Das richtige Maß finden

In punkto Sicherheit sollten Sie auch ein besonderes Augenmerk auf die Usability legen. IT-Abteilungen und auch einige Consultants neigen dazu, wahnsinnig komplexe Sicherheitsvorkehrungen zu implementieren, die allerdings komplett am Anwender vorbei konzipiert sind. So ist eine Passwortrichtlinie ein sehr effektives Mittel, um die Unternehmenssicherheit nachhaltig zu verbessern. Erwarten Sie aber zu komplexe Kennwörter, mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, dürfen Sie sich nicht wundern, wenn Sie überall Post-Its mit Kennwörtern finden. Merkt ein Anwender, dass er eine Aufgabe einfacher und schneller erledigen kann, indem er einige Sicherheitsanforderungen außer Acht lässt, dann macht er das auch. Sicherheit ist dann zweitrangig und für die Steigerung der Produktivität wird er von seinem Vorgesetzten häufig noch gelobt.

Das richtige Maß an Sicherheit ist also das A und O, um Unternehmen nachhaltig vor Angriffen zu schützen. Eine Risikobetrachtung der gefundenen Schwachstellen zusammen mit den Unternehmensverantwortlichen ist unabdingbar. Immerhin sind sie auch diejenigen, die das Risiko tragen und damit in alle Belange der digitalen Sicherheit eingebunden werden müssen. Auch wenn das Thema häufig unbequem erscheint, können Sie es heutzutage nicht mehr ignorieren. Das soll nicht heißen, dass Sie über jede Schwachstelle informiert werden müssen, aber Sie sollten gemeinsam mit den IT Verantwortlichen eine grundlegende Strategie verabschieden, wie Administratoren mit dem Thema digitale Sicherheit umgehen.

Problemfeld zielgerichtete Angriffe

Und die Sicherheitslage ändert sich täglich. Vor kurzem erst wanderte das Thema Heartbleed durch die Presse. Eine nicht unerhebliche Schwachstelle im OpenSSL-Protokoll, die das Auslesen von Speicherinhalt eines Systems ermöglicht. Damit konnten Angreifer an sensible Informationen gelangen und zum Beispiel private Schlüsselinformationen auslesen. Ein Patch wurde umgehend bereitgestellt, dennoch finden sich auch noch Wochen später viele Systeme, bei denen niemand die Schwachstelle behoben hat. Um mit diesen rasanten Änderungen Schritt zu halten, bedarf es einer ausgereiften Strategie, die weiter geht als bisher. Klassische Schutzmechanismen versagen immer häufiger und es müssen neue Wege gefunden werden, um sich vor Bedrohungen zu schützen.

Der Security-Markt befindet sich im Umbruch und was vor einigen Jahren noch als sicher angesehen wurde, reicht heute nicht mehr aus. Wurden bislang Virenscanner und Firewall eingesetzt, wird heute versucht, sich mit vielen kleinen Sensoren einen kompletten Überblick über die Sicherheitslage zu verschaffen. Ähnlich einem Puzzle, bei dem sich erst mit dem letzten Stück ein vollständiges Bild zeigt. Security Incident and Event Management-Systeme (SIEM) sind heutzutage das Herzstück aller Sicherheitsinstanzen. Sie führen zusammen, was viele kleine Teilkomponenten erkennen und können gezielt auf Ereignisse reagieren.

Dabei mag jede einzelne Aktion harmlos erscheinen, in Summe ergibt sich jedoch eine ernstzunehmende Bedrohung. Ein Beispiel: Ein Anwender erhält eine E-Mail, die von einem befreundeten Mitarbeiter zu stammen scheint. Darin wird ihm ein neues Online-Portal vorgeschlagen, das Technikprodukte für die Mitarbeiter des Unternehmens zu besonders günstigen Konditionen anbietet. Die Absenderadresse der E-Mail ist natürlich gefälscht und wurde in irgendeinem Social Network abgegriffen oder schlicht und einfach geraten. Der in der E-Mail enthaltene Link führt auch nicht zu einem Online-Portal, sondern auf einen speziell vorbereiteten Webserver und statt der versprochenen Angebote gibt es ein kleines Java-Applet, das direkt eine Hintertür in den Rechner des Mitarbeiters einbaut und dem Angreifer uneingeschränkten Zugriff gibt. Der URL-Filter verhindert den Angriff auch nicht, da der Webserver nur für diesen einen Angriff aufgebaut wurde und vollkommen unbekannt ist. Somit ist er auch noch nicht von einem der führenden Hersteller von Security-Lösungen als bösartig eingestuft und der Download wird nicht unterbunden. Der lokale Virenscanner erkennt das Java-Applet ebenfalls nicht als schadhaft, da es speziell für diesen Angriff angepasst wurde und damit die Patternerkennung des Virenscanners umgeht.

Solche Angriffe können Sie mit technischen Mitteln kaum noch abwehren. SIEM-Systeme sind in der Lage zu erkennen, wenn ein Angreifer unberechtigte Änderungen im Netzwerk durchführt und informieren den Administrator. Allerdings kommt eine derartige Anschaffung nur für die wenigsten Unternehmen in Betracht.

Aber jedes Unternehmen kann seine Mitarbeiter für solche Angriffe sensibilisieren. Trainings zum richtigen Verhalten mit ungewöhnlichen E-Mails oder mit Kennwörtern sollten heute zum Standard in jedem Unternehmen gehören. Nur dann verstehen Anwender auch, weshalb sie mehr als ein Passwort verwenden und dieses nicht notieren sollten. Ebenso weshalb sie nicht jeden Link in einer Mail anklicken oder jedes Popup mit "OK" beantworten sollten.