Was ist Unternehmenssicherheit?

Unternehmenssicherheit ist ein vielseitiger Bereich, der sowohl interne oder proprietäre Geschäftsgeheimnisse eines Unternehmens als auch Mitarbeiter- und Kundendaten im Zusammenhang mit Datenschutzgesetzen umfasst. Unternehmenssicherheit rückt zunehmend in den Fokus, da große internationale Konzerne wie Facebook, Yahoo!, Target, Home Depot und Equifax sensible Kundendaten durch Hackerangriffe verloren haben und deswegen mit hohen Geldstrafen und staatlichen Eingriffen konfrontiert wurden. Während sich Unternehmen früher vor allem darum bemühten, ihren proprietären Code oder Geschäftsgeheimnisse vor Mitbewerbern und Fälschern zu schützen, sehen sie sich nun neuen Datenschutzgesetzen in den USA und der EU gegenüber, die erhebliche finanzielle Strafen für Organisationen vorsehen, die Verbraucherdaten missbrauchen oder verlieren. Mit dem Umstieg auf Cloud-Infrastrukturen zur Unterstützung von Business-Prozessen gehen neue IT-Herausforderungen für die Unternehmenssicherheit einher.

In der Praxis konzentriert sich Unternehmenssicherheit auf Rechenzentrums-, Networking- und Webserverabläufe, doch aus technischer Sicht beginnt sie schon beim Personal. Laut einigen Sicherheitsforschern sind zwei Drittel aller erfolgreichen Hackerangriffe auf Social Engineering zurückzuführen. Bei Social Engineering-Angriffen werden Schwächen in der menschlichen Natur und der Integrität von Mitarbeitern oder die persönliche Gutgläubigkeit ausgenutzt, um Zugang zu Netzwerken oder Datenressourcen zu erhalten. Phishing-Angriffe per E-Mail verleiten Mitarbeiter dazu, auf Links zu klicken, über die Malware heruntergeladen und installiert wird. Bei Vishing-Angriffen (Voice- oder VoIP-Phishing) führen Hacker Telefongespräche mit verschiedenen Mitarbeitern, um an Insider-Informationen (z.B. Kennwortdaten) zu gelangen, die zu einer Gefährdung der Netzwerksicherheit führen. Smishing (SMS-Phishing), Baiting, Spearfishing und Water Holing sind verwandte Hacking-Techniken, die auf Social Engineering-Prozessen basieren. Diese Angriffsvektoren können selbst die robustesten Netzwerksicherheitssysteme gefährden und nur durch eine stärkere Mitarbeitersensibilisierung anhand von Schulungen und Überprüfungen abgewehrt werden.

Automatisierte Hackerangriffe sind skriptgesteuert und nehmen kontinuierlich Rechenzentrumsressourcen wie Webserver und Online-Anwendungen über Eingabepunkte wie Anmeldebildschirme, Kontaktformulare, Datenbankabfragen und Back-End-Administrationsprozesse ins Visier. Gängige Beispiele für skriptbasierte Bot-Angriffe sind MySQL Injection-Hacks und Cross-Site Scripting-Exploits. Code über ungeschützte Formulare an Server zu senden, kann zum Verlust ganzer Datenbanken führen, einschließlich aller Tabelleninformationen, Kennwörter und sensibler Finanzdaten von Kunden. Code Injection-Hacks unterscheiden sich vom Knacken von Kennwörtern, wodurch Hacker vollständigen Administrationszugriff erhalten oder über FTP und die Befehlszeile Hintertüren zu einem Server einrichten können. Erfolgreiche Hacker verbringen in der Regel 30 bis 90 Tage mit der Erkundung gefährdeter Netzwerksysteme mit internem Zugriff, bevor sie mit der Übertragung von Datenbankinformationen oder der Installation von bösartigem Remote-Code beginnen.

VMware Security – Übersicht

Global Incident Response Threat Report: Manipulierte Realität

Warum ist Unternehmenssicherheit so wichtig?

Die Bedeutung von Unternehmenssicherheit wird anhand der Rolle von Verschlüsselungstechnologie in der Internetkommunikation veranschaulicht. Wenn E-Mails gesendet oder Anwenderkennwörter eingegeben werden, um sich bei einer Website anzumelden, werden die Daten von Punkt zu Punkt über eine Reihe von Drittanbieterkanälen übertragen, wo sie möglicherweise von böswilligen Angreifern mit nicht autorisiertem Zugriff abgefangen und gelesen werden können – es sei denn, sie wurden verschlüsselt. Die Bedrohung umfasst nicht autorisierte Agents, die in Telekommunikationsnetzwerken, bei ISPs oder in lokalen WLAN-Kanälen installierte Packet Sniffing-Software verwenden. Obwohl der Wert der über diese Verbindungen gesendeten Informationen variiert, würden weder große Unternehmen noch andere Organisationen das Risiko eingehen, dass Geschäftsgeheimnisse, Kundenkommunikationen und interne Gespräche von Dritten mit böswilliger Absicht über offene Kanäle abgefangen werden. Der Zugriff auf unverschlüsselte Kennwörter und Anmeldeinformationen kann nicht nur einzelne Konten und Daten, sondern ganze Unternehmensnetzwerke gefährden, wenn sich Eindringlinge Zugang zu Rechenzentren verschaffen.
Infolgedessen setzen die meisten Websites und mobilen Anwendungen nun HTTPS-Verschlüsselung über SSL-/TLS-Zertifikate für die verschiedenen Kanäle der Anwenderkommunikation durch. In Rechenzentren wurden Sicherheitsfunktionen nach Militärstandard wie Biometrie, bewachte Zugangssysteme und 24/7-Überwachung von Einrichtungen eingeführt, um unbefugten physischen Zugriff zu verhindern. IT-Schulungsprogramme können die Aufmerksamkeit für die Anzeichen von Social Engineering-Angriffen erhöhen. Selbst dort, wo physische Zugriffe streng kontrolliert werden, sind Unternehmen immer noch Hackerangriffen aus den entlegensten Winkeln der Welt ausgesetzt, zu denen sogar staatlich geförderte Aktivitäten von Regimen wie Russland, China, dem Iran und Nordkorea zählen.
Staatlich gefördertes Hacking zielt unter Umständen auf militärisch-industrielle Geheimnisse hinsichtlich der Entwicklung in Waffenprogrammen, der Luftfahrt oder der modernen Forschung in anderen sensiblen Branchen ab. Staatlich geförderte Hacker nehmen auch Medienunternehmen ins Visier (z.B. der nordkoreanische Angriff auf das Sony-Filmstudio), um propagandistische Aktivitäten durchzuführen oder zu versuchen, das korrupte Verhalten von Amtsträgern durch persönliche Kommunikationslecks offenzulegen.
Auf höchster Ebene starten staatlich geförderte Hackerteams oder aufmerksamkeitsbedürftige Kriminelle Angriffe mit großer Tragweite, die mit Terrorismus gleichzusetzen sind oder in einem Cyberkrieg Menschenleben kosten. Das Stuxnet-Virus ist nur ein Beispiel für die Auswirkungen von Industriespionage und Hackerangriffen durch Geheimdienste. Diese Gruppen sowie kriminelle oder Aufmerksamkeit erhaschende Hacker greifen kritische soziale Infrastrukturen wie Kraftwerke, Telekommunikation oder industrielle Produktion an, um Zusammenbrüche oder physische Schäden an Einrichtungen herbeizuführen, die Panik und Chaos verursachen. Im Gegensatz dazu versuchen kriminelle Hacker in der Regel nur, Kreditkarteninformationen, Zugang zu Bankkonten und Kryptowährungen zu stehlen, um einen persönlichen finanziellen Vorteil zu erzielen. Im Dark Web werden bereits Millionen von Kreditkartennummern zum Preis von nur einem US-Dollar pro Karte angeboten. Hackerangriffe, die auf persönliche Verbraucherdaten abzielen, können zu Identitätsdiebstahl, Gebühren aufgrund von missbräuchlicher Nutzung sowie zu finanzieller Veruntreuung führen, die ohne weitreichende Verbote durch Strafverfolgungs- oder internationale Behörden nur schwer zu erkennen oder zu stoppen sind.

Architektur für Unternehmenssicherheit

Architekturen für Unternehmenssicherheit müssen sich auf physische Zugriffe, Social Engineering und Skript-Bots konzentrieren und gleichzeitig sowohl Kennworteingabesysteme vor Eindringversuchen und Anwendereingabekanäle vor Remote-Codeeinschleusung schützen. Netzwerkfirewalls gelten als Hauptbarrikaden gegen bösartige Hackerangriffe. Die meisten Softwarepakete für Netzwerkfirewalls bieten inzwischen die Möglichkeit, Paketdaten in Echtzeit auf potenzielle Viren, Malware, Würmer und Ransomware zu überprüfen. Das Problem mit Virenscans ist, dass es sich um einen nachträglichen Sicherheitsansatz handelt, bei der professionelle Firmen Malware frühzeitig erkennen sollen. Bei „Zero-Day“-Angriffen kommt noch nie von Sicherheitsexperten ermittelter oder kategorisierter Exploit-Code zum Einsatz, um in Netzwerke, Softwareplattformen, Firmwaregeräte oder Betriebssysteme einzudringen. Da Zero-Day-Angriffe nicht im Voraus abgewehrt werden können, müssen Unternehmen mehrschichtige Sicherheitsrichtlinien implementieren, die zwangsläufig auftretende Bedrohungen effektiv isolieren und eindämmen.

Das Verschlüsseln von Datenübertragungen und Einrichten von Firewalleinstellungen für den Zugriff autorisierter Anwender sind neben physischen Zugangsbeschränkungen die beiden grundlegendsten Aspekte der Unternehmenssicherheit. Die meisten Plattformen mit Anwenderanmeldesystemen verfügen nun über Sperrverfahren, die Anwender nach fünf oder mehr falschen Kennworteingaben sperren, um Cracking-Angriffe zu verhindern. Unbekannte Anmeldeversuche, die wiederholt von einer einzigen IP-Adresse aus erfolgen, können durch IP-Blockierung unterbunden werden. Firewallsoftware integriert Virenscans, die Übertragungen von Datenpaketen mit bekannten Malware-Signaturen in Echtzeit abgleichen, um schädliche Dateien zu identifizieren und die versehentliche Installation von Viren, Würmern und Trojanern über Phishing-Angriffe oder Downloads zu vermeiden. Webanwendungs-Firewalls (WAFs) bieten Webformularen eine zusätzliche Schutzschicht, um Cross-Site Scripting- und MySQL Injection-Angriffe zu verhindern. Virenschutzsoftware von Anbietern wie Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender usw. ist heutzutage ein wesentlicher Aspekt der Unternehmenssicherheit. Viele Unternehmen nutzen auch CDN-Services, um DDoS-Angriffe in der Produktion zu erkennen und abzuwehren.

Grundlegende Best Practices für Unternehmenssicherheit

Das aktuelle Best Practices-Paradigma im Bereich Unternehmenssicherheit besteht darin, alle verfügbaren Branchenmethoden für physische Sicherheit, Firewalls, Verschlüsselung, Betrugsschutz, Erkennung von Eindringlingen, WAF, Virenschutz usw. anzuwenden, wobei davon auszugehen ist, dass Hacker weiterhin Wege finden werden, um in Systeme einzudringen, Hardware zu kompromittieren und Daten zu stehlen. Nach den Grundsätzen der maximalen Schadensminimierung muss es das Ziel sein, Eindringlinge so schnell wie möglich zu identifizieren und gleichzeitig Systeme mit besserer Datenisolation aufzubauen, um die Ausbreitung von Vektorangriffen zu verhindern. Mikrosegmentierung schützt einzelne virtuelle Maschinen in Unternehmensnetzwerken durch Isolation, wodurch sich Eindringliche nicht über einen einzigen Einstiegspunkt lateral auf weitere Komponenten ausbreiten können. Das DMZ-Modell bezieht sich auf Firewalls, Barrikaden und Gräben, wobei Webprozesse von LANs getrennt werden – durch ein höheres Maß an Isolation, die mithilfe von Proxy-Edge-Servern im äußeren Verteidigungsring noch verstärkt wird. VMware vSAN-Datastores werden für die Verschlüsselung von Unternehmensdatenbanken genutzt, während VMcrypt Encryption für Storage, Archive und Backup-Dateien eingesetzt wird.

Die Eskalation administrativer Berechtigungen ist ein weiteres kritisches Problem, das bei der Unternehmenssicherheit nicht vernachlässigt werden darf. Superuser- und Administratorberechtigungen müssen strenger kontrolliert und sofort erkannt werden, wenn sie von unbefugten Anwendern bereitgestellt werden. Die Netzwerküberwachung in Echtzeit umfasst zunehmend auch Analysefunktionen auf Basis von maschinellem Lernen und künstlicher Intelligenz, um Eindringlinge, nicht autorisierte Übertragungen sensibler Daten und die Eskalation administrativer Berechtigungen besser zu erkennen. Da nicht gepatchte Softwareplattformen und Webserver-Betriebssysteme die Hauptursachen für kompromittierte Netzwerke und Datenlecks darstellen, müssen Unternehmen die erforderlichen Updates besonders sorgfältig und unmittelbar in der Produktion anwenden. Automatisierte Sicherheits-Upgrades verbessern die Reaktionsgeschwindigkeit beim Anwenden kritischer Patches erheblich. Agentenlose Virenschutzprogramme können auf Hypervisor-Ebene installiert und so konfiguriert werden, dass sie Sicherheitsreaktionen auf Malware oder Eindringversuche automatisch und ohne menschliches Eingreifen anwenden. Dadurch wird die Reaktionszeit in Cloud-Rechenzentren mit Millionen von parallel ausgeführten virtuellen Maschinen optimiert.