Anwendungen in Gefahr: Koordinierte Reaktion auf Sicherheitsvorfälle
Autor/Redakteur: Markus Auer, Regional Sales Director DACH bei ForeScout Technologies/gg
Kürzlich wurde die pushTAN-App der Sparkasse gehackt. Die Nutzer sind unmittelbar gefährdet, sofern sie nicht den neuesten Patch für die App installieren. Forscher der Uni Erlangen hatten gezeigt, dass über die App manipulierte Inhalte in Android-Geräte eingeschleust werden können. Und wenn das passiert, sind auch die Netzwerke von Unternehmen in Gefahr, sobald sich ein Benutzer mit einem infizierten Gerät mit dem Firmennetz verbindet.
Dieser Vorfall ist nur einer von drei schwerwiegenden Sicherheitspannen, die sich in der letzten Zeit ereigneten. Auch die Deutsche Telekom und der britische Telekommunikationsanbieter TalkTalk gerieten in die Schlagzeilen, weil sie Opfer raffinierter Cyber-Angriffe geworden waren. Im ersten Fall wurde die Zwei-Faktor-Authentifizierung via mTan geknackt, wodurch mehrere Kunden die Kontrolle über ihre Bankkonten verloren. Bei dem zweiten Fall in Großbritannien wurden Kundendaten wie Kreditkarten- und Zahlungsdaten, Adressen und Telefonnummern abgegriffen.
Um sowohl das Netzwerk als auch die Daten schützen zu können, müssen Sicherheitslösungen in der Lage sein, Geräte zu sehen und zu verwalten, sobald diese sich mit dem Netz verbinden – das heißt, vom ersten Login an. Wenn Apps anfällig sind, müssen die Verantwortlichen proaktiv handeln, bevor Malware verbreitet werden kann. Die wachsende Zahl mobiler Endpunkte in einer neuen Bedrohungslandschaft hat die Unternehmen anfälliger gemacht. Viele haben daraufhin in Technologien investiert, doch in der Regel lösen die verschiedenen Sicherheitstools jeweils nur ein Einzelproblem, tauschen keine Informationen aus und sind deshalb nicht so effektiv, wie sie sein könnten – was umso schlimmer ist, wenn die Sicherheitsbedrohungen immer ausgefeilter werden. Zudem können viele Tools Sicherheitsverstöße oder Ereignisse zwar identifizieren, aber nichts gegen sie unternehmen. Sie sind also außerstande, automatisch auf veränderte Umstände oder neue Bedrohungen zu reagieren.
Das SC Magazine hat kürzlich in einer Untersuchung 350 Führungskräfte und Consultants aus dem Bereich IT-Sicherheit über ihre derzeitige Aufstellung hinsichtlich Sicherheitstools befragt. Dabei stellte sich heraus, dass in 52 Prozent aller Unternehmen mit einem Umsatzvolumen von über einer Milliarde Dollar mehr als 13 Sicherheitslösungen im Einsatz sind.
Wenn so viele Tools verwendet werden, ergibt es Sinn, ein zentrales Incident Response Center einzurichten, das die Aktionen der verschiedenen Lösungen koordiniert. Im Beispiel der pushTAN-App der Sparkasse würde das so aussehen, dass die App automatisch geblockt und das Patch-Management aktiviert wird. Nach der Installation der aktuellen App-Version kann dann der Zugang für das betreffende Gerät zugelassen werden. Lösungen zur Verwaltung kabelloser und mobiler Geräte, SIEM (Security Information and Event Management), Virenschutzprogramme, Firewalls, Schwachstellenanalysen und moderne Intrusion Prevention können Sicherheitsprobleme zwar entdecken und melden, doch tauschen sie diese Informationen nicht untereinander aus.
Um die Angriffsfläche effektiv zu verringern und ausgeklügelte Sicherheitsbedrohungen wirksam abwehren zu können, müssen die verschiedenen Security Appliances orchestriert werden. Es gilt, Sicherheitsrichtlinien durchzusetzen und alle Ereignisse zentral zu erfassen. Dies erleichtert Audits und gewährleistet die Einhaltung der Sicherheitsbestimmungen. Der Schutz vor Cyber-Angriffen würde wesentlich effektiver und Kriminellen würde der Zugriff auf fremde Daten wesentlich schwerer fallen, wenn Unternehmen ihre Sicherheitsarchitekturen zentralisieren würden.
