Risiken gezielt eindämmen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.07.2011 Lior Arbel*

Risiken gezielt eindämmen

Berichte über Hackerangriffe und Datenpannen sind fast schon alltäglich. Die Risiken haben sich verschärft. Wer wirksame Maßnahmen in den Bereichen Web-, Daten-, und E-Mail-Security ergreift, kann sich schützen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bringt die Situation der IT-Security in Deutschland auf den Punkt: "Seit dem letzten Lagebericht hat sich die Situation nochmals verschärft". Dabei unterschiedet das BSI zwischen Angriffen auf die breite Masse der IT-Nutzer, für die vor allem Standardschwachstellen ausgenutzt werden, und gezielten Cyber-Attacken. Hier verwenden die Angreifer bevorzugt zuvor unentdeckte Schwachstellen. Ein Beispiel dafür ist die Schadsoftware Stuxnet.

Die Cyber-Kriminellen verfügen über ein gut gefülltes Arsenal an Instrumenten. Mit Trojanern nutzen Hacker Sicherheitslücken in Betriebssystemen sowie Applikationen aus und bringen fremde Rechner unter ihre Kontrolle. Damit gelangen sie unter anderem an sensible Daten von Unternehmen. Trojaner dienen ferner zum Aufbau von ausgedehnten Bot-Netzen. Mit diesen Rechner-Armeen können sie erstens Tausende von Computern "übernehmen", um beispielsweise Spam- oder Phishing-Angriffe zu starten. Die zweite Variante besteht darin, Unternehmen oder Organisationen mit sinnlosen Anfragen zu bombardieren, bis diese für niemanden im Web mehr erreichbar sind.

Extrem gefährlich ist das Vorgehen, bei dem persönliche Beziehungen ausgenutzt werden, um vertrauliche Daten auszuspionieren – etwa Passwörter oder Kreditkarteninformationen. Manch einer hat schon im guten Glauben via Social-Media-Plattformen oder E-Mail sensible Daten weitergegeben. Diese Form von Social Engineering ist jedoch so neu nicht. Schon Mata Hari, eine der bekanntesten Spioninnen aller Zeiten, bediente sich im ersten Weltkrieg der Methode.

RISIKEN VON SOCIAL MEDIA Mit Web 2.0 und Social Media hat sich vieles geändert. Es liegt in der Natur der Sache, dass Unternehmen und deren Mitarbeiter bei Social Media direkt involviert sind: Der Service-Techniker antwortet beispielsweise unmittelbar auf den Forumsbeitrag eines frustrierten Kunden, der Vertriebsbeauftragte sollte mit den aktuellen Blog-Postings seiner Kunden vertraut sein und Twitter-Meldungen über neue Produkte müssen sehr schnell abgesetzt werden. Social Media im Unternehmen heißt damit notwendigerweise, dass zahlreiche Mitarbeiter beteiligt sind und dass sie spontan und oft auch ohne lange Rückfrage oder Freigabe agieren. In Unternehmen, die sich auf Social-Media-Plattformen engagieren, werden also immer mehr Mitarbeiter über unterschiedliche Kanäle mit der Außenwelt kommunizieren. Dafür muss ein Unternehmen die notwendigen Freiheiten in der Web-Nutzung einräumen. Voraussetzung dafür ist ein deutlich höheres Maß an Verantwortung der Mitarbeiter gegenüber dem Unternehmen einerseits und andererseits an Vertrauen in das Know-how und das Commitment der Mitarbeiter dem Unternehmen gegenüber.

Dieser Vertrauensvorschuss erweist sich jedoch auch als einer der neuen Gefahrenherde. Social Media schafft virtuelle Communities und deren Mitglieder verfügen normalerweise über einen besonderen Vertrauensvorschuss. Wenn man sich eine Zeitlang in einem Forum bewegt hat, über Twitter Informationen ausgetauscht hat oder sich an der Diskussion in Blogs und Facebook beteiligt hat, dann hat man dort eine Reihe von anderen Mitgliedern kennen gelernt, weiß ein paar Dinge über sie und kennt ihre Ansichten usw. – man lernt, wie das in Communities auch bezweckt ist, virtuelle "Freunde" kennen. Und man vertraut ihnen ein Stück mehr als einer anonymen Website, obwohl man von den neuen Freuden doch faktisch auch so gut wie nichts weiß. So käme heute wohl niemand mehr auf die Idee, den Link in der E-Mail eines ihm unbekannten Absenders anzuklicken. Bei Facebook geschieht das fortwährend, die intensive Verlinkung ist geradezu dessen Geschäftsgrundlage. Social-Media-Plattformen sind daher zu einem bevorzugten Angriffsobjekt von Internetkriminellen geworden.

UNIFIED CONTENT SECURITY STATT WILDWUCHS Fakt ist: In punkto IT-Sicherheit herrscht in vielen Unternehmen Wildwuchs. Es werden eine Vielzahl unterschiedlicher und kaum aufeinander abgestimmter Applikationen für Web-, E-Mail- und Datensicherheit eingesetzt. Dies gilt speziell für Firmen mit einer weit verzweigten Organisationsstruktur und einer Reihe von Niederlassungen. Viele eingesetzten Sicherheitsapplikationen sind Insellösungen, denen es an Integration, Flexibilität und Reichweite fehlt. Jede dieser Applikationen hat ihre eigene Benutzeroberfläche und ihre speziellen Funktionen zur Einrichtung und Überwachung von Sicherheitsrichtlinien. Oft stammen die einzelnen Anwendungen von verschiedenen Herstellern, was den Aufbau einer durchgehenden, ganzheitlichen Sicherheitslösung erschwert.

Die Folge: Unternehmen müssen sehr viel Zeit und Geld aufwenden, um eine Infrastruktur, die manchmal von mehreren Herstellern stammt, aufzubauen, zu überwachen und auf dem neuesten Stand zu halten. Vermeiden lassen sich solche Probleme durch den Einsatz einer ganzheitlichen, hybriden Security-Lösung (Unified Content Security), bei der einzelne Teile vor Ort und andere im Rechenzentrum eines Security-Dienstleisters betrieben werden. Die steigende Zahl kombinierter Angriffe aus dem Web, bestehend aus Spam-Mails, Trojanern und der Ausnutzung neuer Sicherheitslücken, belegt den hohen Bedarf an Lösungen, die einen kombinierten Schutz in den Bereichen Web-, Daten- und E-Mail-Sicherheit bieten.

Bevor die Technologie implementiert wird, sollten Unternehmen ihre Hausaufgaben machen und in Form einer Schwachstellenanalyse die Lücken in ihrer bestehenden IT-Security-Infrastruktur aufspüren. Beispielsweise: Welcher Daten-Import und -Export über welche Kommunikationskanäle erfolgt an den bisherigen Sicherheitsmaßnahmen vorbei? Wo gibt es Lücken, die mit den im Einsatz befindlichen Einzellösungen nicht abgedeckt werden? Ist es beispielsweise möglich, über Web-2.0-Tools oder Instant-Messaging-Software mit Externen Daten an den offiziellen Kontrollstationen vorbei auszutauschen?

Aus der Bestandsaufnahme ist ein ganzheitliches IT-Sicherheitskonzept zu entwickeln, das alle Mitarbeiter eines Unternehmens einbezieht, unabhängig davon, wo sie sich gerade aufhalten – in den Firmenräumen, unterwegs bei einem Kunden oder in ihrem Home Office.

Ein stringentes hybrides Unified-Content-Security-Konzept, wie es etwa Websense TRITON bietet, kombiniert eine lokal vorhandene Infrastruktur mit Cloud-Services. Abhängig von den konkreten Gegebenheiten werden zentrale Sicherheitsbausteine miteinander verknüpft. Ein einheitlicher, umfassender Ansatz für IT-Security bietet Unternehmen alle Optionen, um sich vor Risiken jeder Art, seien sie Web-, Daten-, E-Mail- oder Cloud-basiert, wirksam zu schützen. Das fängt dabei an, dass Trojaner daran gehindert werden, in Unternehmensnetze einzudringen und reicht bis zum Schutz vor der unerlaubten oder versehentlichen Weitergabe unternehmenskritischer Daten über Social-Media-Plattformen.

* Lior Arbel ist Managing Consultant DLP bei Websense.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: