Wie muss die IT-Sicherheit von morgen aussehen?

Lange Zeit haben sich Verantwortliche für IT-Sicherheit auf ein ganz einfaches Prinzip verlassen: Sie trennten einfach geschützte, von ihnen kontrollierte und überwachte interne Bereiche (das „gute“ eigene Unternehmensnetz) von grundsätzlich ungeschützten, von ihnen nicht überwachten externen Bereichen (das „böse“ Internet). Dazwischen lag der Perimeter. Schützenswerte Daten gehörten grundsätzlich in den internen Bereich. Jeglicher Datenverkehr, der vom internen in den externen Bereich übertragen werden sollte und umgekehrt, musste den Perimeter passieren. Welche Daten diesen geschützten Bereich verlassen, konnte am Perimeter deshalb grundsätzlich recht gut überwacht werden.

 

Die Zeit der klaren Trennung ist vorbei

Der Schutz am Perimeter geht davon aus, dass man innere, sichere Bereiche und äußere, unsichere Bereiche klar voneinander trennen kann. Das ist aber längst nicht mehr der Fall. Wichtige Ressourcen befinden sich heute außerhalb der eigenen Unternehmensgrenzen (Cloud) und die Nutzung kann grundsätzlich von irgendwoher erfolgen (Mobile) – mit zunehmender Tendenz. Auch Systeme, die eigentlich innerhalb des inneren Bereichs betrieben werden und damit als gesichert gelten, haben vielfältig Zugriffsmöglichkeiten an den Sicherheitseinrichtungen am Perimeter vorbei, sei es durch verschlüsselte Übertragungen von Daten oder dadurch, dass sie z.B. per Mobilfunk eigene Verbindungen in das Internet aufbauen. Perimeter-Security ist deshalb zwar immer noch wichtig zum Schutz zentraler interner Systeme, für einen wachsenden Teil der praktischen Nutzung von IT-Systemen in Unternehmen aber völlig wirkungslos. Gartner schätzt, dass schon im Jahr 2018 25 Prozent des Netzverkehrs von Unternehmen an herkömmlichen Sicherheitsmaßnahmen vorbeilaufen wird. Hinzu kommt, dass die Erkennungsmechanismen für Malware nicht mehr effektiv funktionieren. Eine von Lastline Labs durchgeführte breite Analyse im Markt angebotener Virusscanner kam 2014 zu folgenden Ergebnissen:

      • Nur 51 Prozent der Scanner waren innerhalb eines Tages in der Lage, neue Malware-Samples zu erkennen.
      • Nach zwei Wochen hatte sich die Erkennungsrate auf gerade mal 61 Prozent verbessert.
      • Auch nach Ablauf eines Jahres erkannten 10 Prozent der Scanner einige der Malware-Samples nicht.
      • Manche Malware-Samples wurden nie erkannt.

Hinzu kommt, dass Malware immer kurzlebiger wird. FireEye stellte in einer Untersuchung fest, dass 82 Prozent der Malware innerhalb einer Stunde verteilt ist und danach kaum noch auftaucht und 70 Prozent der Malware nur in einer einzigen Attacke benutzt wird.

Zusammengefasst: Weder lassen sich sichere Netzbereiche und Systeme von unsicheren Netzbereichen und Systemen sauber trennen, noch lässt sich das Eindringen von Malware selbst in gut überwachten Systemen und Netzen hinreichend sicher verhindern.

 

Die neue Abwehrtaktik: Erkennen, Analysieren, Eingrenzen

Dennoch ist klar: IT-Sicherheit ist wichtiger denn je, auch angesichts einer rasant wachsenden Zahl von an das Internet angeschlossener Systeme, auch kritischer, und der wachsenden Bedeutung von Daten. Was also tun? In Köln trafen sich im Rahmen der Kompetenzgruppe Sicherheit vom Verband der deutschen Internetwirtschaft eco IT-Sicherheitsexperten, um über diese Frage zu diskutieren und Ansätze zu besprechen, wie sich angesichts der Veränderungen der Schutz von IT-Systemen in der Zukunft darstellen lässt.

Ausgangspunkt der Überlegungen: Mit herkömmlichen Methoden lassen sich Angriffe auf IT-Systeme und Netzwerke kaum noch wirksam verhindern, sie können allenfalls erschwert werden. Der Gegner steht bereits mitten im eigenen Lager. Umso wichtiger wird es daher, Eindringlinge so schnell wie möglich zu erkennen und ihre Aktionen zu analysieren, um Schäden soweit wie möglich einzugrenzen, den Abfluss wichtiger Daten zu verhindern und möglicherweise vorgenommene Veränderungen zu korrigieren und installierte Hintertüren wieder zu schließen. Viele der Angriffe bleiben eine lange Zeit danach unentdeckt; es vergehen teilweise Wochen, Monate oder gar Jahre, bis der Schaden bemerkt wird.

Dazu nötig ist eine dauernde Beobachtung der IT-Systeme, Netzwerke und Datenströme. Systemereignisse müssen aufgezeichnet und die Aufzeichnungen einige Zeit aufbewahrt werden, um Analysen zu ermöglichen und auch im Nachhinein Erkenntnisse über die Aktionen eines Eindringlings gewinnen zu können:

      • Wie ist der Eindringling in das System gekommen?
      • Welche Sicherheitslücken haben sein Endringen begünstigt?
      • Auf welche Daten wurde zugegriffen?
      • Sind Daten abgeflossen?
      • Wurden Veränderungen vorgenommen?
      • Welche Systeme sind konkret betroffen?

Wichtiger wird auch eine proaktive, vorausschauende Betrachtung der Sicherheit genutzter Systeme und Daten:

      • Welche Sicherheitsrisiken gibt es?
      • Woran könnte ein Angreifer interessiert sein?
      • Welche Daten sind besonders wertvoll?

Kritische Systeme und Daten müssen besonders geschützt werden. Dafür nötig ist eine umfassende Betrachtung der eigenen IT und Einschätzung der Bedeutung einzelner Systeme und Datenbestände. Nur dann können besondere Schutzmaßnahmen für diese Systeme und Daten wirksam getroffen werden, ohne gleichzeitig die Nutzbarkeit von IT-Systemen insgesamt so einzuschränken, dass die Sicherheitsmaßnahmen an Akzeptanz verlieren oder unwirtschaftlich werden.

 

Es muss ein Umdenken bei den Sicherheitsverantwortlichen stattfinden

Weitere wichtige Punkte, die zu beachten sind:

      • Vernetzte Sicherheit: Zusammenarbeit verschiedener Sicherheitswerkzeuge, die Informationen untereinander austauschen um dadurch einen besseren Überblick zu ermöglichen und die Erkennung und Verfolgung von Angreifern zu verbessern.
      • Sichere Identifizierung von Systemen und Personen: Wer greift auf Systeme und Daten zu?
      • Konsequenter Einsatz von Verschlüsselung: Verschlüsselung verhindert zwar nicht den Zugriff auf Daten an sich, wohl aber deren unberechtigte Nutzung und Veränderung.

Professor Pohlmann vom Institut für Internet-Sicherheit der Westfälischen Hochschule plädierte für einen Paradigmenwechsel in der IT-Sicherheit:

      • Mehr Verschlüsselung statt offener Daten: Erfreulicherweise nehmen Akzeptanz und Nutzung von Verschlüsselung seit Beginn der Snowden-Enthüllungen zu, wenngleich immer noch viel zu wenig verschlüsselt wird.
      • Vertrauenswürdigkeit statt Gleichgültigkeit: Übernahme einer Gesamtverantwortung von Herstellern für die Sicherheit der von ihnen angebotenen und betriebenen Systeme und Lösungen.
      • Zertifizierung: Überprüfbare und überprüfte Sicherheitsniveaus.
      • Proaktive statt reaktive Sicherheit: Führt zu insgesamt robusteren und vertrauenswürdigeren Systemen
      • Objektsicherheit statt Perimetersicherheit
      • Mehr Zusammenarbeit statt Separation: Bekämpfen des Ungleichgewichts zwischen Angreifern und Verteidigern – z.B. durch Einsatz von Cloud Security Lösungen.

Was ebenfalls immer wichtiger wird: IT-Nutzer müssen zumindest grundlegende Kenntnisse über IT-Sicherheit und Verständnis für deren Anforderungen haben. Dazu sind Maßnahmen zur Sensibilisierung und Schulung nötig.

 

Dieser Beitrag ist auch im Newsbereich der Kompetenzgruppe Sicherheit von eco erschienen.

 

Quellen:
IT-Systeme müssen sicherer werden
The Security Perimeter is Dead – Long Live the Security Perimeter
Antivirus Software won´t Detect Advanced Malware
Antivirus Isn´t Dead It Just Can´t Keep Up
Ghost-Hunting With Anti-Virus