:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Endgerätesicherheit Schichtenmodell für mehr Sicherheit
So unverzichtbar sie auch sind: Firewall und Antivirus-Software allein reichen für den Endgeräte-Schutz nicht mehr aus. Angesichts wachsender Cyber-Gefahren und immer raffinierterer Angriffsmethoden benötigen Windows-Clients heute ein proaktives Zusammenspiel verschiedenartiger Security-Mechanismen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Von Microsoft Internet Explorer über Adobe Flash und Google Chrome bis zu Mozilla Thunderbird: das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte bei elf weit verbreiteten Softwareprodukten zwischen Januar und September 2015 nicht weniger als 847 kritische Schwachstellen.
Grundsätzlich empfiehlt das BSI, alle von Herstellerseite aus angebotenen Security-Patches stets so schnell wie möglich einzuspielen. Doch keine noch so große Update-Disziplin kann hundertprozentigen Schutz vor böswillig eingeschleuster Schadsoftware garantieren.
Ein Patch schließt immer nur bereits be- bzw. erkannte Sicherheitslücken und verkürzt dadurch die Zeitspanne, innerhalb derer ein Hacker diese Lücke für einen Angriff ausnutzen kann. Gegen sogenannten Zero-Day-Exploits jedoch bleiben Client-Geräte trotz Antivirus-Aktualisierung ungeschützt.
Solche Cyber-Angriffe zielen auf offene Schwachstellen, für die es noch keine Patches gibt. Besonders bedrohlich wird die Situation, wenn bereits Informationen über Zero-Day-Schwachstellen in der Hacker-Szene kursieren. Oftmals werden dafür sogar maßgeschneiderte Angriffswerkzeuge auf dem Schwarzmarkt im Internet gehandelt.
Verwundbar sind Client-Geräte nicht zuletzt durch den Siegeszug der Browsernutzung: Ein tückisches Angriffsmittel sind hierbei die sogenannten Drive-by-Exploits: Sie nutzen Schwachstellen im Webbrowser oder einem Browser-Plug-in, um heimlich ein Schadprogramm zu installieren. Zur Infektion genügt lediglich der Aufruf einer entsprechend präparierten Webseite.
Drive-by-Gefahr besteht keineswegs nur bei dubiosen Internetangeboten, sondern ebenso auf seriösen Seiten. Laut BSI-Bericht enthalten deutschlandweit ein bis zwei Prozent aller Webseiten Drive-by-Exploits oder verweisen auf andere kompromittierte Seiten.
Insgesamt ist in den letzten Jahren eine Professionalisierung der kriminellen Szene zu beobachten, was unter anderem an den zunehmend ausgefeilten Social-Engineering-Angriffen und der Häufigkeit gezielter Advanced Persistent Threats deutlich wird.
Admin-Rechte: die unterschätzte Gefahr
Reaktive Sicherheitsvorkehrungen wie Antivirus- und Firewall-Lösungen sollten durch eine zusätzliche Schicht aus proaktiven Schutz- und Abwehrkomponenten ergänzt werden. Empfehlenswert ist eine Layer-basierte Sicherheitsarchitektur deshalb, weil vorhandene Lösungsbausteine wie etwa die Applikationskontrolle effektiver werden, ohne dass das Security-Management als Ganzes dadurch komplizierter würde.
Ein ebenso einfacher wie wirkungsvoller Ansatz dafür besteht beispielsweise in einer möglichst restriktiven Vergabe von Administratorrechten für Endgeräte-Nutzer. Dahinter steht die einfache Erkenntnis, dass unbemerkt infiltrierte Malware auf betroffenen Systemen umso weniger Schaden anrichten kann, je weniger Privilegien dem jeweiligen Nutzer-Account zugeordnet sind. Auch die Ausbreitung eingedrungener Schadsoftware auf andere Rechner im Unternehmensnetzwerk wird somit eingedämmt.
Sobald allen Mitarbeitern – mit Ausnahme der IT-Administratoren – ausschließlich Standardnutzerrechte zugebilligt werden, lassen sich Risiken bei 96 Prozent aller kritischen Microsoft-Schwachstellen signifikant verringern . Denn eine Schadsoftware kann dann weder Systemänderungen noch nicht-autorisierte Programminstallationen vornehmen. De facto hätten 2013 sämtliche Angriffsversuche über Sicherheitslücken im Microsoft Internet Explorer allein durch Rückstufung der betroffenen Systeme auf Standardprivilegien gestoppt werden können.
Berechtigungsmanagement in der Praxis
Doch wie sieht die derzeitige Praxis in den meisten Unternehmen aus? Mehr als 30 Prozent von ihnen haben keinerlei Richtlinien zur Vergabe von Admin-Privilegien festgeschrieben. In 72 Prozent aller Fälle besitzen zeitweilig beschäftigte Mitarbeiter Administratorenrechte . Und dies, obwohl das Rechtemanagement seit der Einführung von User Account Control (UAC) in den aktuellen Windows-Versionen um ein Vielfaches einfacher geworden ist.
Selbstverständlich benötigen Fachkräfte in der IT-Abteilung – neben Administratoren zum Beispiel auch Anwendungsentwickler – weiterhin die Möglichkeit, tiefer in das System einzugreifen. Aber auch bei anderen User-Gruppen darf die tägliche Nutzung nicht durch undifferenzierte Rechterestriktionen erschwert werden.
In der Praxis bewähren sich hierbei am besten rollenbasierte Privilegien-Management-Lösungen, die auf betriebssystemeigenen Tools wie UAC aufsetzen und mehr Flexibilität bei der Rechtevergabe ermöglichen. Wichtig ist zudem eine enge Integration in die Anwendungsverwaltung, sodass bestimmte Zugriffsrechte aus dem Nutzungskontext heraus direkt von einer Applikation erteilt werden können. Der betreffende User erhält situationsbezogen alle notwendigen Privilegien, wird aber nicht pauschal auf ein zu hohes Rechte-Level angehoben.
Der Nutzungskomfort ist beim Rechtemanagement ein nicht zu unterschätzender Aspekt, bei dem es nicht nur um Help-Desk-Entlastung geht, sondern vor allem um die Akzeptanz der IT-Sicherheitsstrategie im Unternehmen. Und deren Erfolg ist auf eine breite Unterstützung der gesamten Belegschaft angewiesen.
Anwendungen effektiv kontrollieren
Bestandteil der Endgeräte-Sicherung im Windows-Betriebssystem ist ein signaturbasierter Erkennungsansatz, um potenziell schädliche Software aus nicht vertrauenswürdiger Quelle zu erkennen. Allerdings schafft es heutzutage mehr als die Hälfte aller Schadprogramme, diesen Anwendungsfilter zu durchdringen.
Ein weitaus effektiveres Verfahren bietet eine aktive Applikationskontrolle: Zugelassen werden dabei nur solche Anwendungen, die vom IT-Team geprüft und ausdrücklich für den Einsatz im Unternehmen bestätigt worden sind. Diese traditionell schwierige Herangehensweise endet schnell in einem erhöhten Wartungsaufwand für die Erstellung und Pflege einer solchen Whitelist.
Hier hilft ein intelligenter Ansatz weiter, bei dem die vertrauenswürdigen Applikationen auf der Grundlage von bekannten Systemverzeichnissen und standardisierten Referenzsystemen des Unternehmens freigegeben werden, die den administrativen Aufwand auf ein Minimum zu reduzieren. Dies verhindert die Installation und Ausführung von Malware und dem unkontrollierten Softwaredownload argloser Mitarbeiter ist damit automatisch ein Riegel vorgeschoben.
Sandkastenspiele? Aber sicher!
Indes verbergen sich weitere Gefahrenquellen in unterschiedlichsten Dokumenten, die aus dem modernen Arbeitsalltag nicht mehr wegzudenken sind, etwa PDF- und Office-Dateien. Dazu folgendes Beispiel: Ein Mitarbeiter lädt ein infiziertes Dokument aus dem Internet herunter, oder die Webseite ist mit einem Drive-by-Exploit infiltriert.
Der Angriff bleibt unentdeckt; die Datei wird von einem durch die Applikationskontrolle bestätigten Programm wie dem Internet Explorer, einer Office-Anwendung oder dem Adobe Acrobat Reader geöffnet. Weder die Antivirussoftware noch die Anwendungskontrolle schlägt Alarm, sodass der Schadcode nahezu ungehindert auf Daten und Programme des befallenen Endgeräts zugreifen kann.
Downloads aus dem Internet gänzlich zu verbieten, ist im Online-Zeitalter sicherlich keine vernünftige Option. Ratsam ist stattdessen das sogenannte Sandboxing, bei dem alle Inhalte aus unbekannter Quelle in einem isolierten Bereich – eben der Sandbox – gespeichert werden. Getrennt von Daten und Programmen können sie somit keinerlei Schaden auf dem Endgerät verursachen.
Ein großer Vorteil des Sandkastenprinzips besteht darin, dass es bei intelligenter Umsetzung so gut wie keine Nutzungseinschränkungen für die Anwender mit sich bringt. Intelligent heißt in diesem Kontext, dass eine entsprechende Lösung zum Beispiel sämtliche Dokumente klassifiziert, nachvollzieht und alle Dateien aus dem Internet ausschließlich in der Sandbox ablegt. Dort können sie beliebig geöffnet, geändert und ausgedruckt werden – ohne die Sicherheit des Endgerätes im Geringsten zu bedrohen.
* Über den Autor
Rainer Richter ist Sales Manager Channels bei Avecto.
(ID:43843613)
:quality(80)/images.vogel.de/vogelonline/bdb/1947900/1947910/original.jpg "Admins müssen ungepatchte MS-Sicherheitsrisiken kennen, damit sie auf andere Weise entschärft werden können, bevor Cyberkriminelle sie ausnutzen. (oz - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923717/original.jpg "Cloud-Apps verleiten zu drei Arten von Missbrauch: Angreifer, die versuchen, sich Zugang zu Cloud-Apps von Opfern zu verschaffen, Angreifer, die Cloud-Apps zur Verbreitung von Malware missbrauchen, und Insider, die Cloud-Apps zur Datenexfiltration nutzen. (gemeinfrei)")