zurück zur Übersicht

Kleine Unternehmen in der Schusslinie

Jetzt auch noch IT-Security?

Manchem Unternehmer mag dieser Satz schon durch den Kopf gegangen sein.

Irgendwo zwischen Beunruhigung ob einer aktuellen Schlagzeile über die neueste Ransomware-Welle und notwendigen Investments ins Kerngeschäft sind die drängenden Fragen: Wie kann ich meine Firma am besten Schützen? Und: Wieviel Schutz benötige ich wirklich?

Die Schonzeit ist vorbei

Lange galten kleine und mittlere Unternehmen (KMU) als relativ sicher vor den großen Gefahren des Cyber Space, mit denen sich Konzerne schon lange konfrontiert sehen. Als Gründe wurden hier oft die Fokussierung auf regionale Märkte,  geringere IT-Durchdringung der Geschäftsprozesse und damit weniger Abhängigkeiten von der IT-Infrastruktur, sowie mangelnde Attraktivität für die auf maximalen Profit ausgerichteten Cyber-Kriminellen genannt.

Wenn diese Einschätzung jemals zutraf, dann sind diese Zeiten längst Geschichte. So mancher Familienbetrieb hat heute die Technologieführung in einer bestimmten Nische inne und ist damit als „Hidden Champion“ lohnendes Ziel für Industriespionage. Doch auch ohne diese Exponiertheit sind kleine Unternehmen in puncto IT-Risiken großen Gefahren unterworfen. Das haben die Ereignisse um Schädlinge wie Wannacry und NotPetya besonders deutlich gemacht: Bei einer Infektion ist es der Ransomware egal, ob sie ein großes oder ein kleines Unternehmen lahmlegt.

Dabei besteht das Risiko meistens auch nicht im Know-how-Abfluss durch Industriespionage. Nein, das Problem ist hier eher die drohende massive Unterbrechung der Geschäftsprozesse, und zwar nicht nur bei Unternehmen deren Produktion durch Hochtechnologie gestützt wird. Dieses Risiko betrifft auch schon Einzelhändler und ihre Kassensysteme. Dabei spielt es keine Rolle, ob die betroffenen Unternehmen direkt im Visier der Angreifer standen oder lediglich Kollateralschäden sind, so wie dies bei dem Ausbruch der mit „NotPetya“ titulierten Ransomware/Wiperware im Juni 2017 bei vielen Unternehmen der Fall war. Steht die IT, stehen auch die meisten Unternehmen!

Es ist ebenfalls eine Tatsache, dass KMU kaum die finanziellen und personellen Ressourcen aufbringen können, mit denen sich die Big Player im Cyber Space schützen. Kein Unternehmen, das 200 Mitarbeiter zählt, kann sich ein voll ausgestattetes und bemanntes Security Operations Center (SOC) leisten, das sich auf die Erkennung von Angriffen und die darauf ausgerichtete Reaktion konzentriert. IT-Security ist im Regelfall eine Aufgabe, die durch die allgemeine IT zusätzlich geschultert werden muss.

Doch welche Komponenten aus Enterprise SOCs lassen sich auch in kleinen oder mittleren Unternehmen anwenden, um das Sicherheitsniveau deutlich anzuheben?

First Things First: Grundlagen IT-Security

Zunächst einmal sollten Unternehmen, ganz egal ob groß oder klein, wissen, welche Daten und IT-Systeme für ihren Geschäftsbetrieb besonders wichtig sind, denn die gilt es besonders zu schützen.

Steht dies fest, ist der nächste Schritt diese Daten gegen Verlust zu sichern. Stellen Sie sich folgende Fragen: Was passiert, wenn Ihr Büro abbrennt, überschwemmt oder Ihre kompletten Buchhaltungsdaten von einem Verschlüsselungstrojaner wie Wannacry verschlüsselt werden? Welche Daten müssen Sie in welcher Zeit wieder zur Verfügung haben, damit Ihr Unternehmen fortbesteht? Erstellen Sie einen Backup- und Recovery-Plan, in dem vermerkt ist, welche Daten wann wohin gesichert werden und wie sie wiederherzustellen sind. Schützen sie diese Sicherungsdaten durch Auslagerung vor dem Zugriff von Angreifern. Eine verlässliche Backup-Strategie nimmt Gefahren wie Ransomware oder Elementarschäden einen großen Teil ihres Bedrohungspotentials.

Die zweite Säule der IT-Hygienefaktoren ist Patchmanagement. Aktualisieren Sie ihre Systeme regelmäßig, zeitnah und umfassend. Viele Sicherheitslücken werden von Software-Herstellern behoben, bevor sie durch Schadsoftware ausgenutzt werden können. Davon profitiert aber nur, wer sich rechtzeitig um das Einspielen von Updates kümmert.

Sicherheitskonzepte regelmäßig prüfen und überdenken

Die Sicherheitskonzepte vieler kleinerer Unternehmen haben schon ein paar Jahre auf dem Buckel. Was 2008 gut und ausreichend war, um das erforderliche Schutzniveau zu gewährleisten, kann heute nicht mehr passend sein.

Zum einen verändern sich Bedrohungslagen und auch die entsprechenden Technologien zu deren Abwehr ständig, zum anderen sind auch Geschäftsmodelle und -prozesse eines Unternehmens einem kontinuierlichen Wandel unterzogen. Was so banal und logisch klingt, wird leider in der Realität oftmals aus Zeit- und Personalmangel vernachlässigt. Der jährliche Review von Sicherheitskonzepten ist deshalb Pflicht – auch im Mittelstand.

Ein sinnvolles Konzept für Prävention und Erkennung

Sind die Maßnahmen und Planungen zu oben genannter Grundsicherung festgelegt und umgesetzt, sollte man vorhandene Schutzkomponenten im Unternehmen einer genaueren Betrachtung unterziehen.

Die Bedeutung der Endpoints, also die eigentlichen Arbeitsrechner der Mitarbeiter, wird beispielsweise immer noch oft unterschätzt. Dabei ist das ein hervorragender Ansatzpunkt: Mit der sich rasant zuspitzenden Bedrohungslage hat sich auch im Bereich der Endpoint-Security-Lösungen die Innovationskraft der Anbieter massiv gesteigert.

Die Hersteller haben längst erkannt, dass mit klassischem Antivirus heute kein Kampf mehr zu gewinnen ist und moderne Technologien den Schutz der Endpoints gewährleisten müssen. Durch die immer bessere Verschmelzung vom präventiv-agierenden Endpoint-Schutz mit Endpoint Detection und Response (EDR) Software ergeben sich für KMUs neue Möglichkeiten das Schutzniveau des Unternehmens zu verbessern.

Besonders eignet sich dafür Endpoint Protection Software, die mithilfe von maschinellem Lernen und künstlicher Intelligenz agiert. Die Idee dahinter ist unter anderem ein mathematisches Entscheidungsmodell, das böswillige Programme als solche klassifiziert, ohne jemals die Datei zuvor gesehen haben zu müssen. Einer der wesentlichen Unterschiede im Vergleich zu klassischen, signaturbasierten Antivirus-Ansätzen ist, dass auch Schadsoftware, die vorher nie in Erscheinung getreten ist, noch vor der Ausführung erkannt werden kann. Dazu werden weder große Rechenkapazität noch ständige Signaturupdates benötigt.

Dies bietet den außerordentlichen Vorteil, dass auch 0-Day-Angriffe (Angriffe, die bisher unbekannte/ungepatchte Sicherheitslücken ausnutzen) und stark abgewandelte Formen bekannter Malware sicher auf den Systemen gefunden und beseitigt werden. Diese als Next Generation Endpoint Protection bezeichneten Systeme sind dabei sogar deutlich ressourcenschonender als herkömmliche Virenscanner. Wer diese Art der Endpoint-Protection auslagern will: es gibt inzwischen auch sinnvolle Service Lösungen dafür (wie Markus Reiniger in seinem Artikel „The End of Endpoint-Protection“ beschreibt).

So kann das Schutzniveau des gesamten Unternehmens mit vergleichsweise geringem Kosten- und Implementierungsaufwand deutlich gesteigert und der Administrationsaufwand reduziert werden.

Endpoint Detection und Response

Auch bei der Erkennung, Auswertung und bei den gegebenenfalls erforderlichen Gegenmaßnahmen bei einem Cyberangriff helfen Endpoint Detection und Response (EDR) Lösungen. Diese zunächst vor allem im Enterprise Bereich eingesetzten Programme bieten die Möglichkeit auf einer Vielzahl von Systemen innerhalb von Sekunden festzustellen, ob sich auf einem System Indikatoren für eine Kompromittierung, sog. Indicators of Compromise (IoC) befinden.

Dies können z.B. bestimmte Dateifragmente, Prozesse  oder Netzwerkverbindungen sein. Wurden verdächtige Dateien gefunden, lassen sich diese Daten herunterladen und können einer forensischen Analyse unterzogen werden. Auch hierbei unterstützt eine EDR-Lösung, so dass für eine Ersteinschätzung keine forensische Spezialausbildung notwendig ist.

Intuitive Bedingung und einfacher Rollout

Um dem Administrator die oftmals komplizierte und zeitraubende Analyse und Einschätzung weiter abzunehmen, lassen sich Alarme definieren, die automatisch bei der Überschreitung bestimmter Schwellwerte informieren. Gleichzeitig können automatische Maßnahmen zur Eindämmung einer Infektion getroffen werden wie die Isolation des kompromittierten Endpunktes. So wird Schaden völlig autonom ohne Usereingriffe abgewendet.

Mit einem EDR-System lassen sich aber noch mehr forensische Informationen sammeln: Gängige Anwendungsfälle sind zum einen die Analyse von welchem Rechner oder User eine schadhafte Datei ausgeführt worden ist, also wer der sogenannte Patient 0 ist. Daneben lässt sich auch feststellen auf welchen Systemen sich eine Schadsoftware bereits verbreitet hat. Basierend auf diesen Informationen kann dann die Entscheidung getroffen werden, wie mit den betroffenen Dateien zu verfahren ist.

Durch cloudbasierte, vollintegrierte Lösungen hält sich der Implementierungs- und Betriebsaufwand in einem überschaubaren Rahmen und hilft damit insbesondere kleinen und mittleren Unternehmen, deren IT-Abteilungen ohnehin chronisch überlastet sind. In der Regel wird ein Agent auf alle Endpoints per Softwareverteilung oder Skript ausgerollt und verbindet sich mit dem jeweiligen Management in der Cloud, so dass auch der Betrieb und die Bereitstellung der Ressourcen für ein Management-System entfallen.

Fazit: Wenig Aufwand, viel Effekt ist die Devise!

Durch die Kombination von KI-gestützter Erkennungstechnik zur effektiven Malware-Prävention und Analyse- und Recherchemöglichkeiten auf den Endpoints durch vollintegrierte EDR-Features erhalten auch IT-Abteilungen von kleinen Unternehmen mächtige Werkzeuge, mit einem Funktionsumfang wie er sonst nur durch Tools bereitgestellt wird, die sich typischerweise Enterprise SOCs leisten können. Damit sind auch kleine und mittlere Unternehmen in der Lage, sich gegen ausgeklügelte Cyber-Attacken zu schützen und sich bei Verdachtsfällen schnell ein umfassendes Lagebild zu verschaffen.

 


Bild: ©iT-CUBE SYSTEMS AG 2018

Schreibe einen Kommentar