IT-Infrastruktur in Firmen muss alles und jeden kontrollieren

Sicherheit
Barracuda Networks Appliance

Dem Netzwerkausrüster Barracuda zufolge ist “kollektives Misstrauen kein Zeichen von Paranoia mehr, sondern ein Leitmotiv der IT”. Das Schlagwort dafür heißt Zero Trust. Unternehmen sollten verstärkt die Mitarbeiterzugriffe auf das Firmennetzwerk und somit den internen Datenverkehr kontrollieren, da dieser 90 Prozent des Firewall-Traffics ausmacht.

Wieland Alge, Vizepräsident und Europa-Geschäftsführer bei Barracuda Networks, hat auf der diese Woche in München stattfindenden EMEA-Konferenz des Netzwerkausrüsters einen Paradigmenwechsel in der Organisation der Unternehmens-IT gefordert: Er plädierte für die Implementierung eines sogenannten Zero Trust Environment, für das die Infrastruktur so konfiguriert ist, dass sie sowohl den Mitarbeitern als auch den eingebundenen IT-Komponenten misstraut und dabei jede eingehende Anfrage aus dem Web kontrolliert sowie jedes verdächtige Verhalten innerhalb des Netzwerks analysiert und unterbindet.

Wieland Alge von Barracuda Networks plädiert dafür, dass Firmen Zero Trust Environments aufbauen (Bild: Barracuda Networks).
Wieland Alge von Barracuda Networks plädiert dafür, dass Firmen Zero Trust Environments aufbauen (Bild: Barracuda Networks).

Alge umschreibt den geforderten Paradigmenwechsel wie folgt: “Die IT-Security muss nicht mehr entscheiden, wo sie die Grenzen zwischen Vertrauen und Misstrauen zieht. Sie muss allem und jedem misstrauen. Nichts und niemand darf unkontrolliert auf Daten zugreifen. Jede Applikation und jede Hardware kann gehackt sein.”

Zudem wisse man heute besser denn je, dass Kriminelle, Staaten und Mitbewerber hinter Unternehmensdaten her sind. Kollektives Misstrauen habe nichts mehr mit Paranoia zu tun, sondern sei ein Leitmotiv der IT. Das Gebot der Stunde heißt laut Alge daher: “Wir bauen Zero Trust Environments”.

Eine gravierende Sicherheitslücke macht der EMEA-Vizepräsident von Barracuda bei den Nutzern eines Firmennetzwerks aus: “Spätestens mit der Erfindung des iPhones fingen die User an, aktiv Löcher von innen in den Security-Panzer zu bohren.” Bei 90 Prozent des Datenverkehrs, der eine Firewall passiert, handele es sich um internen Traffic, sodass Unternehmen ihren Fokus vermehrt darauf richten müssten. Darüber hinaus surfe jeder Anwender heutzutage auf unsicheren Seiten oder teile vertrauliche Daten – womöglich versehentlich – per File-Sharing-Diensten.

Erschwerend kommt laut Alge hinzu, dass die Häufigkeit der Cyber-Attacken seit den 2000er Jahren exponentiell angestiegen ist. Außerdem seien diese zielgerichteter geworden und die Zahl der dabei eingesetzten Angriffskomponenten unübersichtlicher.

Klaus Gheri, Vizepräsident für Netzwerksicherheit bei Barracuda (Bild: Barracuda Networks).
Klaus Gheri, Vizepräsident für Netzwerksicherheit bei Barracuda (Bild: Barracuda Networks).

Klaus Gheri, Vizepräsident für Netzwerksicherheit bei Barracuda, sieht die Gefahr bei diesen Advanced Persistent Threats vor allem in ihrer Beständigkeit begründet: “Die Malware installiert sich nach einem Angriff dauerhaft im Netzwerk, sammelt Unternehmensdaten und verschickt diese an den Angreifer. Die Verankerung der Schadsoftware im System geht sogar soweit, dass sie sich wie ein normaler User am Firmenserver anmelden kann.”

Als weiteren Grund für die Einrichtung einer Zero-Trust-Infrastruktur nennt Alge den Trend zum Internet der Dinge, da sich das Malware-Problem seiner Ansicht nach damit auf die Hardware ausweitet: “Wo alles vernetzt ist, kann jedes Gerät der Kanal sein, auf dem Angreifer in die Organisation eindringen, sie bestehlen oder korrumpieren.”

Daraus ergibt sich Alge zufolge auch das Grundgerüst einer Zero-Trust-Architektur: Zusätzliche, intelligente Sicherheitsschleusen sollen kritische Infrastrukturen vor anderen IT-Komponenten sowie den Anwendern schützen, indem sie jede Web-Anfrage kontrollieren und jedes verdächtige Verhalten analysieren und verhindern. Hierfür sollen zum einen sogenannte Application Delivery Controller zwischen die Firmen-Firewall und einem oder mehreren Anwendungsservern geschaltet werden. Diese sorgen so nicht nur für die Sicherheit der Anwendungen, sondern verbessern auch deren Performance, indem sie die Applikationen – etwa mittels Caching – beschleunigen.

Zum anderen sollen Web Application Firewalls entsprechend geschäftskritische Anwendungen vor HTTP-Attacken aus dem Internet schützen. Dedizierte Content Security Gateways (E-Mail-, Spam- und Webfilter-Lösungen) sowie Next Generation Firewalls komplettieren die von Barracuda vorgeschlagene Zero-Trust-Infrastruktur.

Barracuda Firewall Appliances
Barracuda Firewall Appliances (Bild: Barracuda Networks)

Letztere kontrollieren im Gegensatz zu traditionellen Firewalls nicht nur die im Header eines Datenpakets enthaltenen Port- und IP-Informationen: “Sie überprüfen auch Applikations- und Nutzercharakteristika und können selbst per SSL verschlüsselten Datenverkehr kontrollieren. Ergänzt wird der Funktionsumfang von Next-Gen-Firewalls durch einen Web-Filter und ein Intrusion Prevention System“, erklärt Klaus Gheri.

In Kombination mit der Web Application Firewall und dem Application Delivery Controller sorge eine solche Firewall nicht nur für Sicherheit in der Zero-Trust-Umgebung. Laut Gheri bietet zum Beispiel die hauseigene NG-Firewall neben Security-Features auch Funktionen wie Load Balancing, Bandbreitenmanagement oder Priorisierung des Datenverkehrs. Letzteres erlaubt beispielsweise die bevorzugte Behandlung geschäftskritischer Datenströme, die etwa aus ERP- oder CRM-Anwendungen stammen.

Die tatsächliche Implementierung einer Zero-Trust-Infrastruktur sei jedoch komplex, da jeder Standort und jeder Home-Office- oder Mobilgeräteanwender eine eigene Sicherheitsstruktur benötige. Zudem müsse auch die Cloud als zentrales Element nahezu jeder IT-Infrastruktur in ausreichendem Maße an das Unternehmen angebunden sein. “Jeder CIO muss die Bedürfnisse seines Unternehmens individuell analysieren und in seinem Konzept von Hardware, Links und Traffic-Regeln umsetzen”, betont Alge.

Gheri ist hingegen der Ansicht, dass es den perfekten Schutz ohnehin nicht gibt. Im Hinblick auf das Thema “Datenspionage” sagt er etwa: “Zunächst einmal sieht natürlich der Internet Service Provider den Web-Traffic des Users so oder so. Schon wenn der Nutzer einem Software-Update zustimmt, sendet er bereits Daten an Dritte. Hier entsteht dann eine Schwachstelle, da der Software-Anbieter auf diese Weise quasi ‘nach Hause telefonieren’ kann.”

Auch sei Schadsoftware inzwischen so schlau, dass sie selbst virtuelle Sandboxen erkennen kann, indem sie prüft, ob RAM oder CPU emuliert sind. Außerdem ist die Wandlungsfähigkeit von Malware laut Gheri ein Problem: “Wenn Schadsoftware aufgrund ihrer polymorphen Eigenschaften ihre Form verändert, sind Antiviren-Scanner dagegen eher machtlos.” Kein Wunder, dass kollektives Misstrauen ein Leitmotiv der IT wird und kein Zeichen von Paranoia mehr ist.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

sicherkmu-logo

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen