Der Advanced Persistent Threat als zielgerichteter Internet-Angriff ist das neueste Schreckgespenst der IT-Sicherheit. Doch wie bei einfachen Web-Attacken lässt sich die Gefahr schon durch einfache Verhaltensregeln minimieren.
Es steht außer Frage, dass sich die Bedrohungslage durch Angriffe aus dem Internet in den vergangenen Jahren kontinuierlich verschärft hat. Dabei spielen aber nicht nur komplexe Angriffe wie Advanced Persistent Threats (APTs) eine Rolle; und erst in zweiter Linie benötigt man wirklich bessere Tools. Viel lässt sich schon mit der Beachtung von Grundregeln erreichen.
Zunächst muss man sich immer darüber im Klaren sein, dass die Professionalisierung von Angriffen aus dem Internet nicht bedeutet, dass die interne Bedrohung sinkt. Ebenso wenig sollte man einfachere Angriffe über oftmals leicht zu erkennende Phishing-Mails und andere „klassische“ Attacken unterschätzen.
Die internen Sicherheitsrisiken, ob durch bewusste Attacken oder Fehler, stellen eine gleichbleibend große Bedrohung dar. Der Unterschied ist nur, dass man zusätzlich auch noch mehr Risiken durch Angriffe von außen hat. Das Sicherheitsrisiko wächst also in der Summe.
Grenzenloser Sicherheitsbedarf
Idealerweise adressieren Sicherheitskonzepte jedwede Risiken, gleich wo sie entstehen. Das gilt umso mehr, als die wachsende Zahl von mobilen Mitarbeitern, die zunehmende Öffnung interner Netzwerke und Konzepte wie BYOD (Bring Your Own Device) ohnehin dazu führen, dass der Perimeter des Firmennetzes immer löchriger wird. Denn damit ergibt auch eine Unterscheidung zwischen internen und externen Sicherheitsmaßnahmen immer weniger Sinn.
Klar ist auch, dass ausgefeilte Angriffsszenarien, wie sie bei der Attacke auf RSA Security oder bei Stuxnet und Duqu zu beobachten waren, keineswegs der Regelfall sind. Sie stellen ein neues Niveau von Attacken dar, aber die simplen Angriffe wie Denial of Service-Attacken, Phishing-Mails und dergleichen mehr gibt es weiterhin.
Wozu Angriffe unterscheiden?
Man darf sich also nicht nur auf diese APTs (Advanced Persistent Threats) konzentrieren, sondern muss vor allem seine Hausaufgaben mit Blick auf die längst bekannten Attacken machen. Ohnehin stellt sich – wie so oft – die Frage nach Sinn und Richtigkeit neuer Schlagworte wie APTs: Wo liegt die Grenze zu „advanced“? Sind andere Angriffe dann „retarded“? Und was macht den Begriff „persistent“ aus?
Die gezielte Kombination verschiedener Attacken ist sicher ein wichtiger Unterschied zu „einfachen“ Angriffen – nur geht das aus dem Begriff ebenso wenig hervor wie die Frage, wie „persistent“ diese Angriffe sind. Immerhin werden sie irgendwann auch erkannt oder vom Angreifer beendet. Statt sich deshalb nun auf vermeintlich spezielle Angriffsmuster zu konzentrieren, gilt es ohnehin, Grundregeln zu beachten.
Dazu gehört die Schulung von Benutzern, damit Phishing-Mails eben als solche erkannt werden und die Anwender bei verdächtigen Mails besonders vorsichtig sind. Dazu gehören – trotz ihrer Grenzen – aktuelle Virenscanner auf den Endgeräten. Dazu gehören aber auch die organisatorischen Maßnahmen, von einer Identifikation und Klassifizierung der schützenswerten Assets bis hin zum Aufbau einer Organisation, die Ereignisse erkennen und schnell und gezielt (!) darauf reagieren kann.
Besser um Bedrohungen wissen
Wer lange bekannte Grundregeln der IT-Sicherheit beachtet, minimiert seine Risiken bereits deutlich. Dabei gilt, dass Tools nur dann Nutzen bringen, wenn sie richtig eingesetzt werden. Vor allem gilt es, sich von der Vorstellung zu verabschieden, dass man mit irgendeinem Tool „sicher“ wird. Auch hier ist gesunder Menschenverstand gefragt.
Eine UTM-Appliance am Perimeter des Netzwerks, also eine Kombination von Firewall, E-Mail-Gateway, Virenscanner und anderen Funktionen, bringt für die Sicherheit der mobilen Endgeräte, die außerhalb des Firmennetzwerks genutzt werden, nichts. Schon der Begriff UTM (Unified Threat Management) ist hier grob irreführend, weil es eben nicht „unified“ im Sinne eines „vereinigten“ Ansatzes für alle Bedrohungen ist, sondern eben nur ein Teil der Angriffe adressiert wird.
Gute Sicherheitskonzepte brauchen zunächst eine entsprechende Organisation und die richtigen Skills auf allen Ebenen – von den Endanwendern bis zu den Sicherheitsexperten. Sie brauchen ein Wissen über die möglichen Bedrohungen und ein Konzept, um gezielt Tools auszuwählen. Und je löchriger die Perimeter und je vielfältiger die eingesetzten Systeme werden, desto wichtiger wird es, nicht Netzwerk-Segmente zu schützen, sondern die Informationen selbst.
Am Ende gilt aber, dass der entscheidende Faktor eine realistische Bewertung von Risiken und der gesunde Menschenverstand sind. Das Beachten von Grundregeln statt der hektischen Investition in Punktlösungen bei Sicherheitswerkzeugen sind die entscheidenden Faktoren, um zu einer höheren Sicherheit und geringeren Risiken zu kommen, ohne dabei an den falschen Stellen Geld auszugeben. Sicherheit hat ihren Preis und Tools können einen Nutzen bringen, aber nur, wenn sie auch richtig eingesetzt werden.