Umdenken verlangt: Ihr Netzwerk ist nicht sicher

Gastbeitrag von Michael Kranawetter, National Security Officer von Microsoft in Deutschland:

Assume the breachZugegeben, die Vorstellung ist beunruhigend. Aber sie zu verdrängen macht das Problem größer. Viel größer. Die Rede ist davon, dass das Netzwerk Ihres Unternehmens früher oder später von Kriminellen erfolgreich angegriffen wird. Sei es im Rahmen einer gezielten Attacke – weil Ihr Arbeitgeber spannende Forschungsergebnisse erzeugt –, oder als Beifang einer massenhaft ausgeführten Attacke auf eine neue Schwachstelle im Stil von Shellshock oder Heartbleed. Dass dem so ist, belegen nicht nur Anekdoten, die sich Eingeweihte unter der Hand erzählen. Sondern auch der jährlich erscheinende Data Breach Investigations Report (DBIR) von Verizon. Er wertet tatsächliche Datenlecks in Unternehmen auf der ganzen Welt aus. Eines der Resultate: Vom Kleinstunternehmen bis hin zur Dax-Größe finden sich erfolgreich attackierte Netze.

Assume the breach – aufs Datenleck warten

Seit einigen Jahren verbreitet sich daher die Denkweise des Assume the breach, sinngemäß also „Geht von einem erfolgreichen Angriff aus“. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in seinem Lagebericht fürs Jahr 2015 dazu, diese Denkweise zu übernehmen. Es fällt vielen IT-Verantwortlichen aber nachvollziehbarerweise schwer, vom lange gelebten Schutzmodell abzuweichen, in dem Passwörter, Firewalls, Spamfilter und Antivirensoftware quasi im Alleingang für die Abwehr der Angreifer sorgen sollen.

Es führt aber kein Weg daran vorbei, alte Denk- und Verhaltensmuster über Bord zu werfen. Anstatt alle Ressourcen – Geld und Zeit – für die Verteidigung der Burgmauern aufzuwenden, sollte ein Teil hiervon für das zur Seite gelegt werden, was mindestens so wichtig ist wie Firewalls und Virenscanner.

Eindringlinge überhaupt erkennen

Dazu gehört zu allererst eine Lösung, die im Netzwerk nach den Eindringlingen fandet, die den Schutzwall umkurvt haben. Die zum Aufspüren notwendigen Intrusion Detection-Produkte (IDS, Intrustion Detection System) sind seit Jahren verbreitet – aber offenbar entweder nicht im Einsatz oder schlecht genutzt. Denn dem DBIR zufolge wird deutlich weniger als ein Viertel aller Datenlecks binnen weniger Tage erkannt. Datendiebe hingegen sind in quasi allen untersuchten Fällen dann aber schon durch mit ihrer Arbeit. Dazu kommt, dass nur ein kleiner Teil der Fälle vom betroffenen Unternehmen selbst aufgespürt wird. Zumeist sind es externe Organisationen und Strafverfolger, die auf die Lecks aufmerksam werden.

Oftmals schrecken IT-Verantwortliche ganz einfach davor zurück, IDS anzuschaffen. Denn es ist zumeist tiefergehendes Fachwissen nötig, um die Lösungen auch zu bedienen und ihre Meldungen sinnvoll einzuordnen. Der wahrscheinlich einfachste Weg führt in diesem Fall über einen Dienstleister, der der eigenen IT-Mannschaft das Auswerten der diversen Logs abnimmt und quasi rund um die Uhr nach Ungewöhnlichem fahndet.

Außerdem ist es spätestens jetzt an der Zeit, die Unternehmensführung mit ins Boot zu holen. Denn im Falle eines Datenlecks sind die Aufräumarbeiten nicht allein Aufgabe der IT-Spezialisten. So ist es beispielsweise an der Geschäftsführung, eventuellen Meldepflichten nachzukommen – das nahende IT-Sicherheitsgesetz lässt grüßen. Auch das Erstellen eines Notfallplans – wer wird im Fall eines Datenlecks von wem informiert und wer muss welche Aufgaben erledigen – ist ein Job für die Lenker der Organisation. Genau wie das Anstellen von Überlegungen, welche Informationspolitik man gegenüber Mitarbeitern und Kunden an den Tag legt im Fall der Fälle.

Früher und heute

Welche Aufgaben gehören eigentlich ins alte, welche ins neue Denkmuster? Zu Zeiten des Glaubens an funktionierende Abwehrmechanismen waren dies unter anderem:

  • Erstellen und Pflege eines Risikomodells
  • Tests der Schutzmechanismen
  • Im Fall von selbst programmierten Anwendungen: Code-Überprüfungen

Assume the breach hingegen verlangt zusätzlich nach:

  • War Gaming, also Planspiele mit Angreifern und Verteidigern
  • Zentrale Überwachung aller Sicherheitskomponenten
  • Penetrationstests durch interne oder externe Fachleute
  • Festgelegte Prozesse, was im Fall eines Datenlecks zu tun ist

Es geht also nicht mehr länger nur um die Abwehr, sondern auch um die Erkennung von Angriffen, das Identifizieren der abgeflossenen Daten sowie die entsprechenden Reaktionen.

Übrigens: Microsoft lebt schon seit mehr als einem Jahrzehnt ein Modell, das Assume the breach nahekommt. Zwar zu diesem frühen Zeitpunkt nicht unbedingt im Hinblick auf unsere Netzwerke. Aber im Hinblick auf unsere Software: Der monatliche Zyklus, in dem wir Sicherheitsupdates am zweiten Dienstag des Monats veröffentlichen, spiegelt diese Denkweise wider. Denn ein fester Ablauf zum Schließen von Sicherheitslücken zeigt, dass uns neu aufgetauchte Bugs nicht überraschen – sondern wir sie vielmehr erwarten und entsprechend darauf vorbereitet sind.

Gastbeitrag von Michael Kranawetter. Er ist der National Security Officer von Microsoft in Deutschland. Seinen Blick über den Microsoft-Tellerrand finden Sie im deutschen Technet-Blog, alle aktuellen Hinweise rund um Sicherheitsupdates in seinem persönlichen Blog.

Steigen Sie in die Konversation ein

0 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *