Unternehmenssicherheit: Clientsysteme sind größte Schwachstelle
Viele Verantwortliche in der IT-Security sind immer noch der Meinung, dass sorgfältig konfigurierte Rooter, Firewalls und Antivirus-Tools ausreichend sind, um die notwendige Sicherheit in Unternehmen zu gewährleisten. Das ist aber ein Trugschluss. Viele Unternehmen sind heute verwundbar, weil der Sicherheitsstaus der Clientsysteme oftmals nicht den Anforderungen entspricht.
Laut Verizon Business Data Breach Investigations wurden 2008 über 250 Millionen Angriffe registriert, wovon 74% extern initiiert wurden und Viren, Würmer, Back-Doors, Key-Loggers, Trojaner, Spyware und Rootkits beinhaltet haben. Es kann davon ausgegangen werden, dass die Zahl für 2009 um einiges höher ist. Die Antivirus-Programme sind mit inzwischen fast einer Million neuer Signaturen aufgebläht worden, was oftmals dennoch nicht hilft. Das liegt daran, dass Hacker mittlerweile polymorphe Codes schreiben, so dass Signatur-Scanns unbrauchbar sind. Eine Antivirus-Software, die ausschließlich nach bekannten Signaturen sucht, ist daher machtlos.
Sobald ein Client infiltriert worden ist, werden weitere ungepatchte oder unsicher konfigurierte Systeme im Netzwerk ausfindig gemacht und befallen. Unsicheren Clients stellen also den wunden Punkt dar. Diese Schwachstellen entstehen, weil die Systeme nicht kontinuierlich gewartet werden. Für die Wartungsarbeiten gibt es teilweise keine klaren Zuständigkeiten. Die Verantwortung liegt manchmal beim Security-Departement, manchmal beim IT-Departement und wird in manchen Fällen sogar auf den User übertragen.
Drei Zentrale Prozesse um ein Unternehmen zu sichern
Alle Unternehmen müssen heute dafür sorgen, dass alle Clientsysteme unabhängig davon, ob sie nur temporär oder durchgehend am Netzwerk angeschlossen sind, im Sinne eines proaktiven und integrierten Sicherheitsmanagementansatzes geschützt werden. Ein solcher Ansatz baut auf drei zentrale Prozesse auf:
1. Sichere Konfiguration und Überwachung der Einstellungen aller Clientsysteme
Mehrere Studien haben ergeben, dass lediglich sehr wenige unsicher konfigurierte Maschinen ausrechen um folgenschwere Angriffe auf das Unternehmensnetzwerk zu ermöglichen. Die Systeme, die den Usern zu viele Rechte einräumen und bei denen nicht regelmäßig ein Abgleich der Konfiguration mit der Security-Policy stattfindet sind dabei besonders anfällig.
2. Fortlaufendes Patchen und durchgehende Überwachung des Patch-Statuses aller Clientsysteme
Neben der regelmäßigen Überprüfung der Konfiguration ist aber auch das fortlaufende Patchen aller Clientsysteme für einen hohen Sicherheitsstandard notwendig. Es muss sichergestellt werden, dass alle kritischen Patches zeitnah installiert werden. Ein gutes Beispiel dafür, was geschehen kann, wenn Patches nicht schnellstmöglich installiert werden, ist der Triumphzug von Conficker, der bis vor kurzem noch zahlreiche Systeme befallen hat, obwohl Microsoft den entscheidenden Patch bereits im Oktober 2008 veröffentlicht hatte.
3. Verwendung von zeitgemäßen, in Real-Time arbeitenden Security-Tools
Des Weiteren ist es wichtig, dass Unternehmen ihre Antivirus-Tools updaten und den heutigen Herausforderungen anpassen. Die eingesetzten Lösungen müssen in der Lage sein, nicht nur nach Signaturen zu scannen, sondern auch Heuristics- und Behaviour-Scanns durchzuführen, um polymorph geschriebene feindliche Codes zu entdecken. Antivirus-Tools sollten jedoch nicht als erste, sondern als letzte Verteidigungslinie angesehen werden. Sie stehen somit hinter den Real-Time-Security-Tools, die das System fortlaufend überwachen und updaten. Auf diese Weise kann proaktiv vorgegangen und lauernde Bedrohungen können abgewandt werden, bevor ein Unternehmen unmittelbar gefährdet ist.
Das größte Problem, mit dem Unternehmen zu kämpfen haben, ist, dass ihnen die Übersicht fehlt. Aber Transparenz ist in Bezug auf Sicherheit ein entscheidender Punkt. Reports über den Sicherheitsstatus des gesamten Netzwerks sollten jederzeit aktuell verfügbar sein. Die Erfahrung zeigt jedoch, dass ab einer gewissen Netzwerkgröße die fortlaufende Auswertung von Log-Files nicht mehr manuell bewerkstelligt werden kann. Der große Aufwand, der mit der Überwachung und Sicherung von Clientsystemen verbunden ist, kann durch Automatisierung deutlich minimiert werden. Nur mit Hilfe automatisierter Tools ist eine fortlaufende, ganzheitliche Überwachung aller Systeme im Unternehmensnetzwerk möglich.
Anstatt allein auf ein reaktives Antimalware-Tool für alle Systeme zu vertrauen, sollten tiefgreifende und ganzheitliche Strategien verfolgt werden, die durch Automatisierung unterstützt werden, so dass der Sicherheitsstatus aller Systeme transparent und aktuell gehalten wird. Denn wenn ein Unternehmen nicht in der Lage ist, eine klare und fundierte Aussage über den aktuellen Sicherheitsstatus seiner Clientsysteme zu machen, dann ist der Kampf gegen Eindringlinge schon halb verloren.
Von Chris Schwartzbauer, Senior Vice President von Shavlik Technologies
Foto: Quelle-James Steidl/Fotolia.com
Artikel versenden
Druckversion
-
Return Oriented Programming vs. DEP
„Buffer Overflows“ oder zu gut deutsch Puffer-Überläufe nutzen fehlerhaft implementierte Software,... -
Im Test: LOGINventory 5
Inventarisierung vom Feinsten - Mit LOGINventoy 5 bietet Schmidt's LOGIN eine neue Version seiner... -
Keine Chance für Conficker & Konsorten
Das Einspielen von Patches wird zunehmend zur Sisyphos-Arbeit. Immer mehr Patches müssen immer... -
Zentral verwalteter Netzwerkschutz - Im Test: Symantec Endpoint Protection 11
Symantec bietet mit Endpoint Protection 11 eine Security-Suite, die Funktionen wie Virenschutz,... -
Externes Desktop-Management oder mehr?
Viele Unternehmen delegieren die Verantwortung für ihre Desktops an einen Dienstleister. Der...
Aus dem Alltag eines CISSP (Certified Information Systems Security Professional) - Scheingefechte um RIM - Ein heftiger Streit tobt: Einige Staaten wollen unbedingt Zugriff auf die verschlüsselten Blackberry-Messages und damit verhindern, dass sich staatsfeindliche Bösewichte unbeobachtet austauschen.. 
