Von Jörg Lamprecht*
Am 25. Februar 2003 um 6:30 Uhr ging der Wurm SQL Slammer ins Internet. In nur 30 Minuten infizierte er weltweit 75.000 Hosts und richtete einen geschätzten Schaden von einer Milliarde US-Dollar an. Die Anzahl der infizierten Großrechner und Server verdoppelte sich alle acht Sekunden innerhalb der ersten Minuten.
Das Beispiel zeigt: In einer zunehmend vernetzten Welt, in der das Internet sowohl im geschäftlichen als auch privaten Bereich nicht mehr wegzudenken ist, breiten sich Viren und Würmer in unglaublicher Geschwindigkeit aus.
IT-Sicherheit muss mit dem Management von Risiken einhergehen. Kein System ist narrensicher, doch können Unternehmen ihre Sicherheitsbestrebungen umso effizienter gestalten und die vorhandenen Ressourcen gezielter einsetzen, je besser sie die Bedrohungen kennen.
In der Vergangenheit sind verschiedene Mythen entstanden, die die Entwicklung der Internetsicherheit stark beeinflusst haben. Für Unternehmen, die eine durchgängige und effiziente Sicherheitsstrategie entwickeln wollen, ist es Maß gebend, diese Mythen zu kennen und zu verstehen. Nur so kann ein Paradigmenwechsel und ein Umdenken in den Köpfen der Sicherheitsverantwortlichen in Unternehmen stattfinden und damit maximaler Schutz der IT gewährleistet werden.
Mythos 1: "Firewall und Antivirensoftware bietet ausreichenden Schutz"
Bedrohungen aus dem Internet, so genannte Malcodes, entwickeln sich stets weiter. Ein einfacher Virus wie der "Love"-Bug, der im Jahr 2000 massive Schäden verursacht hat, würde heute von jeder Antivirensoftware erkannt und unschädlich gemacht. Doch tauchen ständig neue Formen der Bedrohung auf. Denial of Service (DoS)-Attacken, Trojaner, Würmer sowie Phishing und Spyware können Firewalls ungehindert passieren und der Antivirensoftware entkommen.
Gleichzeitig entwickeln Hacker ständig neue Methoden, um Netzwerke unentdeckt zu attackieren. Heutzutage greifen sie mehrere kleine, an sich weniger ernste Schwachstellen, gleichzeitig an, um ins Netzwerk einzudringen. Zudem nutzen sie für ihre Angriffe Sicherheitslücken in weit verbreiteten Dateiformaten wie jpeg, PDF, Word oder Excel.
Aufgrund der heutigen Bedrohungslage durch Spyware und Spam-Mails ist die Verfügbarkeit der IT-Systemen oft stark beeinträchtigt und das Business kann im schlimmsten Fall zum Stillstand gelangen. Die gängige Kombination von Antivirensoftware und Firewalls kann hier keinen ausreichenden Schutz mehr bieten. Gefragt sind ganzheitliche Lösungen, die neben diesen Möglichkeiten auch vorbeugenden Schutz bieten.
Mythos 2: Kosten für Internetsicherheit steigen unausweichlich
Laut Analysten haben sich die Kosten für IT-Sicherheit in den letzten drei Jahren fast verdoppelt, wohingegen sich die gesamten IT-Budgets nicht groß verändert haben.
Ein Grossteil der Kosten entfällt auf Personal: Um nur fünf Patches auf 100 Server aufzuspielen, braucht es schätzungsweise 24.000 Mannstunden pro Jahr, was etwa 12 Vollzeitstellen entspricht. Dieser "patch and panic"-Ansatz ist nicht nur sehr teuer, sondern auch wenig effektiv. Da sich Viren und Würmerimmer schneller ausbreiten, schaffen es viele Unternehmen nicht, die notwendigen Security-Patches aufzuspielen und rennen den Bedrohungen bloß noch hinterher.
Doch es gibt eine Alternative: Wenn Schwachstellen entdeckt werden, bevor ein Angriff erfolgt, bleibt Unternehmen genug Zeit, die Sicherheitslücken zu schließen. Dadurch sind Unternehmen nicht gezwungen, für jeden Virus ein entsprechendes Gegenmittel bereitzuhalten.
Diese Herangehensweise der "preemptive protection" bietet einen neuen Zugang zu Internetsicherheit. Der unerbittliche Kreislauf von Aufspüren, Hinterherhetzen und Patchen wird damit durchbrochen. Kosten für reaktive Maßnahmen werde dadurch massiv eingedämmt.
Mythos 3: Je mehr man über die Aktivitäten im Netzwerk weiß, desto sicherer ist es
Viele Werkzeuge für die IT-Sicherheit liefern Unmengen an Daten über Netzwerkaktivitäten, jedoch kaum sinnvoll aufbereitete Berichte. Netzwerkadministratoren und IT-Sicherheitsverantwortliche brauchen aber relevante Informationen in konsolidierter Form, um Bedrohungen und ihre Auswirkungen auf das Unternehmen zu identifizieren und schnell reagieren zu können.
Am Beginn der Absicherung des internen Netzes muss die richtige Einschätzung von Geschäftsrisiken stehen. Nur durch vorherige Analyse dieser Risiken verbunden mit ihren möglichen Auswirkungen auf kritische Geschäftsanwendungen und -prozesse können Unternehmen ihre IT-Sicherheit priorisieren.
Investierte man überall und in jeden noch so kleinen Zwischenfall ein gleiches Maß an Aufwand, würden wichtige Personalressourcen, Zeit und nicht zuletzt auch Geld verschwendet. Weniger ist hier oft mehr: Netzwerk- und Sicherheitsverantwortliche können ihre vorhandenen Ressourcen effektiver einsetzen, indem sie sich auf die Sicherheitsereignisse mit Top-Priorität konzentrieren.
Mythos 4: Industriespionage betrifft nur wenige Unternehmen
Industriespionage ist ein "big business". Alle Unternehmen sind potenzielle Ziele - vor allem dann, wenn ihr Geschäftsmodell auf Neuentwicklungen basiert.
2003 beispielsweise gab Boeing zu, den Konkurrenten Lockheed Martin ausspioniert und so Zehntausende von vertraulichen Dokumenten in seinen Besitz gebracht zu haben. Doch Industriespionage ist keinesfalls nur auf Großunternehmen beschränkt. Das "Institute of Directors" gab 2004 bekannt, dass 60 Prozent der Mitglieder, darunter sowohl mittelständische Firmen als auch Konzerne, durch Informationsdiebstahl Schaden erlitten haben.
Zum Schutz von teuer erarbeitetem Know-how müssen kleine, lokale Betriebe über die gleichen Sicherheits-Lösungen verfügen können, wie international agierende Großunternehmen.
Mythos 5: Netzwerkausrüster und Storage-Anbieter bieten "unabhängige" Sicherheit
Anbieter von Netzwerkkomponenten und Storage-Produkten gingen in der jüngsten Vergangenheit dazu über, Anbieter von Internetsicherheitslösungen zu akquirieren oder mit ihnen zu fusionieren. Diese Akquisitionen und Zusammenschlüsse haben zum Ziel, Sicherheit in alle Netzwerk- und Storage-Komponenten zu integrieren um damit alles aus einer Hand anbieten zu können.
Dies entspricht durchaus den Anforderungen vieler Unternehmen, "all-in-one"-Lösungen von einem einzigen Anbieter zu bekommen. Allerdings stellt sich hier wie in vielen Bereichen der IT die gängige Frage bezüglich der Vorteile von Gesamtpacketen gegenüber "best-of-breed"-Lösungen.
Unternehmen müssen sich fragen, ob sie beim Erwerb einer Netzwerk- oder Speicherlösung auch tatsächlich auf die mitgelieferte Sicherheitssoftware vertrauen wollen, oder ob Lösungen unabhängiger Anbieter nicht eine bessere Alternative darstellen. Jede Hard- und Software weist letztendlich Sicherheitslücken auf.
Für Unternehmen kann es von Vorteil sein, unabhängige Sicherheitsanbieter und -dienstleister mit dem Schutz ihrer Netzwerke und IT-Architekturen zu betrauen. Security-Unternehmen, die durch Fusionen oder Akquisitionen nicht länger unabhängig sind, laufen Gefahr, dass ihnen die notwendige Uneingenommenheit abhanden kommt.
Die Frage nach des richtigen Packet darf bei der Auswahl der richtigen Sicherheitslösung keine Rolle spielen. Ausschlaggebend ist immer noch, dass der best mögliche Schutz für das Unternehmen gewährleistet ist.
Mythos 6: Jede Antivirensoftware wirkt auf dieselbe Art und Weise
Die meisten Antivirenprogramme suchen nach dem einzigartigen digitalen Fingerabdruck eines Virencodes, der so genannten Signatur. Doch Viren können mutieren und mit einigen kleinen Änderungen erneut auf die Reise durch das Internet gehen. Solche Mutanten können Antivirenlösungen nicht länger erkennen. Erst kürzlich tauchte mit MyDoom ein Virus auf, der als MyDoom A, MyDoom B und MyDoom C erneut freigesetzt wurde.
Ein alternativer Weg, einen Virus zu identifizieren, ist sein Verhalten zu analysieren und zu verstehen, statt nach seinem digitalen Fingerabdruck zu suchen. Dies ist schwieriger zu erforschen, doch lassen sich durch Analyse der Verhaltensmuster gesamte Virenfamilien auf einmal eliminieren. Verhaltensbasierte Antivirenlösungen sind außerdem in der Lage, künftige Codes aufzuspüren, die die gleichen Techniken nutzen.
Die effizienteste Weise, dem Virenproblem Herr zu werden, ist eine Sicherheitslösung, die Verhaltensanalyse und Signaturerkennung kombiniert.
Über die Mythen hinaus
Es ist eine Binsenwahrheit, dass vollkommen sichere IT-Systeme eine Utopie sind. Allerdings ist ein geschärftes Bewusstsein und Verständnis der gängigen Mythen der Internetsicherheit für Unternehmen die Grundvoraussetzung für eine effiziente Sicherheitsstrategie. Um Risiken für ein Unternehmen - welcher Größe auch immer - auf möglichst kleinem Niveau zu halten, ist ein Zusammenspiel mehrerer wichtiger Faktoren notwendig:
- Vorbeugender Schutz vor Viren, Würmern und weiteren Arten von Attacken ist immer wirksamer und kosteneffizienter als konstantes reaktives Patching.
- Folgenschwere Angriffe auf IT-Systeme beschränken sich nicht auf Großunternehmen. Auch Mittelständler benötigen die gleichen effizienten Sicherheits-Lösungen wie international agierende Konzerne.
- Gezieltes Security-Management sowie eine klare Analyse und Priorisierung von potentiellen Gefahren helfen, Personalressourcen, Zeit und Kosten einzusparen.
- IT-Sicherheit besteht nicht nur aus punktuellen Lösungen gegen einzelne Arten von Attacken, sondern beinhaltet einen ganzen Prozess, der reibungslos und kosteneffizient in ein Unternehmen integriert werden soll.
Nur eine ganzheitliche Betrachtung aller relevanten Sicherheitsfaktoren sowie ein Paradigmenwechsel in den Köpfen der Geschäftsverantwortlichen können letztlich zum optimalen Schutz der IT-Infrastruktur führen.
Aber auch auf der Herstellerseite ist ein Umdenken erforderlich. Effiziente Sicherheitslösungen dürfen sich nicht auf die reaktive Bekämpfung der Bedrohungen beschränken; sie müssen den potentiellen und durchaus realen Gefahren aus dem Internet vorbeugen. Nur so kann Kunden ein umfassender Schutz ihrer IT-Systeme und dadurch ein reibungsloser Ablauf ihres Business geboten werden. (rw)
*Jörg Lamprecht ist Geschäftsführer Internet Security Systems (ISS) Deutschland