Endpunktsicherheit unter rechtlichen Aspekten: Mehrere Schutzebenen sollten es sein„Setzen Sie nicht auf nur eine Technik, sondern verwenden Sie unterschiedliche Optionen“
15. November 2019Schutz der Benutzer vor den verändernden Bedrohungen von heute ist ein wesentlicher Aspekt, um die juristischen Vorgaben an die IT-Sicherheit umzusetzen. Dabei kommen mittlerweile Bedrohungen wie dateilose Malware, zielgerichtete Angriffe, Ransomware und Crypto-Mining ins Spiel. Gegenüber line-of.biz (LoB) erläutert Richard Werner, Business Consultant bei Trend Micro Deutschland, unter anderem wie der Stand der Technik heutzutage einzuschätzen ist.
LoB: Wie wichtig ist Einsatz mehrerer Schutzebenen für Endpunkt-, E-Mail-, Web- und Software as-a-Service (SaaS)-Anwendungen in heutigen Unternehmensnetzwerken – und was gilt heutzutage rechtlich als „State of the Art“?
Werner: Bei der Antwort auf diese Fragestellung ist Vorsicht geboten. Nach wie vor ist es unerlässlich, Schutzfunktionen auf allen Ebenen zu betreiben. Das liegt an den unterschiedlichen Angriffsarten und den damit zusammenhängenden Verteidigungsoptionen. Unternehmen gehen deshalb gerne davon aus, dass dies auch bedeutet, verschiedene Hersteller verwenden zu müssen.
LoB: Ist diese Vorgehensweise sinnvoll?
Werner: Nein, tatsächlich ist das Management der Gesamtsicherheitssysteme heute wichtiger als der Einsatz unterschiedlicher Hersteller. Getrieben durch moderne Angriffe benötigt man andere Techniken. Sie sollten es gestatten, Informationen, die auf einer anderen Sicherheitsebene erzeugt werden, zu konsolidieren und auch Gegenmaßnahmen zu koordinieren. Die Aufwände, dies über mehrere Hersteller oder nicht aufeinander abgestimmte Produktlinien zu gewährleisten, übersteigen dabei den theoretischen Nutzen unterschiedlicher Herangehensweisen.
LoB: Wie lässt sich die Dynamik in der Bedrohungslandschaft in den Griff bekommen?
Werner: Man sollte immer davon ausgehen, dass etwas passiert, dass was nicht bedacht wurde bzw. werden konnte. Dann hilft es nur weiter, wenn man Prozesse etabliert oder Tools im Einsatz hat, die einen erkennen lassen, dass gerade etwas Ungewöhnliches – Stichwort Anomalie – passiert. Idealerweise zeigen diese Techniken dann auch noch auf, wie man damit umgehen soll.
LoB: Wie kann die „Sicherheitstruppe im Unternehmen“ speziell bei kleineren und mittleren Firmen die Bedrohungsabwehr effizient stemmen, und welche Unterstützung können IT-Security-Dienstleister bieten – und wie wirkt sich eine Auslagerung auf die rechtlichen Verpflichtungen der IT-Verantwortlichen im Unternehmen aus?
Werner: Unternehmen sollten sich das Leben nicht unnötig schwer machen. Je mehr unterschiedliche Lösungen zum Einsatz kommen, umso mehr Aufwände ergeben sich im Betrieb und desto schwieriger wird es, einen kompetenten Dienstleister zu finden. Zudem sollte man einen Prozess definieren, wie man die Aktualisierungen seines Security-Herstellers zeitnah implementieren kann.
LoB: Und welche Rolle spielen Security-Dienstleister in dieser Aufgabenstellung?
Werner: Unternehmen sollten sich von Profis beraten lassen, welche Verpflichtungen aus den gesetzlichen und branchenspezifischen Anforderungen entstehen, und wie diese umgesetzt werden können. Das gilt es dann aber auch umzusetzen. Dabei können IT-Security Dienstleister einem die unterschiedlichsten Aufgaben abnehmen, wie beispielsweise die Erstellung und den Betrieb eines Sicherheitskonzeptes sowie das Aufstellen von Notfallmaßnahmen und -prozessen.
LoB: Wie sieht es an der rechtlichen Front aus – kann man da eine klare Vorgabe machen?
Werner: Grundsätzlich lassen sich rechtliche Verpflichtungen nicht „abgeben“. Ein Unternehmen muss für die Sicherheit seiner Daten und Strukturen Sorge tragen. Wenn allerdings die dafür notwendige Expertise nicht im eigenen Haus existiert, bleibt nur der Weg zum Spezialisten, um sich unterstützen zu lassen. Wichtig ist vor allem ein Dokumentieren der Ergebnisse und Anweisungen sowie deren Umsetzung – das erfolgt in der Regel aus beidseitigem Interesse.
LoB: Welche Möglichkeiten zur Automatisierung des Endpunktschutzes sind heutzutage sinnvoll und für komplexere Malware einsatzfähig – vor allem beim Einsatz von mobilen Endgeräten?
Werner: Auch hier gilt: Setzen Sie nicht auf nur eine Technik, sondern verwenden Sie unterschiedliche Optionen. Beachten sie vor allem Technologien, die in der Lage sind, Auffälligkeiten zu erkennen, wie etwa verhaltensbasierte Analysen. Wenn ein automatisierter Update-Zyklus nicht gewährleistet werden kann, sollte eine „Virtual-Patch-Technologie“ zum Einsatz kommen, um sich gegen das Ausnützen bekannter Sicherheitslücken zu schützen.
LoB: Wie lassen sich die Einfallstore „Mail“ und „Browser“ für Benutzer am besten absichern?
Werner: Moderne Sicherheitssysteme umfassen verschiedene Funktionen, um mit unterschiedlichsten Angriffsarten umzugehen. Speziell mobile Systeme müssen daher oft autark von zentralen Sicherheitssystemen eines Unternehmens „an der Peripherie“ funktionieren. Während Mails meist noch zentral durch verschiedene Filter laufen, sind Links in Mails oder über andere Kanäle eine große Gefahr. Hier helfen Reputationsdienste, die sowohl eingehende, als auch ausgehende Verbindungen auf bösartige Zusammenhänge untersuchen. Methoden der Verhaltensüberwachung können Anomalien im Verhalten der Browsersysteme erkennen und Applikationskontrolle kann verhindern, dass bösartige Veränderungen an diesen Systemen stattfinden.
LoB: Wie lauten die Grundvoraussetzungen für eine Data Loss Prevention (DLP) und das Melden von Data Leaks, wie sie die DSGVO für personenbezogene Daten fordert?
Werner: Mittels DLP sollen sensible Daten vor allem gegen die unbeabsichtigte Weitergabe an Dritte geschützt werden. Hierzu zählen einfache Mitarbeiterfehler genauso wie der Diebstahl über Malware. Die Daten werden dazu anhand bestimmter Merkmale identifiziert und deren Weitergabe geblockt bzw. gemeldet. Das kann jedes Unternehmen selbst definieren. Ein Data Leak entsteht, wenn sensible Daten abfließen. Dies muss innerhalb von 72 Stunden bei den zugehörigen Datenschutzbehörden angezeigt werden. (rhh)