Keine Chance für Cyberkriminelle Anwendungssicherheit steht im Mittelpunkt
12. Oktober 2017Geschäfts-Performance mit Best-Practice-Methoden verbessern – dieser Ansatz verspricht große Erfolgschancen. In Sachen Cyber-Sicherheit erweist sich ein kontinuierlicher Prozess als das Mittel der Wahl. Er soll sowohl Bedrohungen und Schwachstellen identifizieren, als auch evaluieren, sowie beheben. Gleichzeitig gilt es, die potenzielle Wirkung zu analysieren, zu modellieren und zu simulieren.
Zeit zu handeln
In der Regel bleibt dem Publikum eine tolle Vorstellung stets im Gedächtnis und sorgt dafür, dass es wiederkommt. Im Geschäftsleben bleibt ein Unternehmen langfristig nur dann wettbewerbsfähig, wenn es seine Kunden zufriedenstellt. Allerdings reicht oftmals schon eine einzige schlechte Erfahrung aus, um das Vertrauen des Kunden zu verspielen – und der Kunde ist weg.
Kriminelle haben in den letzten Jahren viele umfangreiche Datendiebstähle begangen: Analysten zufolge sind mehr als eine Milliarde Kundendatensätze in die falschen Hände gelangt, Tendenz steigend. Die Cyber-Kriminalität stellt damit die bisherigen Erfolgsrezepte redlich infrage. Unternehmen sollten daher dringend die Anwendungssicherheit in den Mittelpunkt stellen und alles dafür tun, um überlebenswichtige Daten zu schützen und die Geschäfts-Performance sicherzustellen.
Gelangen Hacker an Login-Daten, gleicht dies einem Hauptgewinn. Sobald sie diese besitzen, werden diese zu Geld gemacht und beispielsweise auf dem Schwarzmarkt veräußert. Auch Hacktivisten-Gruppen wie Anonymous nutzen die gleichen Tools wie finanziell motivierte Cyber-Kriminelle. Sie versuchen Schwachstellen in Webseiten aufzuspüren und sich unerlaubt Zugang zu verschaffen oder DDoS-Angriffe durchzuführen. Für viele Firmen ist das Tempo der digitalen Ökonomie jedoch zu hoch, wodurch das Sicherheits- und Risikomanagement stetig vor zahlreichen neuen Herausforderungen steht.
Nach einer Analyse von Gartner erleiden bis 2020 rund 60 Prozent aller digitalen Unternehmen größere Serviceausfälle, weil ihre IT-Sicherheitsteams nicht in der Lage sind, die digitalen Risiken angemessen zu managen. Gartner geht auch davon aus, dass der Datenverkehr der Unternehmen direkt von mobilen Geräten in die Cloud fließt und damit die Sicherheitsvorkehrungen im Unternehmen komplett umgehen wird. Daher sind in der gesamten Unternehmensorganisation deutliche Veränderungen in Bezug auf die Firmenkultur, das Verhalten und die Technologie notwendig.
Rollendefinitionen
Es ist an der Zeit, dass Sicherheitsverantwortliche stärker die Rolle als vertrauenswürdige Berater und „Intelligence Officer“ (für analytische Gefahrenerkennung Zuständiger) übernehmen. Ein umfassender Überblick über die Bedrohungslandschaft liefert wertvolle Erkenntnisse. Es ist von entscheidender Bedeutung zu verstehen, wie alle Beteiligten ihre Rollen ausfüllen – nur können die richtigen Systeme und Fertigkeiten gemeinsam einen umfassenden Dateneinbruch bekämpfen. Der Schlüssel zum Erfolg liegt darin, sein Publikum glücklich zu machen. Mithilfe eines robusten Ökosystems aus Anwendungssicherheit und Cloud-Lösungen gewährleisten Unternehmen, dass die Daten ihrer Kunden geschützt sind und umfassend gemanagt werden.
Allerdings werden noch immer 90 Prozent der Sicherheitsbudgets für alle möglichen Aufgaben ausgegeben und nicht nur für den Schutz von Nutzeridentitäten sowie kritischen Anwendungen. Unternehmen sollten künftig einen anderen Ansatz verfolgen und ihre Investitionen für die Cyber-Sicherheit hin zur Erkennung von und Reaktion auf Angriffen verwenden.
Nur wenn Firmen nicht mehr alle IT-Bereiche gleichermaßen schützen wollen, können sie sich wirkungsvoller auf die Bereiche fokussieren, die wirklich wichtig sind und gegen böswilliges Verhalten und gefährliche Ereignisse geschützt werden müssen. Gut informierte Unternehmen konzentrieren sich auf die Bedrohungen, die ihrem Betrieb am meisten schaden können.
Diese Tipps garantieren Sicherheit
Vertraut ein Unternehmen auf die richtigen Tipps, ist es für die anstehenden Herausforderungen im Bereich der IT-Sicherheit gut gerüstet:
• Sorgen Sie für Transparenz bei kritischen Daten. Stellen Sie sicher, dass unternehmenskritische Anwendungen zuverlässig laufen, indem Sie diese vor umfassenden Angriffen auf das Netzwerk und vor DDoS-Angriffen auf der Anwendungsschicht schützen. So lassen sich die Auswirkungen auf den Geschäftsbetrieb durch volumetrische und verschlüsselte Angriffe minimieren. Bot-Netze, die für wenig Geld für Plug-and-Play-Angriffe gemietet werden können, und die neuen IoT-Bot-Netze machen es Hackern leicht, Angriffe mit einem Umfang von Terabytes pro Sekunde zu starten. Transparenz ist hier Trumpf.
• Umfassender Schutz: Nutzen Sie ein Ökosystem aus modernsten Sicherheitslösungen, die die Abwehr auf Schicht 4 und höher sowie den Schutz von Schwachstellen als auch Fehlern in der Geschäftslogik umfassen, die von Bots und DDoS-Vektoren ausgenutzt werden können. Treffen Sie sofortige Maßnahmen bei neuen DDoS-Bedrohungen und nutzen Sie angepassten Code, um schädlichen Traffic abzuschwächen. Darüber hinaus sollten Sie für Schutz vor Zero-Day-Exploits sorgen.
• Implementieren Sie starke Zugangskontrollen und überwachen Sie diese: Nutzen Sie Single-Sign on, um eine große Anzahl von Nutzern zu managen und die Anzahl von Passwörtern zu verringern, die über mehrere kritische Systeme hinweg gespeichert werden müssen. Denn das beeinträchtigt die Sicherheit. Die Validierung und Authentisierung der Nutzer ist unabdingbar, damit sich keine unbekannten oder kriminellen Nutzer Zugang zu den Anwendungen verschaffen.
• Implementieren Sie Multifaktor-Authentisierung (MFA): Damit schützen Sie den Zugang zum Netzwerk und zu den Anwendungen; Nutzeridentitäten können schließlich kompromittiert werden. Es lässt sich kaum verhindern, dass der ein oder andere Nutzer einem Phishing-Angriff zum Opfer fällt – ohne MFA kann sich ein Angreifer Zugang zum Netzwerk, den Anwendungen und den Daten verschaffen.
• Implementieren Sie Betrugsschutz: Lassen Sie alle Eingaben der Nutzer im Browser (Anwendung) verschlüsseln. Echtzeitverschlüsselung von Feldern mit sensiblen Daten schützt die Eingaben auch vor Browser-basierten Keyloggern.
• Lassen Sie keine schwachen Passwörter und keine Kombinationen aus Standardnamen als Passwörter zu (etwa „admin: password“): Wehren Sie außerdem Brute-Force-Exploits ab, indem Sie beispielsweise nach sechs falschen Eingaben das angegriffene Nutzerkonto sperren lassen. Das Hashing von Passwörtern allein ist kein wirklicher Schutz.
• Automatisieren Sie das Schwachstellenmanagement für Webanwendungen: Es gibt immer eine Verzögerung zwischen dem Entdecken einer Schwachstelle und deren Behebung, eine Webanwendungs-Firewall (WAF) kann die Schwachstelle automatisch schützen. Eine WAF erfordert allerdings kontinuierliche Betreuung durch einen erfahrenen Techniker. Daher setzen viele Unternehmen auf gemanagte WAF-Dienste, anstatt intern entsprechende Expertise aufzubauen, die einen "24×365"-Betrieb gewährleisten soll.
• Implementieren Sie eine Sicherheitskultur: Die Einstellung Risiken gegenüber und der Fokus auf Sicherheit sind oft genauso wichtig wie eine robuste Technologie. Wenn es zu Datendiebstählen kommt, hängt das nicht nur vom Angreifer ab – oft machte erst die Nachlässigkeit eines Mitarbeiters den Angriff möglich.
Ralf Sydekum
ist Technical Manager für den Bereich DACH bei F5 Networks