Let's dance!

0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
396 Aufrufe  

Alle Sicherheitsanstrengungen auf den Schutz des Netzwerks zu konzentrieren, ist nicht ohne Risiko. Wie eine Mauer kann man so zwar die Bedrohungen auf Abstand halten, aber wenn es den Angreifern gelingt, innerhalb des Perimeters Fuß zu fassen, sind sie kaum mehr zu stoppen. Dazu reicht schon ein nicht geschützter Drucker oder eine Netzwerkhardware mit alter Firmware und einem Nutzerkonto mit dem voreingestellten Namen und Kennwort. Es reicht auch ein Mitarbeiter, der auf etwas klickt, was er nicht anklicken sollte, oder der seine Nutzerdaten an die falsche Person weitergibt. Schon schlüpfen Hacker unbemerkt gleichsam in einem Tunnel unter der Mauer hindurch ins Netzwerk und richten dort Unheil an.

Was könnten sie dort finden? Nun, ganz sicher eine Menge vertraulicher Firmendaten, wie zum Beispiel Verträge, Finanzunterlagen, geistiges Eigentum, Mitarbeiterdaten und Pläne für die Zukunft. Hinzu kommen die Kundendaten, sensible Finanzdaten, Vereinbarungen, vertrauliche Dokumente - jede Menge Daten, die unter brancheninterne oder gesetzliche Regelungen fallen. Möglicherweise sind sogar Informationen darunter, mit deren Hilfe ein Hacker sich Zugang zu den Systemen Ihrer Kunden verschaffen kann - einige der umfangreichsten Angriffe der letzten Jahre haben so begonnen.

Darüber hinaus können sich Hacker Zugang zu einer Unmenge an Emails und persönliche Daten verschaffen, sodass sie fremde Nutzeridentitäten annehmen und so noch weitere Systeme angreifen oder einfach nur Ihr Unternehmen bloßstellen können. Denken Sie nur an die Email-Hacks gegen Sony Pictures von 2015 oder die gehackten Email-Konten der amerikanischen Demokratischen Partei im letzten Jahr, dann wissen Sie, welchen Schaden an Kundenbeziehungen und an der Reputation ein simpler Hack anrichten kann.

Die Kosten, die solche Datenlecks verursachen, lassen sich nicht so leicht beziffern. Das Ponemon Institute errechnete für seine „Cost of Data Breach Study“, dass 2016 eine Datensicherheitsverletzung im Schnitt Kosten in Höhe von 2,53 Millionen britischer Pfund, also 2,9 Millionen Euro, verursachte - mit eingerechnet wurden die kompromittierten Datensätze, Umsatzausfälle und Kundenabwanderungen. TalkTalk schätzte die Gesamtkosten des Datendiebstahls, den das Unternehmen 2014 erlitt, auf 60 Millionen Pfund, also fast 69 Millionen Euro; einkalkuliert sind da auch die Kosten für Kundensupport und Wiederherstellung, Auswirkungen auf den Handel und Umsatzausfälle.

Netzwerksicherheit reicht bis hierhin - und nicht weiter

Es ist nicht so, dass netzwerkzentrierte Ansätze nicht wirksam wären. Sie sind hervorragend dazu geeignet, Bedrohungen auszufiltern, bevor sie noch in die Nähe Ihrer hochwertigen Daten kommen. Gleichzeitig erzeugen sie eine Menge an Rauschen, das das Bild verzerrt oder sogar falschen Alarm auslöst - und das kann zur Folge haben, dass tatsächliche Angriffe übersehen werden. Außerdem gehen manche netzwerkzentrierte Sicherheitsmaßnahmen zulasten der Performance, das hat schon so manchen genervten Admin dazu verleitet, die Vorkehrungen zu lockern, damit die Netzwerkgeschwindigkeit nicht einbricht.

Hinzu kommt noch der Einfallsreichtum der Hacker, die sich immer wieder neue Angriffsvektoren ausdenken, etwa Angriffe auf Drucker oder mobile Geräte, sowie menschliche Fehler, die zur Ausbreitung von Malware führen. Es reicht schon ein infizierter Email-Anhang oder Schadcode, der auf einer Webseite versteckt ist, und schon sind die Angreifer durch Ihr Sicherheitsnetz geschlüpft. Ebenso kann Malware, die in einer Smartphone-App steckt oder auf einem USB-Stick ins Netzwerk gelangt, die Sicherheitsvorkehrungen aushebeln. Daher verwundert es nicht, dass Sicherheitsvorkehrungen auf Netzwerkebene nicht alle Bedrohungen aufhalten können. Dem von Verizon veröffentlichen „Data Breach Investigations Report“ von 2016 zufolge hat sich die Zahl der Datensicherheitsverletzungen, die auf kompromittierte Nutzerkonten oder Geräte zurückzuführen sind, in den letzten sechs Jahren verdoppelt. Und PCs sind nach wie vor ein Hauptziel der Angriffe: Im gleichen Zeitraum stieg die Zahl der gemeldeten Angriffe auf Desktops und Laptops um 232 Prozent.

Verteidigung auf Geräteebene

Wie aber stoppt man einen Angreifer, der bereits ins Netzwerk eingedrungen ist? Die Antwort: Indem Sie nicht nur die Server schützen, sondern auch die Endpunkte, also die PCs, Laptops und die mobilen Geräte. Mit einem softwaregestützten Ansatz kommen Sie da sehr weit, wenn er eine komplette Verschlüsselung der Festplatte und zentral gemanagten Malware-Schutz inklusive Updates und Patches umfasst. Ein strenges Nutzermanagement und Datenklassifizierung sollten sicherstellen, dass die Mitarbeiter nur zu genau den Informationen Zugang erhalten, die sie für ihre Aufgaben brauchen. Hinzu kommen noch intelligentes Monitoring und Bedrohungserkennung, damit Sie auch vor Insiderangriffen geschützt sind.

Aber Software alleine reicht nicht aus. Wenn es einem Hacker gelingt, in das Netzwerk einzudringen und Anmeldedaten zu stehlen, kann er auf die verfügbaren PCs zugreifen und sie neu konfigurieren. Hacker haben es inzwischen gezielt auf Passwort-Managementsysteme und -anwendungen abgesehen, sie hoffen, mit einem erfolgreichen Angriff viele weitere Angriffe auf eine Reihe hochwertiger Ziele möglich zu machen. Angriffe auf USB-Hosts – genauer gesagt, schädlicher Code, der in USB-Hostcontroller eingespeist wird – sind eine gewaltige Bedrohung und so gut wie unmöglich zu entdecken. Gleichzeitig greift die derzeit gefährlichste Malware das BIOS von PCs und Laptops an und kompromittiert diese Geräte ebenfalls auf eine Weise, die nur schwer zu erkennen und zu beheben ist. Damit verschaffen sich Hacker eine Hintertür in die Computer und die darauf gespeicherten Daten. Sobald sie das BIOS in ihrer Hand haben, tanzen Ihre Systeme nach ihrer Pfeife.

Hardware, mit der sich Hacker aufhalten lassen

Aus diesem Grund erfordert ein vollständiger Schutz auch zusätzliche Unterstützung auf der Hardwareseite. Biometrische Systeme beispielsweise können verhindern, dass Hacker mithilfe gestohlener Anmeldedaten Zugang erhalten - dabei müssen die Angreifer sich nicht nur mit dem ausweisen, was sie wissen, sondern auch damit, wer sie sind. Einen Benutzernamen und das zugehörige Kennwort kann man stehlen, ein Fingerabdruck oder ein Gesicht dagegen ist weitaus schwerer zu fälschen. Sicherheits-Apps für das Smartphone und berührungssensitive Authentisierungssysteme auf NFC-Basis sorgen dafür, dass ein gestohlenes Kennwort nur in Kombination mit dem Mobilgerät des rechtmäßigen Nutzers verwendet werden kann. RFiD-Tags und Smartcards sind weitere Optionen für eine Zwei-Faktor-Authentisierung, mit denen sich Angreifer abwehren lassen. 

Genau deshalb baut HP auch Business-PCs, Laptops, Server und Drucker mit integrierten Sicherheitsfunktionen. PCs aus der HP-Elite-Familie und Laptops aus der EliteBook-Familie beispielsweise verfügen über eine Suite an Tools, die dazu konzipiert sind, Ihre Geräte, Nutzeridentitäten und Daten zu schützen - und Hackern einen Riegel vorzuschieben, bevor sie überhaupt die Chance haben, die Kontrolle über die Geräte zu übernehmen.

  • HP BIOSphere, Generation 3
    Das Firmware-Ökosystem von HP automatisiert den Schutz der Daten auf Business-PCs. Die Firmware arbeitet nahtlos mit der HP Client Security Solution und der HP Client Management Solution zusammen und schützt das BIOS und optimiert die Sicherheit und das Management über die gesamte PC-Flotte des Unternehmens.
  • HP SureStart , Generation 3
    Die SureStart-Technologie von HP ist eine Schlüsselkomponente von BIOSphere. Die dritte Generation von SureStart überwacht das BIOS kontinuierlich auf Anzeichen von Manipulation, schützt die Daten, die die Konfiguration und die Richtlinien kontrollieren. Sobald Anzeichen eines Angriffs erkannt werden, stellt SureStart das BIOS wieder im Originalzustand her und richtet die von Ihrem IT-Team angepassten Einstellungen und Regelungen wieder ein. So ist SureStart, Generation 3, in der Lage, Malware, die das BIOS angreift, aufzuhalten und abzuwehren.
  • HP Client Security Suite , Generation 3
    Die Multifaktor-Authentisierung schützt die Sicherheitsanmeldedaten mit einem zweiten Faktor, zum Beispiel mit einer integrierten Biometriefunktion wie Fingerabdruck- oder Gesichtserkennung. Wenn das Authentisierungsverfahren nicht nur darauf basiert, was Sie wissen, sondern auch darauf, wer Sie sind, dann sind ein gestohlener Nutzername mit dem zugehörigen Kennwort nicht länger der Schlüssel zu Ihrem PC. Dank HP SpareKey sind die Nutzer auch in der Lage, ihre Nutzerdaten wiederherzustellen, ohne sich ans Helpdesk wenden zu müssen; und HP Device Access Manager verhindert, dass Daten auf ein externes Laufwerk kopiert werden.

Ein wirksamer Mix aus Software und Hardware macht es Hackern sehr, sehr viel schwerer, einfach in Ihr Netzwerk zu tänzeln, mit dem System Tango zu tanzen und mit Ihren Daten davon zu schweben. Mit dem richtigen Schutz auf Geräteebene ist es ein Leichtes, den Wolf von Ihrer Tanzfläche fernzuhalten.

Verpassen Sie nicht die übrigen Teile dieses Videos:

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.