriffe wie Advanced Persistent Threats (APTs) eine Rolle; und erst in zweiter Linie benötigt man wirklich bessere Tools. Viel lässt sich schon mit der Beachtung von Grundregeln erreichen.

Zunächst muss man sich immer darüber im Klaren sein, dass die Professionalisierung von Angriffen aus dem Internet nicht bedeutet, dass die interne Bedrohung sinkt. Ebenso wenig sollte man einfachere Angriffe über oftmals leicht zu erkennende Phishing-Mails und andere „klassische“ Attacken unterschätzen.

Die internen Sicherheitsrisiken, ob durch bewusste Attacken oder Fehler, stellen eine gleichbleibend große Bedrohung dar. Der Unterschied ist nur, dass man zusätzlich auch noch mehr Risiken durch Angriffe von außen hat. Das Sicherheitsrisiko wächst also in der Summe.

Grenzenloser Sicherheitsbedarf

Idealerweise adressieren Sicherheitskonzepte jedwede Risiken, gleich wo sie entstehen. Das gilt umso mehr, als die wachsende Zahl von mobilen Mitarbeitern, die zunehmende Öffnung interner Netzwerke und Konzepte wie BYOD (Bring Your Own Device) ohnehin dazu führen, dass der Perimeter des Firmennetzes immer löchriger wird. Denn damit ergibt auch eine Unterscheidung zwischen internen und externen Sicherheitsmaßnahmen immer weniger Sinn.

Klar ist auch, dass ausgefeilte Angriffsszenarien, wie sie bei der Attacke auf RSA Security oder bei Stuxnet und Duqu zu beobachten waren, keineswegs der Regelfall sind. Sie stellen ein neues Niveau von Attacken dar, aber die simplen Angriffe wie Denial of Service-Attacken, Phishing-Mails und dergleichen mehr gibt es weiterhin.

Wozu Angriffe unterscheiden?

Man darf sich also nicht nur auf diese APTs (Advanced Persistent Threats) konzentrieren, sondern muss vor allem seine Hausaufgaben mit Blick auf die längst bekannten Attacken machen. Ohnehin stellt sich – wie so oft – die Frage nach Sinn und Richtigkeit neuer Schlagworte wie APTs: Wo liegt die Grenze zu „advanced“? Sind andere Angriffe dann „retarded“? Und was macht den Begriff „persistent“ aus?

Die gezielte Kombination verschiedener Attacken ist sicher ein wichtiger Unterschied zu „einfachen“ Angriffen – nur geht das aus dem Begriff ebenso wenig hervor wie die Frage, wie „persistent“ diese Angriffe sind. Immerhin werden sie irgendwann auch erkannt oder vom Angreifer beendet. Statt sich deshalb nun auf vermeintlich spezielle Angriffsmuster zu konzentrieren, gilt es ohnehin, Grundregeln zu beachten.

Dazu gehört die Schulung von Benutzern, damit Phishing-Mails eben als solche erkannt werden und die Anwender bei verdächtigen Mails besonders vorsichtig sind. Dazu gehören – trotz ihrer Grenzen – aktuelle Virenscanner auf den Endgeräten. Dazu gehören aber auch die organisatorischen Maßnahmen, von einer Identifikation und Klassifizierung der schützenswerten Assets bis hin zum Aufbau einer Organisation, die Ereignisse erkennen und schnell und gezielt (!) darauf reagieren kann.

Besser um Bedrohungen wissen

Wer lange bekannte Grundregeln der IT-Sicherheit beachtet, minimiert seine Risiken bereits deutlich. Dabei gilt, dass Tools nur dann Nutzen bringen, wenn sie richtig eingesetzt werden. Vor allem gilt es, sich von der Vorstellung zu verabschieden, dass man mit irgendeinem Tool „sicher“ wird. Auch hier ist gesunder Menschenverstand gefragt.

Eine UTM-Appliance am Perimeter des Netzwerks, also eine Kombination von Firewall, E-Mail-Gateway, Virenscanner und anderen Funktionen, bringt für die Sicherheit der mobilen Endgeräte, die außerhalb des Firmennetzwerks genutzt werden, nichts. Schon der Begriff UTM (Unified Threat Management) ist hier grob irreführend, weil es eben nicht „unified“ im Sinne eines „vereinigten“ Ansatzes für alle Bedrohungen ist, sondern eben nur ein Teil der Angriffe adressiert wird.

Gute Sicherheitskonzepte brauchen zunächst eine entsprechende Organisation und die richtigen Skills auf allen Ebenen – von den Endanwendern bis zu den Sicherheitsexperten. Sie brauchen ein Wissen über die möglichen Bedrohungen und ein Konzept, um gezielt Tools auszuwählen. Und je löchriger die Perimeter und je vielfältiger die eingesetzten Systeme werden, desto wichtiger wird es, nicht Netzwerk-Segmente zu schützen, sondern die Informationen selbst.

Am Ende gilt aber, dass der entscheidende Faktor eine realistische Bewertung von Risiken und der gesunde Menschenverstand sind. Das Beachten von Grundregeln statt der hektischen Investition in Punktlösungen bei Sicherheitswerkzeugen sind die entscheidenden Faktoren, um zu einer höheren Sicherheit und geringeren Risiken zu kommen, ohne dabei an den falschen Stellen Geld auszugeben. Sicherheit hat ihren Preis und Tools können einen Nutzen bringen, aber nur, wenn sie auch richtig eingesetzt werden.

Created: 24.02.12, modified: 24.02.12

top
KuppingerCole Select
Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.
Register now
Spotlight
Cloud Provider Assurance
Using the cloud involves an element of trust between the consumer and the provider of a cloud service; however, it is vital to verify that this trust is well founded. Assurance is the process that provides this verification. The first step towards assuring a cloud service is to understand the business requirements for it. The needs for cost, compliance and security follow directly from these requirements. There is no absolute assurance level for a cloud service – it needs to be just as secure, compliant and cost effective as dictated by the business needs –– no more and no less.
KC Trusted Independent Advice in CLoud ASSurance
KC CLASS includes a detailed analysis of the Cloud Assurance management tasks in your company and the current status of the Cloud Services integration in your IAM, and a recommendation on how you can standardize the approach for the evaluation of Cloud Service Providers.
Links
 KuppingerCole News

 KuppingerCole on Facebook

 KuppingerCole on Twitter

 KuppingerCole on Google+

 KuppingerCole on YouTube

 KuppingerCole at LinkedIn

 Our group at LinkedIn

 Our group at Xing

 GenericIAM
Imprint       General Terms and Conditions       Terms of Use       Privacy policy
© 2003-2014 KuppingerCole