Vier Grundsätze für wirksamen Schutz vor Bedrohungen:

Transkript

1 Vier Grundsätze für wirksamen Schutz vor Bedrohungen: Die richtigen Strategien und Hilfsmittel für eine effektive Sicherung Ihres Unternehmens vor Malware Das Internet entwickelt sich immer mehr zum Mittelpunkt der heutigen Geschäftswelt und ist für die meisten Unternehmen kaum noch wegzudenken. Die schier unendlichen Möglichkeiten des World Wide Web sind jedoch mit Vorsicht zu genießen. Denn vielerorts lauern Malware, Bedrohungsvektoren sprießen wie Pilze aus dem Boden und strengere Compliance- Anforderungen erhöhen den Druck auf Unternehmen. Da das klassische Modell einer Kombination aus Virenschutz und Firewall längst überholt ist, wird es höchste Zeit, moderne Maßnahmen zum Schutz vor Bedrohungen zu ergreifen. Hierbei hat sich ein mehrschichtiges Konzept mit perfekt ineinandergreifenden Schutzebenen als erfolgversprechende Lösung erwiesen. Dieses unterstützt die Prozesse Ihres Unternehmens aktiv und sichert digitale Werte zuverlässig. Das vorliegende White Paper beschreibt, wie Sie den Balanceakt zwischen der Aufrechterhaltung reibungsloser Geschäftsabläufe und der Implementierung effektiver Schutzmaßnahmen meistern. Autor: Shai Gelbaum, Product Manager, Sophos Sophos White Paper Juni 2010

2 Vier Grundsätze für wirksamen Schutz vor Bedrohungen: Die richtigen Strategien und Hilfsmittel für eine effektive Sicherung Ihres Unternehmens vor Malware Eine Herausforderung für Unternehmen Das digitale Geschäft im Internet hat sich für viele Unternehmen zum Hauptabsatzmarkt entwickelt, da Internet-Technologien und -Dienstleistungen immer erschwinglicher und bedienerfreundlicher werden. Heutzutage bringen Unternehmen jeder Größe ihre Geschäftsprozesse mit webbasierten Tools wie Online-Shops, sozialen Netzwerken und Software as a Service (SaaS) auf Trapp. Leider werden diese in Kreisen namhafter Unternehmen sehr beliebten Online- Dienstleistungen gerne von Internet-Kriminellen heimgesucht. Cyberkriminelle verwenden Malware oder Schadsoftware wie Viren Würmer, Trojaner und Spyware, um jede auch noch so kleine Schwachstelle auszunutzen. Die Schadsoftware setzt gezielt an diesen Schwachstellen an, um wertvolle Daten zu stehlen und Computer-Prozesse zu requirieren, die in Folge auf dem globalen Schwarzmarkt feilgeboten werden. Malware-Attacken stellen eine nicht zu unterschätzende Gefahr dar (siehe Die aktuelle Bedrohungssituation, Seite 2). Viel steht auf dem Spiel: Ihre finanzielle Absicherung, Ihre Geschäftskontinuität und die Compliance Ihres Unternehmens mit geltenden Vorschriften. Drohende Konsequenzen und Verpflichtungen sind unabhängig von der Größe Ihres Unternehmens. Was Datenverluste kosten Wenn ein Angreifer Ihre IT-Systeme kompromittiert und Zugriff auf Ihre Daten erhält, sind die Kosten meist uferlos. Oft müssen die Daten nicht einmal gestohlen werden, damit Verpflichtungen zur Offenlegung greifen und teure Fallouts drohen. Wenn Sie einen Übergriff auf Ihre Systeme nicht stoppen und Ihre Daten nicht verschlüsseln, sind Sie u.u. dazu verpflichtet, den Vorfall jeder Einzelperson, deren Daten eventuell offengelegt wurden, zu melden. Studien bemessen jährlich das finanzielle Ausmaß der entstandenen Schäden:»» Laut CSI Computer Crime and Security Survey bewegten sich die durchschnittlichen Kosten für Sicherheitsvorfälle jeglicher Art pro Befragtem im Bereich von USD (ca EUR). Zwar entspricht dies einem Abwärtstrend gegenüber dem Vorjahr 2008 beliefen sich die durchschnittlichen Kosten noch auf USD, umgerechnet etwa EUR. In den Jahren 2005 und 2006 wurde jedoch von weit niedrigeren Werten berichtet. Die Kosten für Betrügereien finanzieller Art stiegen 2009 im Schnitt auf ca USD (ca EUR) pro Vorfall (Quelle: Studie des Computer Security Institute).»» Laut der fünften jährlichen Studie des Ponemon Institute zu Datenverlusten in US- Unternehmen, veröffentlicht im Januar 2010, kostete ein Datenloch Unternehmen 2009 pro missbrauchtem Datensatz 204 USD (ca. 160 EUR). 2 Die durchschnittlichen Kosten pro Unternehmen beliefen sich für einen Datenverlust auf mehr als 6,75 Mio. USD (ca. 5,3 Mio. EUR). Die Gesamtkosten variierten von USD (ca EUR) bis hin zu 31 Mio. USD (ca. 24 Mio. EUR). 1

3 Die Bedrohung für Ihre Geschäftskontinuität Einbrüche in Sicherheitsbereiche von Unternehmen können schwerwiegende Folgen für die Geschäftsabläufe haben so können Systeme und/ oder Daten unter Umständen nicht mehr nutzbar bzw. vorübergehend nicht verfügbar sein. Wichtige Zeit geht dann verloren, die Sie normalerweise Ihren Geschäftsabläufen widmen würden. Ganz zu schweigen von finanziellen Einbußen, die in Folge entgangener Geschäfte drohen. Mit Malware infizierte PCs müssen z.b. in die Quarantäne verschoben und bereinigt werden. In dieser Zeit können die User der betroffenen PCs nicht ihrer Arbeit nachgehen. Außerdem kommen Kosten für einen technischen Experten hinzu, den Sie für die Korrektur engagieren müssen. Außerdem können auf einer Festplatte gespeicherte Kundendaten nach einer Malware-Infektion u.u. nicht mehr zugänglich sein. Können Sie diese Daten wiederherstellen? Wie lange dauert die Wiederherstellung? In der Zwischenzeit kann Ihr Unternehmen weder Bestellungen bearbeiten, noch Kundendienstanfragen beantworten. Risiken im Bereich Compliance und Vorschriften Neben den mit einem Einbruch in die Sicherheitssysteme verbundenen Kosten sind Unternehmen auch dafür verantwortlich, einer wachsenden Anzahl von Gesetzes- und Branchenvorschriften zu genügen, die Daten und personenbezogene Informationen schützen sollen. Ganz gleich, wie groß Ihr Unternehmen auch sein mag Sie haben sich an diese Gesetze und Vorschriften zu halten. Wenn Sie die folgenden Vorschriften ignorieren, drohen Ihnen Sanktionen, die den Ruf Ihres Unternehmens schädigen oder Ihr Geschäft vollkommen zum Erliegen bringen: Gesetze über den Umgang mit Bürgerdaten: Zum Schutz von Bürgerdaten wurden jüngst eine Reihe neuer Gesetze erlassen. So z.b. eine gesetzliche Vorschrift im US-Bundesstaat Massachusetts, die am 1. März 2010 in Kraft trat. Diese verpflichtet sämtliche Unternehmen und Einrichtungen, die Geschäfte mit Bürgern des US-Bundesstaates Massachusetts abwickeln, zur Implementierung eines umfassenden Datensicherungsplans, der den Schutz personenbezogener Daten sowohl in elektronischer als auch in Papierform regelt. 3 Die aktuelle Bedrohungssituation Cyberkriminelle verwenden ungepatchte Sicherheitslücken und andere Software-Schwachstellen als Ausgangspunkt für ihre häufig verschleierten Malware-Attacken. Der Sophos Security Threat Report kam zu dem Schluss, dass Cyberkriminelle sich sowohl alte als auch neue Schwachstellen zunutze machen: Nutzung sozialer Netzwerke von Unternehmen, Kunden und Mitarbeitern: Um mit Kunden und Interessengruppen in Kontakt zu treten, richten auch Unternehmen ihr Augenmerk immer häufiger auf Social-Networking-Websites wie Facebook und Twitter. Laut Sophos verzeichneten im Jahre 2009 im Vergleich zum vorhergehenden Betrachtungszeitraum 70% mehr Unternehmen Spam- und - Attacken über soziale Netzwerke. Mehr als die Hälfte aller befragten Unternehmen gab an, bereits Spam über Social-Networking-Websites empfangen zu haben, über ein Drittel sogar Malware. Wurden Sie auf sozialen Netzwerken jemals Opfer von? Spam Spammed? Phishing Malware Phished? Send Mallware? Apr Apr 2009 Dec Dec % 57% 57% 21% 21% 30% 30% 21.2% 36% 36% April 2009 Dez 2009 Infizierte Webseiten: Das Internet bleibt Verbreitungsherd Nummer 1 für Malware und dient der Infektion von Computern und dem Diebstahl von Daten. Nicht nur speziell für schädliche Machenschaften erstelle Websites bergen Risiken. Auch seriöse Websites werden von Cyberkriminellen zum Hosten von Malware zweckentfremdet. Hier ist die Gefahr besonders groß, da die Besucher Pop-ups und anderen Inhalten vertrauenswürdiger Websites Glauben schenken. Spam in s und IM: Spam ist nach wie vor ein entscheidender Vektor für die Verbreitung von Malware. Der schädliche Payload wird entweder über Dateianhänge oder Links zu infizierten Websites in Umlauf gebracht. Spam-Kampagnen zielen heutzutage sowohl auf s als auch Instant Messaging (IMs). Die Zahlen verdeutlichen, dass von Spam eine enorme Bedrohung ausgeht. Laut einer Sophos Umfrage handelt es sich bei 89,7% aller Unternehmens- s um Spam. Außerdem identifizieren die SophosLabs täglich ca neue Webseiten, auf die über Links in Spam-Mails verwiesen wird. Dies entspricht einer neuen Webseite alle 13 Sekunden, 24 Stunden täglich. Dieser Wert verdoppelte sich im gleichen Zeitraum des Jahres 2008 (alle 20 Sekunden eine Webseite). 2

4 PCI DSS: Der PCI DSS (Payment Card Industry Data Security Standard) gilt für alle Unternehmen, Einrichtungen und Einzelhändler, die EC- und Kreditkartentransaktionen abwickeln oder Daten zu Kreditkartentransaktionen sammeln, verarbeiten oder speichern. Sanktionen für mangelnde Compliance mit dem PCI DSS reichen von Geldstrafen bis hin zum kompletten Ausschluss aus dem Programm zur der Kreditkartenverarbeitung 5. HIPAA: Der HIPAA ( U.S. Health Insurance Portability and Accountability Act) wurde kürzlich um den HITECH Act erweitert. Dieser verpflichtet nun auch Geschäftspartner von Unternehmen und Einrichtungen, die dem HIPAA unterliegen, zur Einhaltung von Datenschutzvorschriften. Unternehmen und Einrichtungen, die dem HIPAA unterliegen, müssen für jede Verletzung geltender Vorschriften zum Schutz von Patientendaten pro Kalenderjahr Geldstrafen von bis zu USD ( EUR) fürchten 6. Ein neues Modell zum Schutz vor Bedrohungen Eine wirksame Schutzstrategie muss die Arbeitsmethoden von heute berücksichtigen und auf die steigende Anzahl organisierter Angriffe, Bedrohungsvektoren und Compliance- Verbindlichkeiten vorbereitet sein. Früher griffen Mitarbeiter lediglich über ihren Desktop-PC und innerhalb des internen Unternehmensnetzwerks auf Daten und Anwendungen zu. Die Linie zwischen innerhalb und außerhalb des Unternehmensnetzwerks war klar gesteckt. Bedrohungsschutz bedeutete damals, Antiviren-Software auf Endpoint-PCs zu installieren und das interne Netzwerk mit einer Firewall zu umgeben. Mobile User und die wachsende Anzahl internetbasierter Dienstleistungen wie Online- Shops (z.b. Amazon.de und Salesforce.com CRM) haben dafür gesorgt, dass klare Netzwerkgrenzen zunehmend verschwimmen. Wirksamer Bedrohungsschutz erfordert mehr als simplen Virenschutz und Firewall-Software. Immer mehr Unternehmen schaffen daher zusätzliche Schutzebenen wie Internet-Filterung und Spamschutz, besonders auf Endpoints mit Internetzugang. Das Ziel von Maßnahmen zum Bedrohungsschutz ist ein reibungsloser Unternehmensbetrieb, der auch durch Sicherheitsbrüche und Malware nicht aus der Bahn geworfen wird. Effektive Schutzmaßnahmen unterstützen Ihr Unternehmensmodell aktiv, ohne die Produktivität Ihrer Mitarbeiter in keinem Maße negativ zu beeinflussen. Vier Grundsätze Prävention, Proaktivität, Performance und Benutzerfreundlichkeit bilden die Basis für eine neue Strategie zum Schutz vor Bedrohungen. Diese vier Grundsätze dienen Ihnen als Anhaltspunkt bei der Implementierung zusätzlicher Schutzebenen, die Sie benötigen, um Ihre Geschäftsprozesse im Internet abzusichern. Prävention Da der Strom neuer Bedrohungen nicht abreißt, ist Prävention bei der Sicherung Ihrer IT-Umgebung das A und O. Die SophosLabs decken im Internet alle vier Sekunden eine neue infizierte Webseite auf gingen bei den SophosLabs täglich neue Malware-Samples ein 7. Wie erfolgreich Ihr Schutz ist, hängt davon ab, wie gut die einzelnen Schutzebenen ineinandergreifen. Um geeignete Sicherheitsrichtlinien zu definieren und die richtigen Methoden zu ihrer Durchsetzung zu wählen, sollten Sie sich zunächst darüber Gedanken machen, wie Ihr Unternehmen agiert und welche Anlagewerte es zu schützen gilt. Ggf. müssen Sie ein internes Bestellsystem absichern, da es vom Ecommerce-Provider, über den Ihre Kunden Einkäufe tätigen, eingesehen werden kann. Oder Sie müssen u.u. den Zugriff auf unternehmenskritische Daten kontrollieren bzw. die vonseiten des Gesetzgebers zugelassene Nutzung von Daten mittels Richtlinien durchsetzen. 3

5 Einige Schutzelemente sind für jedes Unternehmen unerlässlich. Hierzu zählen z.b. eine Filterung des Internet- und -Traffics, Firewalls und Virenschutzsoftware auf Endpoint-Ebene. Besonders, wenn Sie Dritten Zugriff auf wichtige Unternehmenssysteme und sensible Daten gewähren, sind ein stabiler Authentisierungsprozess und solide Verfahren zur Datenverschlüsselung ein Muss. Die Implementierung dieser präventiven Maßnahmen (z.b. Network Access Control, Application Control und Device Control) sollte sich an den individuellen Anforderungen Ihres Unternehmens orientieren (Details siehe Ineinandergreifende Ebenen zum Schutz vor Bedrohungen, Seite 5). Proaktivität Außerdem benötigen Sie Abwehrmaßnahmen für Bedrohungen, die Ihre äußere Schutzebene durchbrechen. Hacker suchen gezielt nach Zero- Day-Exploits, um sich unbekannte und noch nicht gepatchte Schwachstellen zunutze zu machen. Da es sich bei einer Zero-Day-Bedrohung um einen völlig neuartigen Schädling handelt, steht noch keine charakteristische Kennung zur Verfügung, mit der Ihre Sicherheitssoftware die Malware identifizieren könnte. Bei polymorphen Bedrohungen handelt es sich um Exploits, die sich Malware-Analysen besonders geschickt entziehen, indem Sie Ihren Schadcode bei jedem Laden der Webseite leicht abändern. Host-basierte Intrusion Prevention-Systeme (HIPSs) und Pufferüberlauf-Schutzsysteme (BOPS) schützen vor unbekannten Bedrohungen wie Zero-Day- Exploits. Systeme zum Schutz vor Malware nutzen diese verhaltensbasierten Erkennungsmethoden, um ausführbaren Code aufzudecken und diesen daran zu hindern, verdächtige Aktivitäten auszuführen (z.b. Schreiben auf den Treiberordner Ihres Betriebssystems). Echtzeit prüfen, um Bedrohungen so früh wie möglich aufzudecken. Sobald neue Bedrohungen erkannt werden, werden diese Systeme mit den neuesten Anti-Malware-Kennungen aktualisiert und stellen somit schnellst möglichen Schutz bereit. Für Live-Schutz müssen Computer mit dem Internet verbunden sein, denn nur so kann eine Gegenprüfung der Daten in Echtzeit erfolgen. Performance Zur Beurteilung des für Ihr Unternehmen erforderlichen Performancelevels sollten Sie Ihre User zu Rate ziehen. Denn nichts ist sicherheitstechnisch destruktiver als Mitarbeiter, die Sicherungsmaßnahmen aushebeln, weil diese Arbeitsprozesse behindern. Grundsätzlich sollten Sie versuchen, einen Mittelweg zwischen dem Sicherheitsbedürfnis Ihres Unternehmens und der von Ihren Usern erwarteten Computerperformance zu finden. Das letzte, was Sie sich wünschen, sind User, die aus Frustration über langsame Computer die Sicherheitssoftware auf Ihren PCs deaktivieren und so Malware- Infektionen und -Angriffen Tür und Tor öffnen. Stellen Sie daher sicher, dass Ihre Sicherheitsrichtlinien nicht nur das Geschäftsmodell Ihres Unternehmens, sondern auch die Arbeitsprozesse Ihrer User aktiv unterstützen. Während User in Ihrem Call Center eine Kennwortrichtlinie, welche die Eingabe eines 14 Zeichen umfassenden Schlüssels in 20-minütigen Abständen vorschreibt, als lästig empfinden werden, könnte eine solche Schutzmaßnahme für den Zugriff auf sensible Daten z.b. im Bankgewerbe oder dem Gesundheitswesen durchaus angemessen sein. Eine weitere proaktive Schutzmethode stellen webbasierte Reputationssysteme mit Live-Schutz dar, welche verdächtige Daten online und in 4

6 Benutzerfreundlichkeit Um wirksam zu sein, muss Ihr Schutz vor allem über benutzerfreundliche Verwaltungsfunktionen verfügen. Wenn Sie stets auf einfache und benutzerfreundliche Verfahren setzen, schützen Sie Endpoints, User und Daten, ohne mehr Zeit und Geld als nötig zu opfern. Sie erhöhen Ihren Erfolg bei der Einrichtung von Sicherheitsrichtlinien und der Verwaltung der gewählten Schutzverfahren, wenn Sie:»» Verstehen, welche Vorteile im Vergleich zu Ihrer bestehenden Sicherheitslösung erreicht werden können. Vor der Einführung neuer Verfahren sollten Sie zunächst prüfen, welche Vorteile diese im Vergleich zum derzeitigen Schutz eröffnen, wie diese Ihre geschäftlichen Aktivitäten ankurbeln und in welchem Maße Ihre Compliance mit Regeln zur Datensicherung gestärkt werden kann.»» Den Effekt der geplanten Bedrohungsschutzmaßnahmen in Ihrem Unternehmen bemessen. Vom geschäftlichen Standpunkt betrachtet sollten Sie prüfen, ob die von Ihnen geplanten Schutzmaßnahmen nicht zu restriktiv für Ihr Geschäftsmodell und Ihre Enduser sind. Vom technischen Standpunkt gilt es zu bewerten, ob Sie über das nötige technische Know-how verfügen und ob Upgrades der bestehenden Hardware und Software erforderlich sind.»» Versuchen, mit einer minimalen Zahl an Produkten maximalen Schutz bereitzustellen. Unter Verwendung einer geringeren Anzahl von Produkten können Sie Ihre Kosten geschickt reduzieren. So müssen Sie weniger Software- Lizenzierungen kaufen und verwalten und weniger Produkt-Installationen und -aktualisierungen vornehmen. Außerdem halten Sie die Belastungen auf Ihre Enduser-Systeme im Rahmen, wodurch einer Verlangsamung der Arbeitsprozesse entgegengewirkt wird.»» Produkte vermeiden, für deren Verwaltung Sie einen Experten benötigen. Ihr Unternehmen kann es sich nicht leisten, die Arbeitszeit hochqualifizierter Sicherheitskräfte mit Aufgaben zu vergeuden, die automatisiert oder von weniger spezialisierten Mitarbeitern erledigt werden könnten. Halten Sie nach einem Anbieter Ausschau, der Ihnen nicht nur die Werkzeuge, sondern auch Spezialwissen und Hilfestellung bei der Wartung und Konfiguration des Schutzes anbietet. So bewahren Sie Ihr Unternehmen vor kostspieligen Investitionen in rar gesäte Bedrohungsschutz-Expertise.»» Die Kosten für die Wartung Ihrer Sicherheitsprodukte berücksichtigen. Prüfen Sie, wie viele Arbeitskräfte Sie für die Verwaltung und Aktualisierung der Sicherheitsprodukte benötigen und ob ein zusätzliches Training Ihrer Mitarbeiter erforderlich ist. Kombinierte Sicherheitsprodukte haben den Vorteil, dass Sie sich leichter verwalten lassen. Ineinandergreifende Ebenen zum Schutz vor Bedrohungen Am besten verwenden Sie unsere vier Grundsätze zum Schutz vor Bedrohungen als Ausgangspunkt für Ihre Suche nach einer auf Ihre individuellen Bedürfnisse abgestimmten Schutzlösung, welche die Internet-Aktivitäten Ihres Unternehmens aktiv unterstützt. Als nächstes müssen Sie nach spezifischen Verfahren Ausschau halten, um Ihre IT-Systeme und Daten zu schützen. Lassen Sie sich von den Geschäftsprozessen Ihres Unternehmens und den digitalen Anlagewerten leiten, um zu entscheiden, welche Bedrohungsschutzebenen Sie benötigen und wie diese am besten eingesetzt werden sollen. Halten Sie sich stets vor Augen, dass keine Technologie allein das Allheilmittel sein kann; vielmehr kann nur eine Kombination aus ideal ineinandergreifenden Verfahren wirksam vor heutigen Bedrohungen schützen. Auch hier gilt: Weniger Produkte oder eine kombinierte Lösung schonen Ihren Geldbeutel, da die Anschaffungskosten geringer ausfallen und der Arbeitsaufwand in den Bereichen Performance und Verwaltung geschmälert wird. 5

7 Internet-Filterung Ein Überwachen der Internetnutzung mittels Filterfunktionen empfiehlt sich für jedes Unternehmen, da das Internet inzwischen Hauptüberträger von Malware ist. Indem Sie Internet-Traffic filtern, blockieren Sie nicht nur Malware, Spyware, Phishing und anonymisierende Proxyserver. Sie haben auch die Möglichkeit, eigene Nutzungsrichtlinien zu erstellen, die für sicheres Internet-Browsing sorgen. Eine Filterung des Internet-Traffics ist unerlässlich, da User nicht feststellen können, ob eine von ihnen besuchte Webseite Schadcode enthält oder nicht. Schadcode auf Webseiten ist unsichtbar und wird ausgeführt, wenn die befallene Webseite im Browser des Users geladen wird. Oft setzt der Code außerdem Cross-Site-Scripting ein, um einen noch gefährlicheren Payload von einer Dritt-Website zu laden. Dieser versucht in Folge, eine Schwachstelle im Browser oder dem Betriebssystem auszunutzen, um Malware einzuschleusen, remote die Kontrolle über das System zu erlangen (um diesen in ein Botnet oder ein Netzwerk missbrauchter Computer einzubinden) oder Daten zu stehlen. Welches ist der Hauptgrund für eine Kontrolle des Zugangs auf*: Twitter MySpace % 5 % We Zugriff don't control wird nicht access kontrolliert Productivity Produktivität Malware Data Datenverluste leakage Don't Keine know Angabe We Zugriff don't wird control nicht access kontrolliert Productivity Produktivität Malware Data Datenverluste leakage Don't Keine know Angabe Wenn Sie Internet-Traffic nur am Perimeter Ihres Netzwerks filtern, erzeugen Sie eine Sicherheitslücke, über die Bedrohungen nach wie vor ins Unternehmen gelangen können. Daher ist auch eine Filterung des Internet-Traffics auf Endpoint-Ebene erforderlich. Denn User greifen nicht immer über das Unternehmensnetzwerk, sondern auch von zu Hause aus auf das Internet zu. Facebook % 43 We Zugriff don't wird control nicht access kontrolliert Productivity Produktivität Malware Data Datenverluste leakage 32 Don't Keine know Angabe *Quelle: Sophos Online-Umfrage Dezember

8 -Filterung Malware gelangt auch nach wie vor über s in Unternehmen. Durch den Einsatz von Verfahren zur Reputations-, Inhalts- und Verhaltensanalyse kann -Traffic jedoch gefiltert und eine spam- und malwarefreie -Zustellung gewährleistet werden. So vergeuden Ihre User wertvolle Arbeitszeit nicht mit der Bereinigung Ihrer Posteingänge. Genau wie die Filterung des Internet-Traffics sollte auch eine -Filterung in jedem Unternehmen zur Standard-Sicherheitsausrüstung zählen. Sie haben zwei Möglichkeiten. Entweder Sie nutzen Anti-Spam-Software zur Filterung Ihrer s am Gateway oder aber Sie engagieren einen -Service-Provider, der diese Aufgabe für Sie übernimmt. Network Access Control (NAC) Mit NAC haben Sie die Möglichkeit, Computer auf ihre Compliance mit Ihren Richtlinien zu prüfen, bevor Sie Netzwerkzugriff gewähren. Zu den Compliance-Anforderungen zählen aktueller Virenschutz und ein Betriebssystem mit den neuesten Sicherheitspatches. Network Access Control bietet drei Hauptfunktionen:»» Authentisierung von Usern und Geräten bzw. Verifizierung der Identität»» Überprüfen von Computern auf Einhaltung Ihrer Sicherheitsvorschriften»» Richtlinien-Enforcement, damit User nur auf autorisierte Daten Zugriff erhalten Zwar ist eine Implementierung mit Änderungen Ihrer Infrastruktur verbunden (Router und Switches müssen die entsprechenden Protokolle verarbeiten können). Dennoch lohnt sich der Aufwand, wenn Dritte, Geschäftsreisende, Telearbeiter und Leiharbeiter Zugriff auf Ihr Netzwerk benötigen. Netzwerk-Segmentierung Für Unternehmen, die den Einrichtungs- und Verwaltungsaufwand einer NAC-Lösung scheuen, jedoch sicherheitssensible Einstellungen benötigen, bietet sich eine Segmentierung des Netzwerks an, welche eine Separierung unverwalteter Endpoints vom Hauptunternehmensnetzwerk vorsieht. Unverwaltete Computer können in diesem Fall in der Quarantäne-Zone eines Gast-Netzwerks vom übrigen Netzwerk isoliert werden. Dieses separate Netzwerk verhindert, dass Schwachstellen oder Malware auf Gast-Computern andere Systeme in Ihrem Netzwerk beeinträchtigen können. Eine physikalische oder virtuelle Segmentierung über ein VLAN bietet sich hingegen an, wenn sich die Kontrolle von Anwendungen als wenig praktikabel erweist (wenn z.b. User auf Software angewiesen sind, die nicht vom Unternehmen ausgegeben wird). Einige Unternehmen richten z.b. ein spezielles Entwicklungsnetzwerk ein, damit Tests der Software andere Endpoints und User nicht beeinflussen können. Patch-Management Hacker suchen aktiv nach Schwachstellen in Browsern, Betriebssystemen und Anwendungssoftware, um diese für ihre illegalen Machenschaften auszunutzen. Um solche Schwachstellen so schnell wie möglich zu beheben, veröffentlichen Software-Hersteller regelmäßig Patches für bekannte Sicherheitslücken, welche unmittelbar installiert werden sollten. Denn ungepatchte Systeme sind Malware-Übergriffen schutzlos ausgesetzt. Application Control Mit Application Control können Sie den Zugriff auf Anwendungen blockieren, die bekanntermaßen Sicherheitsprobleme verursachen oder die Produktivität mindern. Hierzu zählen u.a. potenziell unerwünschte Anwendungen (PUAs). Einige Unternehmen kontrollieren beispielsweise den Zugriff auf P2P-Clients, Instant Messaging oder Social-Networking-Websites. Hinter Application Control steckt die Idee, die Angriffsfläche für Bedrohungen durch eine Einschränkung von Anwendungen und PUAs, 7

9 die anfällig für Malware sind, zu reduzieren. Je mehr Anwendungen Sie installieren, desto mehr Software-Patches müssen Sie aktualisieren. Das Risiko einer ungepachten Sicherheitslücke steigt also signifikant an. Wie bereits erwähnt, ist eine strikte Anwendungskontrolle nicht immer das Allheilmittel, besonders, wenn Ihre User spezielle Software benötigen, die Ihr Unternehmen standardmäßig nicht unterstützt. Wenn sich eine Kontrolle von Anwendungen für Sie als nicht praktikabel erweist, können Sie zur Erhöhung der Sicherheit auch NAC oder eine Netzwerk-Segmentierung bzw. eine Kombination aus beidem verwenden. Device Control Indem Sie kontrollieren, welche Geräte (z.b. USB- Sticks und Smartphones) User an Ihre Systeme anschließen dürfen, dämmen Sie Risiken für Malware und Datenverluste erheblich ein. Denn ein Anschließen dieser Geräte oder Wechselmedien umgeht entscheidende Schutzebenen und setzt Ihr System schädlichen ausführbaren Dateien sowie Datenverlusten und -Diebstählen aus. Zum besseren Schutz von intellektuellem Eigentum und Daten, für die besondere Sicherheitsvorkehrungen gelten (z.b. personenbezogene Daten), erstellen einige Unternehmen eine Richtlinie, die ein Anschließen von Geräten komplett unterbindet. Andere Unternehmen schreiben Software-Scans vor, bevor Geräte angeschlossen werden dürfen. Wieder andere erlauben lediglich das Anschließen von Geräten, die vom Unternehmen ausgegeben wurden (z.b. USB-Sticks). Firewall Heutzutage kommen meist zwei Arten von Firewalls zum Einsatz. Bei der ersten handelt es sich um eine Netzwerk- oder Gateway-Firewall, die Ihre internen Desktop-Systeme und Server umgibt. Bei der zweiten handelt es sich um eine Client- Firewall-Software, die den Endpoint-Computer schützt, auf dem sie installiert ist. Ist die Client- Firewall standortspezifisch, sind strengere Kontrollen abhängig davon möglich, ob der User mit Ihrem internen und vertrauenswürdigen Netzwerk oder aber mit einem nicht vertrauenswürdigen Netzwerk wie dem WLAN eines Cafés verbunden ist. Anti-Virus Virenschutz-Software ist nach wie vor die präventive Hauptmaßnahme zum Schutz vor Viren und anderer Malware (z.b. Trojaner, Würmer und Spyware). Zur Bekämpfung neuester Bedrohungen ist eine stetige Aktualisierung Ihrer Virenschutzlösung unerlässlich. Um auch unbekannte Schädlinge stoppen zu können, muss die Software ferner über proaktive, verhaltensbasierte Erkennungsmechanismen verfügen. Idealerweise sollten diese proaktiven Verfahren in den Hauptagent integriert werden und nicht als separate Komponenten zum Einsatz kommen. Verschlüsselung Verschlüsselungsverfahren schützen Ihre vertraulichen Daten und ermöglichen Ihnen, Datenvorschriften einzuhalten, die u.u. eine gesonderte Verschlüsselung sensibler Daten vorsehen. Die in einer verschlüsselten Datei oder einem verschlüsselten Gerät gespeicherten Daten können nur mit einem entsprechenden Schlüssel oder Kennwort eingesehen werden. Fazit Kein Unternehmen der Welt kann es sich heutzutage leisten, bei der Abwicklung seiner Geschäfte auf das Internet zu verzichten. Genauso wenig können Sie Ihre Systeme und Daten jedoch Malware-Attacken und Systemeingriffen schutzlos ausliefern. Indem Sie Sicherheitslücken unter Verwendung mehrerer Schutzebenen schließen, die nicht nur auf Netzwerk- sondern auch auf Endpoint-Ebene ideal ineinandergreifen, sorgen Sie für wirksamen Schutz, von dem auch Ihre Geschäftsprozesse profitieren. Wenn Sie bei der Auswahl Ihrer Schutzverfahren die vier Grundsätze Prävention, Proaktivität, Performance und Benutzerfreundlichkeit berücksichtigen, gehören Datenverluste bald der Vergangenheit an und Ihr Bedrohungsschutz bleibt kosteneffizient und leicht zu verwalten. Sie möchten mehr darüber erfahren, wie Sie Ihr Unternehmen vor Malware schützen können? Besuchen Sie 8

10 Quellen Boston, USA Oxford, UK Copyright 2010 Sophos GmbH Alle Rechte vorbehalten. Alle hier aufgeführten Marken sind Eigentum der jeweiligen Inhaber. Kein Teil dieser Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert oder übertragen werden.