Bei all diesen Bedrohungen stellt sich natürlich die Frage, wie diesen angemessen begegnet werden kann. Die Antwort darauf ist ein ganzheitliches Sicherheitskonzept, das nicht nur auf Antivirus-Software basiert sondern auch andere Techniken und vor allem auch organisatorische Aspekte berücksichtigt. Ziel dabei muss es sein, mit den zur Verfügung stehenden Möglichkeiten das maximale Maß an bezahlbarer Sicherheit zu erreichen.
Durchdachtes Patch-Management
Erste Pflicht zum Schutz gegen Malware ist ein durchdachtes Patch-Management. Alle Systeme im Unternehmen müssen stets zeitnah mit den zur Verfügung stehenden Sicherheitsupdates versorgt werden. Dabei müssen angemessene Maßnahmen zur Sicherung der Betriebsstabilität ergriffen werden, wie beispielsweise eine ausreichende Qualitätsprüfung.
Auch führt kein Weg an der klassischen signaturbasierten Antivirus-Software vorbei. Vielmehr muss sichergestellt sein, dass eine möglichst vollständige Ausbringung auf alle Client- und Server-Systeme erreicht wird. Auch bisher tendenziell vernachlässigte Systeme wie OS X (Apple Mac) oder mobile Endgeräte, müssen mehr in den Fokus der Anti-Malware Strategie rücken. Der immer schneller ansteigenden Anzahl von Malware entgegnen die Antiviren-Hersteller mit neuartigen Technologien, die eine schnellere Verteilung der Signaturen ermöglichen und den Malware-Schutz durch Nutzung von Cloud-Diensten verbessern. Damit kann schneller auf eine geänderte Bedrohungslage reagiert werden. Diese neuartigen Technologien müssen geprüft und nach Anpassung an die eigene Strategie entsprechend eingesetzt werden.
Gateways schützen
Viele Antiviren-Hersteller haben sich in der Vergangenheit zu einem vollständigen Anbieter im IT-Sicherheitsbereich entwickelt. Neben Lösungen für den Client/Server-Bereich bieten sie unter anderem auch Schutzsoftware für Gateway-Systeme an. Diese Möglichkeiten müssen vor allem beim Übergang zum Internet oder zu anderen weniger vertrauenswürdigen Netzen genutzt werden. So ist es heutzutage bereits Standard sowohl Web-Proxies als auch E-Mail-Proxies mit entsprechender Malware-Technologie auszustatten.
Idealerweise wird hier die Multi-Vendor-Strategie verfolgt, das heißt auf diesen Gateways wird eine andere Antiviren-Lösung eingesetzt als im Client/Server-Bereich. Damit kann die Erkennungsrate nochmals gesteigert werden. Auch sind Antiviren-Hersteller in der Lage, ein umfassenderes Bild der aktuellen Bedrohungslage zu entwickeln, da sie sicherheitsrelevante Informationen von verschiedensten Quellen wie Gateway-Systemen, Servern oder auch Clients auswerten können. Mittlerweile werden diese Informationen zentral gesammelt und zeitnah korreliert. Damit können Signaturen schnell zur Verfügung gestellt werden und Regel-Updates im Bereich von E-Mail- oder Web-Proxies realisiert werden.
Verknüpfung über Siem-Systeme
Ähnliches kann auch auf Ebene des eigenen Unternehmens erfolgen: Auch hier können die Meldungen von sicherheitsrelevanten Systemen zentral zusammengefasst und verknüpft werden. Dies geschieht idealerweise mit einem Security Information and Event Management (Siem) System. Dadurch lässt sich der Ausbruch von Schadsoftware schnell erkennen und deren Verbreitung im Netzwerk leichter nachvollziehen.
Reporting-Funktionalitäten bieten dabei die Möglichkeit sowohl stark aggregierte Berichte für das Management als auch technisch orientierte Auswertungen für die verschiedensten Fachabteilungen zu generieren. Gerade die Berichte für das Management werden immer wichtiger, da das Thema Informationssicherheit hier mit steigendem Interesse beobachtet wird.
Bewusstsein der Mitarbeiter schärfen
Neben diesen technischen Lösungen dürfen jedoch organisatorische Maßnahmen nicht vernachlässigt werden. Dies beginnt mit einfachen Awareness-Maßnahmen, die das Bewusstsein der Mitarbeiter hinsichtlich der IT-Sicherheit schärfen sollen. Denn auch noch heute stellt der Mensch an sich ein nicht zu vernachlässigenden Faktor im Bereich der Informationssicherheit dar.
Hier kann beispielsweise der Umgang mit externen Speichermedien wie USB-Sticks vermittelt werden. Beherrscht man dieses Schnittstelle, dann lässt sich bereits eines der Einfallstore von Flame ausschließen. Neben der Mitarbeiter-Awareness muss auch geregelt sein, wann Sicherheitsvorfälle vorliegen und wie mit diesen umgegangen wird. In vielen Unternehmen ist das Vorgehen bei Malware-Infektion implizit klar, die Malware kann vom betroffenen System entfernt werden. Technisch ist das Problem damit gelöst.
Die Frage, die sich hier stellt, ist, ob der Vorfall damit vollumfänglich behandelt wurde. Dies kann mit einem klarem Nein beantwortet werden, da nachhaltige Lösungen durch Veränderungen an den Gateway-, Server- oder auch an Client-Systemen geschaffen und die Infektion als eine Art Vorankündigung verstanden werden können. Nur wenn eine Vorgehensweise existiert, die regelt welche Fachstellen wann informiert werden müssen, kann ein übergreifender Schutz erreicht werden.
Antiviren-Lösungen sind nach wie vor Pflicht, sie müssen jedoch der Zeit angepasst, möglicherweise um technische Lösungen erweitert und organisatorisch unterstützt werden. In diesem Fall ergibt sich ein umfassender Schutz.
Thomas Mörwald, Senior Berater bei der Secaron AG
| vorige Seite | 1 - 2 |
Passend zu diesem Artikel
Alert-to-Action-Lösungen von Eizo tragen in Kritischen Infrastrukturen, wie Banken und Finanzinstituten, dazu bei, dem Sicherheitspersonal zeitnah relevante Bilder anzuzeigen.
Konstruktive Unternehmensnachfolge frühzeitig geregelt: Weckbacher Sicherheitssysteme GmbH wird Teil der Prosero Security Group.
Beim Neubau der Chirurgischen Universitätsklinik in Heidelberg kam dem Brandschutz ein hoher Stellenwert zu.