Zu Datenschutzverletzungen kommt es oft, wenn sich die Netzwerk-Sicherheit auf den Netzwerk-Rand konzentriert, aber im Netzwerk selbst ein gleichwertiger Schutz fehlt. Sicherheitsexperten haben sich lange Zeit nur mit der Security am Perimeter beschäftigt. Ob physischer Randbereich, Rechenzentrum, Web Services, Anwendungen oder Cloud-Umgebungen – geschützt wurde häufig nur vor externen Bedrohungen, während innerhalb des Netzwerks „Tür und Tor“ offenstanden. Die Netzwerk-Sicherheit folgte ganz dem Motto: „Harte Schale mit weichem Kern“. In einem solchen Szenario haben Angreifer, die die harte Schale „knacken“, im Netzwerk leichtes Spiel und können oft unbemerkt wertvolle Daten abgreifen. Was können Unternehmen tun, damit ihnen so etwas nicht passiert?

1. Datendiebstahl durch Sicherheitspraktiken verhindern

Viel zu viele Unternehmen vernachlässigen die Anwendung von Patches und haben keine Sicherheitspraktiken. Zugleich wachsen Netzwerke rasant und umfassen heutzutage unterschiedlichste Ecosystems – vom IoT bis zur Cloud. Die Inventarisierung des Gerätebestands und die Pflege einer solchen Datenbank können dabei zur Herausforderung werden. Trotz des damit verbundenen Aufwands ist die Anwendung von Patches keine Option, sondern ein Muss. Im Idealfall würde dies automatisiert, nachverfolgbar und mit der Möglichkeit einer Erfolgskontrolle stattfinden. Weiter sollte ein Prozess implementiert werden, um die Systeme zu ersetzen oder offline zu nehmen, bei denen keine Patches (mehr) angewendet werden können.

2. Netzwerk-Schutz mit Signaturen

Auch wenn neue Angriffsformen eine echte Gefahr darstellen, erfolgen die meisten Datenschutzverletzungen durch Attacken, die seit Wochen, Monaten oder manchmal sogar Jahren bekannt sind. Tatsächlich nutzen die meisten Angriffe Schwachstellen aus, für die es durchschnittlich seit drei Jahren einen Patch gibt und die in vielen Fällen seit mehr als zehn Jahren existieren. Weil aber diese Schwachstellen bekannt sind, lassen sich Angriffe und Exploits über solche Sicherheitslücken an der Signatur erkennen. Mit signaturbasierten Erkennungstools können Unternehmen schnell nach „versuchten Einbrüchen“ suchen, diesen einen „Riegel vorschieben“ oder die Ausführung eines Exploits blockieren, der bekannte Schwachstellen ausnutzen will.

3. Zero Day Threats mit verhaltensbasierten Analysen eindämmen

Neuartige ausgefeilte Angriffe nutzen zahlreiche Techniken, um Schutzmaßnahmen zu umgehen und unerkannt ins Netzwerk einzudringen. Verhaltensbasierte Security-Tools können unangemessenen oder unerwarteten Traffic sowie „verhaltensauffällige“ Geräte erkennen, Zero-Day-Malware-Varianten mit Detonationskammern oder Sandboxing unschädlich machen und Daten korrelieren, um intelligente Angriffe zu entlarven und abzuwehren. Dank Fortschritten bei der absichtsbasierten Sicherheit („Intent-based Security“) können nicht nur Daten und Anwendungen netzwerkweit auf Malware überprüft, sondern auch umfassend inspiziert werden. Solche Lösungen suchen nach Mustern und überwachen dann kontinuierlich den Traffic, um die Absicht festzustellen. Intelligente Security-Systeme können so einen Angriff proaktiv im Keim ersticken, bevor er überhaupt begonnen hat.

4. Web Application Firewalls installieren

Während viele Angriffe weiterhin mit „bewährten“ Methoden – wie Phishing per E-Mail oder über bekannte, ungepatchte Schwachstellen – in Netzwerke eindringen, gehen zahlreiche Bedrohungen mittlerweile auch unkonventionelle Wege. Webbasierte Angriffe werden immer häufiger. Oft wird dabei das exponentielle Wachstum bei Anwendungen ausgenutzt. Besonders im Visier steht Software, die Informationen direkt im Rechenzentrum abfragt und auswertet. Web Application Firewalls (WAF) wurden eigens für eine tiefgehende, leistungsstarke Überprüfung des Datenverkehrs von Web Apps entwickelt und sind der herkömmlichen NGFW-Technologie weit überlegen.

5. Threat Intelligence nutzen

Mit moderner Threat Intelligence können Unternehmen Bedrohungen nicht nur schneller erkennen, sondern auch umgehend darauf reagieren. Es gibt zahlreiche Threat Feeds, die Unternehmen bei Bedrohungstrends und der Erkennung von Exploits auf dem neuesten Stand halten. Die Herausforderung besteht darin, diese Daten in nützliche Informationen umzuwandeln und übergreifende Korrelationen zu lokalen Informationen und zur örtlichen Infrastruktur herzustellen. Bereitstellungstools wie SIEM- oder WAF-Technologien können solche Daten konsumieren und daraus umsetzbare Richtlinien ableiten, um das Netzwerk zu schützen. Zugleich sollten Unternehmen den Beitritt zu einem Expertenkreis erwägen und den Erfahrungsaustausch mit Branchenkollegen suchen. So erhalten sie relevante Informationen zu Threat Intelligence und können erkannte Gefahren mit Unternehmen aus der Branche teilen.

6. Keine Punktlösungen

Angesichts der raschen Erweiterung von Netzwerken, deren dynamischer, elastischer Natur und der Verlagerung von einem einzigen Netzwerk-Rand hin zu dutzenden – oder sogar hunderten – potenziellen Punkten für den Netzwerk-Zugang und den Datenaustausch ist eine herkömmliche Sicherheitsstrategie mit Geräten oder Plattformen, die nur an bestimmten Punkten des Randbereichs oder im Rechenzentrum Sicherheit bieten, nicht mehr ausreichend. Heutige raffinierte, hochintelligente Multi-Vektor-Bedrohungen verlangen nach Security-Lösungen, die sich über ein einziges, geschlossenes System vernetzen, sich an elastische Netzwerk-Architekturen anpassen und die gesamte Infrastruktur abdecken können. Diese dynamische Integration bietet Transparenz über das gesamte Netzwerk. Ein integriertes Security-Framework vernetzt Sicherheitstools, damit diese Informationen teilen und in Beziehung setzen können. Auch wird damit eine zentrale Orchestrierung und Verwaltung sowie die einheitliche Verbreitung von Richtlinien möglich. Aber was noch wichtiger ist: Sie verfügen über eine koordinierte Reaktion auf Angriffe.

7. Segmentierung Ihres Netzwerks

Heutige Netzwerke müssen mit dem Zugriff durch wechselnde Geräte sowie unterschiedlichsten Anwendungs- und Datenflüssen klarkommen. Unternehmen können ihre Sicherheit durch die Installation von Internal Segmentation Firewalls (ISFW) enorm stärken. Diese verhindern die Verbreitung von Bedrohungen unabhängig davon, ob der Security-Perimeter durchbrochen, ein Zugriffspunkt kompromittiert oder der Angriff aus dem Inneren des Netzwerks gestartet wurde. ISFWs können vor bestimmte Server geschaltet werden, auf denen sich wertvolle Geschäftsinformationen befinden. Sie können aber auch Geräte von Benutzern oder Web Apps in der Cloud schützen oder den Datenverkehr zwischen unternehmensinternen Funktions- oder Geschäftsbereichen absichern. Ohne Tools für die Segmentierung und Erkennung können Angreifer ungehindert Daten sammeln, zerstören und abgreifen. Eine interne Segmentierung, Mikrosegmentierung und Kontrollen, um z. B. Verhalten oder Workflows zu überwachen, sind für heutige datenzentrierte digitale Unternehmen unverzichtbar.

Zu viele Unternehmen haben zwar moderne Netzwerk-Designs, setzen aber beim Netzwerk-Schutz weiterhin auf isolierte Sicherheitslösungen und -Strategien der zweiten Generation. Doch gerade heutzutage darf die Sicherheit nicht stiefmütterlich behandelt werden. Planung, Mitarbeiter, Prozesse und adaptive Security-Technologien müssen eine Einheit bilden, die sich dynamisch für heutige digitale Netzwerke skalieren lässt und die automatisch als ein einziges, integriertes System raffinierte Cyberbedrohungen effektiv abwehren kann.