Sie sind hier: HomeTelekommunikation

Netzwerkmanagement: Inselwelt Patchwork-Security

In Unternehmen findet sich heutzutage eine Vielzahl an einzelnen Security-Lösungen. Doch anstatt vor potenziellen Bedrohungen bestmöglich zu schützen, entstehen viele Einfallstore für Cyberkriminelle. Was kann getan werden, um die Lücken im Sicherheits-Flickenteppich effektiv zu schließen?

Hai Inselwelt Bildquelle: © funkschau / 123rf

Die Security-Landschaft ist so vielfältig wie noch nie. Die Bandbreite geht von Firewalls, Antivirensoftware und Web Application Firewalls bis hin zu IDS- und IPS-Systemen, Sandboxing Environment und SIEM-Systemen. Unternehmen können aufgrund dieses breiten Spektrums schnell den Überblick verlieren, was wirklich benötigt wird und in welchem Ausmaß es eingesetzt werden soll. Denn auch wenn es den Anschein erweckt, dass viele Tools gleichzeitig eine hohe Sicherheit bedeuten – der Schein trügt.

Es gilt folgender Grundsatz: Je mehr Tools Anwendung finden, desto unsicherer wird das Netzwerk. Der Vergleich mit einem Meer hilft. Das Netzwerk ist das Wasser und die einzelnen Security-Werkzeuge sind Inseln. Doch zwischen diesen Inseln gibt es keine Brücken. Vielmehr existieren alle für sich und arbeiten auch dementsprechend. Hier den Überblick zu wahren, stellt für IT-Abteilungen eine große Herausforderung dar. Doch nicht nur der fehlende Überblick ist ein Problem: Häufig überschneiden sich sogar Aufgabenbereiche der Tools und personelle Ressourcen werden für doppelte Tätigkeiten aufgewendet. Das alles führt zu einem unkontrollierbaren Netzwerk – einer stürmischen See.

Angriffsflächen für Kriminelle
Nun gibt es im Netzwerk, wie auf den Weltmeeren auch, Piraten. Cyberkriminellen nutzen die unübersichtliche Situation aus und analysieren die IT-Struktur eines Unternehmens. Dabei führt ein beliebter Weg über das Domain Name System (DNS). Dieses funktioniert ähnlich wie ein Telefonbuch: Bei der Eingabe einer URL in einem Browser wird der entsprechende DNS-Name-Server kontaktiert und eine Verbindung hergestellt. Greift nun ein Hacker den Server an und möchte sich Zugriff verschaffen, helfen Antivirenprogramme und Firewalls allein nur wenig. Sie können zwar den Zugriff registrieren, aber oft ist es schon zu spät, wenn der Administrator die Benachrichtigung erhält. Auch eine Security-Information- und Event-Management-Lösung (kurz SIEM) allein hilft wenig. Diese ist nicht dafür konzipiert, alle Arten von Vorfällen zu erkennen und zu melden. Sich nur auf einzelne Lösungen zu fokussieren, ist ein fataler Fehler.

Manuell ist zu langsam
Security-Zwischenfälle treten im Sekundentakt auf und IT-Abteilungen stehen vor einer sehr großen Herausforderung: die Registrierung und Beurteilung von Sicherheitsvorfällen. Für einen reibungslosen Ablauf gilt zu klären, welche Vorfälle manuell bearbeitet werden müssen und welche automatisiert werden können. Müssen wirklich alle Vorfälle im Netzwerk gemeldet oder sollten nicht lieber die kritischen hervorgehoben werden? In der Regel folgt ein Security-Zwischenfall einem Muster: Die IT-Abteilung erhält ein Update von der Firewall, dass es beispielsweise einen nicht autorisierten Zugriff auf den Server gab. Der Administrator sucht diesen Zwischenfall heraus, untersucht ihn sowie die Art der Attacke. Dafür muss er sich die Informationen aus den einzelnen Tools zusammensuchen. Er muss seine Daten mit jenen aus dem Netzwerk abgleichen, damit er erfährt, wer sich mit welchem Gerät wann und wo eingeloggt hat. Für die IT-Abteilung ist dieser Aufwand nicht skalierbar.

Gerade für kleine und mittelständische Unternehmen ist das ein großes Problem, da sie durch den Fachkräftemangel im IT-Bereich oftmals unterbesetzt sind. Deshalb sollten sie sich auf drei Aspekte fokussieren, um ihre Netzwerke sicherer zu gestalten:

  1. Automatisierung: Unternehmen sollten Prozesse automatisieren, um die IT-Abteilung zu entlasten und die Produktivität zu erhöhen. Wie hilfreich das sein kann, zeigt das Beispiel eines Schwachstellenscanners. Dieser prüft alle bekannten Systeme im Netzwerk. Allerdings finden diese Scanvorgänge häufig zu Zeiten statt, zu denen der User nicht arbeitet. So kann es passieren, dass sie ausfallen oder nur unregelmäßig stattfinden. Dem kann mit Automatisierung begegnet werden. Der Scanner wird so eingestellt, dass jedes neue Gerät automatisch eine IP-Adresse bekommt. Der Schwachstellenscanner erhält dann eine Benachrichtigung und scannt das Gerät, noch bevor es Zugriff auf das Netzwerk erhält.
  2. Integrationen: Die Verbindung der Arbeitsbereiche der einzelnen Security-Lösungen dient der Effizienzsteigerung und entlastet gleichzeitig die IT-Sicherheit. Wenn beispielsweise die Firewall und das Antivirenprogramm ihre Informationen in ein SIEM-System einspielen, kann der Security-Analyst schnell erkennen, ob es sich um einen Zwischenfall mit großer Priorität handelt. Dies funktioniert allerdings nur, wenn die einzelnen Tools ihre Informationen sammeln und sie zusammenarbeiten.
  3. Managed Services: Häufig greifen gerade kleine und mittelständische Unternehmen auf Managed Services und externe Dienstleister zurück. Dabei wird oftmals die komplette IT (oder zumindest Teilbereiche davon) ausgegliedert und deren Überwachung an externe Verantwortliche übertragen. Managed Services lösen aber nicht alle Probleme. Gerade bei zeitkritischen Vorfällen ist das richtige Know-how im Unternehmen wichtig. Auch in Hinblick auf die Weiterentwicklung der digitalen Infrastruktur ist das entsprechende Personal im eigenen Haus nötig. Viel mehr kommt es auf die richtige Zusammenarbeit zwischen Unternehmen und Dienstleister an.

Wider die Verschlimmbesserung
Die Patchwork-Security ist ein klassischer Fall einer Verschlimmbesserung. Mit guter Absicht werden mehr und mehr Security-Lösungen integriert, die jedoch zu zusätzlichen Problemen führen. Damit dieses unnötige Risiko nicht eingegangen wird, sind Bestrebungen in Richtung Automatisierung und Integration der einzelnen Tools notwendig. Alternativ können Unternehmen bei mangelnden Kapazitäten Managed Services wählen, die allerdings als unterstützende Maßnahme und nicht als Wundermittel zu sehen sind. Erst dann ist die IT-Infrastruktur auch für künftige Cyberattacken gewappnet.

Frank Ruge ist Director Sales Central Europe von Infoblox