Interview mit Dr. Dorit Dor, Check Point Software Technologies

Gegen Social Engineering und Anwenderfehler ist selbst ein IPS machtlos

30.06.2011 | Redakteur: Peter Schmitz

Moderne Angriffe abwehren

Security-Insider: Widmen wir uns doch einmal der Einbruchsverhinderung (Intrusion Prevention). Wie schätzen Sie persönlich Advanced Persistent Threats ein und wie schwer haben es Sicherheitssysteme, entsprechende Angriffe abzuwehren?

Dorit Dor: Das Erkennen von Persistent Threats ist für Intrusion-Prevention-Systeme eine große Herausforderung, da sie direkt nach Angriffen Ausschau halten. Persistent Threats dringen jedoch mittels Social Engineering direkt zu den Endgeräten vor und stellen somit keinen Einbruch im eigentlichen Sinne dar.

Grundsätzlich verhalten sich Persistent Threats legitim. Deshalb muss man über die IPS-Technik hinausgehen, um entsprechende Aktionen zu identifizieren. An dieser Stelle müssen und wollen wir noch mehr tun. Hierfür ist es allerdings notwendig, sich auch tiefer mit den Gefahren des Social Engineering zu befassen.

Vor einigen Wochen habe ich eine Attacke gesehen, bei der ein Angreifer über das Internet zahlreichen Anwendern Scareware untergejubelt hat. Gegen diese getarnten Angriffe gibt es leider keine technische Wunderwaffe. Auch wenn man später möglicherweise gefährliches Verhalten erkennen kann, so bleibt doch das Grundproblem, wie man gleich im Ansatz auf solche Angriffe reagieren kann.

Erst kürzlich haben wir mit dem Social Guard ein Produkt für Endanwender veröffentlicht, das sich auf die Sicherheit unter Facebook konzentriert. Eltern sowie deren Kinder erhalten damit ein Social-Networking-Tool, das sie über verdächtige Aktivitäten informiert. Die Alarmmeldung erreicht in diesem Fall sowohl die Eltern als auch das Kind – ohne dass der Elternteil eine Verknüpfung als Facebook-Freund benötigt, um den entsprechenden Pinnwand-Eintrag zu lesen.

Wir stellen also Fragen wie „Was genau geschieht hier?“ und „Wer beantragt die Freundschaft des Kindes, obwohl Alter oder Standort möglicherweise deutlich abweichen?“. Auf diese Weise ließe sich beispielsweise ein drohender Account Hack im Vorfeld erkennen. Das zeigt, dass wir bereits einige unserer Erkennungstechniken verfeinert haben und auch künftig ausbauen wollen.

Security-Insider: Glauben Sie, dass neben der Technik auch die Anwender-Sensibilisierung zunehmend in den Fokus der Sicherheitsunternehmen rücken muss?

Dorit Dor: Hierfür sprechen gleich mehrere Gründe. Zunächst einmal entscheidet der User über Dinge, die im Endeffekt die Sicherheit des ganzen Unternehmens beeinflussen. Trifft einer meiner Angestellten eine schlechte Entscheidung – und sorgt damit für einen Viren-Befall oder den Abfluss wichtiger Daten – so muss ich ihn in angemessenem Verhalten schulen. Solange eine Person nicht weiß, wie sie auf bestimmte Ereignisse reagieren soll, stellt sie das schwächste Glied in der Kette dar.

Der andere Grund ist der Umstand, dass möglicherweise nur der Nutzer selbst den Sinn und Zweck einer Aktivität erkennt. Natürlich kann ein Security-Verantwortlicher über sehr ausgeklügelte Regeln festlegen, was erlaubt ist und was nicht. Sobald die IT-Sicherheit aber Arbeitsabläufe oder Geschäftsprozesse behindert, wird sie von den Mitarbeitern aus Effizienzgründen schlichtweg ignoriert.

Als Sicherheitsverantwortlicher benötigt man also einen pragmatischen Ansatz, bei dem die Anwender ungestört weiterarbeiten können. In ihrer Welt können USB-Geräte mit sensiblen Daten ruhig grundsätzlich verschlüsselt sein, sofern sie in anderen Fällen auch selbst entscheiden können, einen unverschlüsselten USB-Stick zu benutzen. Ein Verbot von Diensten wie Youtube ist auch nur so lange sinnvoll, wie die Anwender sie nicht für ihre Arbeit benötigen. Bei der Richtlinien-Definition gilt es, die User in den Entscheidungsprozess mit einzubeziehen.

Security-Insider: Etliche Sicherheitslösungen legen den Security-Schwerpunkt auf das Gateway. Welche Rolle spielt ihrer Meinung nach noch der Endpunkt in der Sicherheitsbetrachtung?

Dorit Dor: Ich bin der Ansicht, dass die Endgeräte im Unternehmen nach wie vor sehr wichtig sind. Nicht nur, dass auf ihnen immer noch ein Großteil der Daten gespeichert wird, jeder Endpunkt ist gleichzeitig ein Einstiegspunkt in das Firmen-Netzwerk. Dementsprechend ist es überlebenswichtig, neben dem Gateway auch die Endgeräte abzusichern. Check Point hat sich viel mit diesem Thema befasst, die Bestrebungen reichen vom bereits erwähnten Social Guard bis hin zu einer leistungsfähigen Firmen-Applikation zum Schutz der Endgeräte.

Den besten Schutz vor ausgeklügelten Attacken bieten mindestens ebenso raffinierte Abwehrmechanismen. Wie bei einem Flughafen benötigt man nicht nur eine Verteidigungslinie, sondern eine mehrschichtige Sicherheitsarchitektur. Wir dürfen uns nicht länger auf ein einzelnes Tool verlassen, das sowohl das Netzwerk als auch die darin enthaltenen Daten absichert. Wir benötigen vielfältige Tools, vielfältige Sicherheitsschichten.

Dr. Dorit Dor ist Vice President of Products bei Check Point Software Technologies, das Interview führte Peter Schmitz.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052188 / Intrusion-Detection und -Prevention)