Irrtümer

IT-Security-Training Awareness TraningPenetration TestCyber Security Gefahren KMUWhitepaper Cyber Security und IT-Security TippsCyberangriffe Fallbeispiele erfolgreicher Hackingmethoden

Vermeintliche Sicherheit: Warum der Schutz durch Firewall und Virenscanner ein Trugschluss ist

Nutzen Sie Virenscanner und Firewall zum Schutz Ihrer Unternehmens-IT? Dann sind Sie so gut geschützt wie rund 90% aller Firmen. Doch dieser Basisschutz bietet keine ausreichende Sicherheit.

Für eine ganzheitliche Cybersecurity-Strategie empfiehlt sich ein Frühwarnsystem in Form eines Security Operation Centers (SOC). Hier beantworten wir Fragen zu verbreiteten Irrtümern sowie zur Effizienz und Anforderungen eines SOC.

„Eine aktuelle Firewall schützt mein Unternehmen. Was kann noch passieren?“

Als Basisschutz soll die Firewall vor unerwünschten Netzwerkzugriffen (Hacking) schützen. Das geschieht durch hinterlegte Regeln, die vorgeben, wie und über welche Kanäle kommuniziert werden darf.

Das Problem: Die Angriffe aus dem Netz werden immer komplexer und tückischer und die Firewall kann nicht mehr jedes Angriffsszenario erkennen. Wurden für neue Szenarien noch keine Regeln hinterlegt oder sind sie ausreichend gut getarnt und scheinbar harmlos, so lässt die Firewall sie gegebenenfalls durch.

Hat sie hingegen einen Angriff erkannt, gibt es häufig Schwierigkeiten bei der fachmännischen Auswertung der Ergebnisse mit der Folgefrage, was konkret zu tun ist. Firewalls schützen zwar in der Regel vor Cyberattacken – aber bei Phishing-Mails können auch sie nichts mehr ausrichten. Lädt der Mitarbeiter einmal einen schädlichen Anhang herunter, dann ist die infizierte Datei bereits auf dem Rechner und somit schon an der Firewall vorbei.

„Ich habe erst eine Versicherung gegen Cyberkriminalität abgeschlossen. Bei einem Angriff bin ich zumindest finanziell geschützt.“

Eine Cyber-Versicherung ist sicherlich eine sinnvolle Ergänzung, wenn es doch einmal zum Schadensfall und einer Betriebsunterbrechung kommen sollte. Die abgeschlossene Police hilft dabei, den Schaden zu reduzieren und gibt Sicherheit.

Das Problem: Wie bei allen Versicherungen gilt, dass sie keinen Ersatz für Schutzmaßnahmen darstellen: Selbst wenn die Versicherung greift und dem Unternehmen die Kosten für den Betriebsausfall und Ansprüche von Dritten (etwa von Lieferungsverzug betroffenen Kunde) erstattet, so sind gestohlene Daten oder Betriebsgeheimnisse eventuell verloren. Oftmals bleibt der Schaden bei einem Hackerangriff jedoch zunächst unbemerkt und kann daher nicht unverzüglich an die Versicherung weitergegeben werden. Der Schaden nach einem Datendiebstahl ist daher häufig nur schwer zu bemessen.

Zu guter Letzt kann keine Versicherung dabei helfen, den Schaden zu reduzieren – tritt ein Versicherungsfall ein, so ist es schon zu spät und genau diese Situation will ein SOC verhindern. Denn: Auf einen Grundschutz zu verzichten, weil im Zweifel die Versicherung greift, ist ein Risiko. Vergleichbar ist die Situation mit einer abgeschlossenen Hausratversicherung, die den Versicherungsnehmer im Irrglauben lässt, fortan seine Türen nicht mehr verschließen zu müssen.

„Wenn wir uns für ein SOC entscheiden können wir im Umkehrschluss auf Firewall und Virenschutz verzichten.“

Ein Security Operations Center hat keine primäre Schutzfunktion, weshalb es sowohl den Virenschutz als auch die Firewall nicht ersetzt, die Informationssicherheit jedoch maßgeblich erhöht: Denn die Kombination aus Technik und Expertenwissen ist speziell auf die konstante Überwachung ausgerichtet. Ihr Ziel ist es, mögliche Schwachstellen und damit Angriffsflächen im Netzwerk zu detektieren und zu beseitigen sowie Cyberattacken (erfolgreiche und versuchte) zu erkennen und auszuwerten, um gleich adäquate Maßnahmen einzuleiten. Ein SOC kann in dem Sinne keine Angriffe verhindern. Es bietet aber zusätzlichen Schutz, indem es sofort auf alle Auffälligkeiten im System hinweist.

Ein Cyber Security Operations Center ergänzt die Abwehrmaßnahmen professionell und komplettiert eine aktuelle Sicherheitsstrategie, die sich wie folgt zusammensetzen könnte:

Schutz: Firewall, Virenscanner, Patches, Multifaktorauthentifizierung, bedingter Zugriff
Kontrollierter Datenfluss: SOC / Managed SOC
Vorkehrungsmaßnahmen: Sensibilisierte Unternehmensmitarbeiter

„Wir stehen vor der Entscheidung zwischen einem IDS und einem SOC. Welches nehmen?“

Ein Intrusion Detection System ist ein automatisiertes System zur frühzeitigen Erkennung von Cyberangriffen. Das häufig parallel genutzte Intrusion Prevention System soll erkannte Angriffe hingegen verhindern – ebenfalls automatisiert.

Während das Intrusion Detection System als Frühwarnsystem grundsätzlich eine vergleichbare Funktion wie das SOC hat, liegt der wesentliche Unterschied in der Beteiligung von IT-Experten. Das IDS bildet als technischer Bereich eine Komponente des Security Operations Centers, die andere Komponente besteht aus den IT-Experten, die alle Ereignisse fachmännisch bewerten und ein aktives Monitoring betreiben. Die optimale Ergänzung aus geschulter Manpower und künstlicher Intelligenz bringt daher mehr Kontrolle mit sich und verhindert die falsche Auswertung vermeintlicher Ereignisse wie etwa bei den „false positives“.

 „Sicher ist der technische Aufwand hoch und mit Pech wird unser System gestört.“

Das SOCaaS für Unternehmen zu nutzen ist weder zeitintensiv, noch in irgendeiner Weise potenziell gefährdend für die unternehmenseigene IT-Infrastruktur. Die Anbindung erfolgt, in Abhängigkeit von der gewählten Integrationsstufe (Netzwerk, Logdaten oder SIEM) in einem sehr überschaubaren Zeitrahmen. Der oder die Sensoren des SOCaaS arbeiten parallel zur Unternehmens-IT und behindern diese daher nicht. Vor diesem Hintergrund kann der Service unkompliziert und jederzeit eingeführt werden, ohne Vorbereitungsmaßnahmen treffen zu müssen.

"Wir haben einen Virenschutz. Das reicht in Kombination mit der Firewall doch aus."

Der Virenschutz zählt genau wie die Firewall zum Basisschutz Ihrer Daten, um im Internet zu surfen. Er scannt Dateien und Vorgänge mit dem Ziel, Bedrohungen durch Malware (Viren, Würmer, Trojaner) aufzuspüren. Auch hier gibt es ein Problem: Virenscanner durchsuchen fast ausschließlich die auf den Speichermedien befindlichen Dateien. Programme, die im Arbeitsspeicher des Rechnersystems ausgeführt werden, können somit nicht analysiert und geprüft werden. 

Eine weitere Sicherheitslücke beim Virenschutz ist die Abhängigkeit von seinen Basisdaten:  Hat der Hersteller neue Schadsoftware noch nicht analysiert und in die Datenbank eingepflegt, so ist der Virenschutz bis zur Hersteller-Aktualisierung veraltet und neue Malware damit unsichtbar für das System. Dass eine verspätete Aktualisierung kein Einzelfall ist, bestätigt das BSI wie folgt: 

(Auszug aus Die Lage der IT-Sicherheit in Deutschland 2017, BSI, S. 75:  „Detektierte Sicherheitslücken werden zu langsam und unvollständig gemeldet, Hersteller stellen Updates verspätet zur Verfügung und Anwender setzen entsprechende Empfehlungen und Updates nicht unmittelbar und nur unvollständig um.“) 

Ebenso weitestgehend unentdeckt bleibt Fileless Malware, die ausschließlich im Arbeitsspeicher des Rechnersystems agiert. 

IT-Sicherheit und Cyber Security – vom Mittelstand für den Mittelstand

Der Erfolg der Unternehmensdigitalisierung gründet auf einer vollumfänglichen IT-Sicherheitsstrategie für mehr Informationssicherheit und Datenschutz. Die Allianz CSOC vom Mittelstand für den Mittelstand bietet dezidierte Services für Mittelständische Unternehmen (KMU) und unterstützt diese durch ein breites Leistungsportfolio rund um die Themen IT-Security und Cyber Security. Neben einem Managed SOC as a Service setzen wir dabei auf Schutzmaßnahmen und die Sensibilisierung von Mitarbeitern ganz im Sinne des Konzepts: ProtectDetectRespondForensic