Entscheidend im Kampf gegen Cyberbedrohungen: Prävention im Rechenzentrum

Autor / Redakteur: Ludger Schmitz / Ulrike Ostler

Cyberangriffe nehmen zu und richten immer größere Schäden an. Die Abwehrmaßnahmen sind nur bedingt wirksam, weil sie eher einer einzigen Mauer gleichen, statt in der Tiefe gestaffelt, segmentiert zu wirken.

Firmen zum Thema

(Bild: Michael Loeper, pixelio.de)

Laut Bitkom waren in den vergangenen zwei Jahren gut die Hälfte aller Unternehmen in Deutschland von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Primär traf es den Mittelstand (61 Prozent der Unternehmen). Aus Branchensicht waren vor allem die Autoindustrie (68 Prozent), die Chemie- und Pharmabranche (66 Prozent) sowie das Finanz- und Versicherungswesen (60 Prozent) Ziel von digitalen Angriffen. Den dadurch entstandenen Schaden bezifferte der Bitkom zuletzt auf rund 51 Milliarden Euro pro Jahr.

Den Lebenszyklus der Cyberangriffe verstehen

Diese Zahlen geben einen Überblick, in welcher Größenordnung sich bösartige Cyberaktivitäten im Unternehmensumfeld mittlerweile abspielen. Es gibt jedoch Mittel und Wege, um sich als Unternehmen effektiv zu schützen. Dies setzt zunächst voraus, den Lebenszyklus eines Cyberangriffs zu verstehen, bevor dieser das Rechenzentrum erreicht. Also beispielsweise wie sich die Akteure Zugang zu Netzwerken verschaffen, und was passiert, wenn sie eingedrungen sind. Es geht darum, in der bestmöglichen Ausgangsposition zu sein, um einen Angriff zu vereiteln.

Sicherheit im Rechenzentrum hat sich viele Jahre darauf konzentriert, den Netzwerkperimeter eines Unternehmens abzusichern. Die Hacker werden jedoch immer intelligenter. Sobald sie den Perimeter durchbrochen haben, bewegen sie sich seitlich weiter, um Angriffe in Netzwerken von Unternehmen und Regierungsbehörden durchzuführen. Hacker gehen wohlüberlegt vor und sind lang anhaltend aktiv. Forschungsergebnisse von Palo Alto Networks zeigen, dass ein Unternehmen durchschnittlich 24 Tage braucht, um einen Angriff zu identifizieren und zu beheben.

Angreifer nutzen Geschäftsprozesse aus

Klar ist, dass es eine untrennbare Verbindung zwischen den Bedrohungen und den Anwendungen im Netzwerk gibt. Viele erhebliche Sicherheitsvorfälle beginnen mit einer alltäglichen Anwendung wie E-Mail, in der Exploit-Malware versteckt ist. Bei Vorfällen dieser Art kommen Social-Engineering-Taktiken zum Einsatz, und es werden gewöhnliche Geschäftsprozesse und Verfahren genutzt, um die Verbreitung von Malware möglichst einfach zu erzielen.

Die Ausnutzung eines Geschäftsprozesses gibt dem Angreifer mit minimalem Aufwand den Zugriff auf potenziell Millionen von Nutzern und Unmengen an Daten. Wenn sie erst im Netzwerk sind, verwenden Angreifer andere Anwendungen oder Dienste, um unbemerkt ihren bösartigen Aktivitäten für Wochen, Monate oder sogar Jahre nachzugehen.

Ausgehend von dieser Entwicklung bei den Angriffen und den Akteuren dahinter wird klar, dass Sicherheitsmaßnahmen, die sich auf Reaktion und Sanierung beschränken, nicht ausreichen. Denn dies bedeutet ganz einfach, dass eine Säuberung stattfindet, nachdem eine Sicherheitsverletzung vorgefallen ist. Stattdessen gilt es, Angriffe von vornherein zu vermeiden. Zudem muss der Angriff auf ein Unternehmen für den Hacker so kostenaufwändig sein, dass er aufgibt und sich vielleicht einem anderen Ziel zuwendet.

Mehrere Schutzebenen – wie bei einem Hotel

Bei der Absicherung eines Unternehmens sollte man zunächst nicht an ein Haus denken, bei dem Vorder- und Hintertür gesichert werden müssen, sondern eher an ein Hotel. In diesem ist die Sicherheit in Zimmer (einzeln abgesperrt) und Zugriffsebenen (Gästebereich, Personalbereich) unterteilt. Ebenso verhält es sich bei der Netzwerksegmentierung. Es werden mehrere Schutzebenen eingerichtet, die verhindern sollen, dass Hacker sich innerhalb des Netzwerks frei bewegen können, falls sie eine Schicht durchbrechen.

Die Virtualisierung von Datenzentren schafft aber auch neue Bedrohungsvektoren. Im jährlich herausgegebenen „Application Usage and Threat Report“ von Palo Alto Networks ist nachzulesen, dass nur zehn von 1.395 Anwendungen, die in den meisten Unternehmensnetzwerken laufen, für 97 Prozent der 60 Millionen Exploit-Logs, die auf diesen Netzen gefunden wurden, verantwortlich waren. Neun von diesen zehn Programmen waren Rechenzentrumsanwendungen.

Sicherheitsarchitektur mit Fokus auf Prävention

Programme für eine bessere Sensibilisierung der Nutzer und der Einsatz von Erkennungssoftware sind nicht die Maßnahmen, auf die Unternehmen ihre oft begrenzten Ressourcen konzentrieren sollten. Lösungen für Erkennung und Sanierung haben zwar ihre Daseinsberechtigung, doch letztlich tun sie kaum mehr, als Details über einen Angriff zu liefern, nachdem der Schaden bereits entstanden ist.

Unternehmen müssen dafür sorgen, dass Sicherheitsmaßnahmen vorhanden sind, um Rechenzentren vor katastrophalen Angriffen zu schützen. Und sie müssen Mikrosegmentierung im Rechenzentrum und in der gesamten Infrastruktur einführen, um das Risiko zu begrenzen.

Zum Schutz vor Angriffen ist der Aufbau eines robusten Bedrohungsabwehrprogramms nötig. Dieses sollte durch ein hohes Maß an Sichtbarkeit in der Lage sein, unbekannte Angriffe in bekannte Bedrohungen einzuordnen. Zu klären ist daher vorab, ob die bestehende Sicherheits-Infrastruktur diese Anforderungen erfüllt:

  • Schnelle Analyse und Identifizierung von Warnungen, die nicht kritisch sind, um die Reaktionszeiten zu verringern,
  • Optimierung der Verwaltung und Reduzierung der Anzahl erforderlicher Sicherheitsrichtlinien im Unternehmen sowie
  • Vermeidung von bekannten und unbekannten Angriffen durch Korrelation von Mustern, die auf schädliche Aktivitäten hindeuten.

Sicherheitsmaßnahmen in der Tiefe staffeln

Thorsten Henning, Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks, empfiehlt: „Denken Sie über die vier Wände des Unternehmensgebäudes hinaus. Richten Sie Sicherheitsmaßnahmen nicht nur an den Ein- und Austrittspunkten, sondern auch auf einer detaillierteren Ebene innerhalb des Netzwerks ein. Und denken Sie präventiv. Allein die Beseitigung der Folgen eines Angriffs lässt die Bösewichte im Vorteil, die es bei nächster Gelegenheit erneut versuchen werden.“

(ID:43554403)

Über den Autor

 Ludger Schmitz

Ludger Schmitz

Freiberuflicher Journalist