Moderne IT-Security mit Bechtle und Microsoft.
von Jens Käsbauer
Früher war IT-Security ganz einfach: Eine professionell administrierte Firewall, ein Virenscanner und das Unternehmen hatte schon sehr viel richtig gemacht. In den letzten zwei Jahrzehnten hat sich die Cyberkriminalität jedoch zunehmend professionalisiert. Parallel dazu etablierten sich neue Arbeitsweisen. Um diesen veränderten Anforderungen gerecht zu werden, haben zahlreiche Anbieter einen schier undurchsichtigen Dschungel an Lösungen entwickelt. Die notwendige Verwaltung kann beliebig komplex werden. Ein neuer Ansatz muss her. Wie es möglich ist, sein Unternehmen entlang der kompletten Cyber Kill Chain mit nur einem Anbieter zu schützen, erfahren Sie im Blog.
Verfasst von
Eine professionell administrierte Firewall regelt den Datenfluss vom Internet ins eigene Netzwerk. Ein Virenscanner sorgt dafür, dass auch E-Mails und die auf den Systemen gespeicherten Daten frei von schädlichen Funktionen sind. So sah IT-Security noch vor wenigen Jahren aus. Doch mit den neuen Möglichkeiten, die mobiles Arbeiten am modernen digitalen Arbeitsplatz bietet, haben sich auch die Herausforderungen an die IT-Abteilungen verändert. Die Geräte müssen jetzt nicht mehr im internen Netzwerk eines Unternehmens sein, um auf sensible Daten zugreifen zu können. Die ganze Welt wird so zum Arbeitsplatz, eine funktionierende Internetverbindung vorausgesetzt.
Klassische Herangehensweisen zum Schutz der Unternehmens-IT kommen mit diesen Anforderungen nicht mehr zurecht. Der alte Ansatz, innerhalb des eigenen Netzwerks allen Teilnehmern zu vertrauen, sorgt spätestens dann für Probleme, wenn ein Mitarbeiter von außen auf interne Ressourcen zugreifen will. Denn Zugriffe von außen werden über Regeln in einer Firewall gesteuert, unaufgeforderte Anfragen von einem externen Client werden prinzipiell abgelehnt. Die Kommunikation von außen nach innen und der Zugriff auf Dateien und die Infrastruktur müssen über eher instabile VPN-Tunnels durch den Perimeter hindurch geschehen.
In beiden Fällen findet eine Überprüfung der Rechtmäßigkeit des Zugriffs innerhalb dieses Perimeters in der Regel nicht mehr statt. Mit relativ geringem Aufwand können sich so auch Personen Zugriff zu sensiblen Daten verschaffen, die dafür eigentlich nicht legitimiert sind. In der modernen Arbeitswelt sind Zugriffe über abbruchanfällige VPN-Tunnel, die den Computer außerhalb des Unternehmensnetzwerks zu einem Teil des internen Netzwerkes machen, undenkbar geworden. Datenverbindungen können unterbrochen werden und mittels kompromittierter Geräte werden die Zugänge oftmals ausgenutzt. Der notwendige Wandel ist daher offensichtlich: Heute ist das Endgerät der neue Perimeter.
Alles beginnt mit einer gefälschten E-Mail.
Um moderne Angriffsszenarien verstehen zu können, müssen wir einen Blick auf die Vorgehensweise der inzwischen sehr professionell agierenden Hacker werfen. In über 90 % der Fälle beginnt ein Angriff mit einer Phishing-E-Mail, die den Empfänger zu einer bestimmten Handlung auffordert. Dies kann das Öffnen eines schädlichen Anhangs sein oder der Klick auf einen Link zu einer kompromittierten Website. Dabei nutzen die Angreifer Social-Engineering-Methoden, die es dem Opfer häufig schwer machen, zu erkennen, ob es sich dabei um eine legitime Nachricht handelt oder um einen Betrugsversuch. Wird der Anhang oder die präparierte Website geöffnet, nimmt das Unheil meist schon seinen Lauf.
Im Hintergrund wird Schadsoftware installiert, die in der Regel sofort die Kontrolle über das befallene System übernimmt und damit beginnt, auch weitere Computer im Netzwerk zu infizieren. Hat man an dieser Stelle keine Sicherungsmaßnahmen getroffen, ist der Weg für den Angreifer so gut wie frei. Selbst wenn installierte und funktionstüchtige Antiviren-Software und Malware-Scanner an dieser Stelle anschlagen, sind die kleinen Schadprogramme inzwischen so weit ausgereift, dass es bei einer oberflächlichen Reinigung des Systems meist nicht gelingt, den Angreifer komplett aus dem System zu entfernen. In der Regel ist genau das Gegenteil der Fall und es wird weiterer Code von einschlägig bekannten Servern heruntergeladen und nachinstalliert, um die weitere Suche nach sensiblen Daten zu erleichtern.
Schutz schon im ersten Schritt: Microsoft Defender.
Schon im ersten Schritt kann ein solcher Angriff mit den richtigen Tools verhindert werden. Microsoft Defender for Office 365 entdeckt im ersten Schritt bereits Malware im Anhang von E-Mails und entfernt betrügerische Links und Anhänge aus den betroffenen Postfächern. Ihre Mitarbeiter werden somit gar nicht erst damit konfrontiert, entscheiden zu müssen, ob eine E-Mail zu einem Geschäftsvorgang legitim ist oder nicht. Da sich dieser Schutz auf die komplette Office 365-Suite erstreckt, werden auch in Dokumenten eingebettete, schadhafte Makros erkannt und deren Ausführung unterbunden. Microsoft Defender for Endpoint erkennt und schützt zudem vor Gefahren, die das genutzte Device direkt betreffen. Das Risiko einer Beeinträchtigung des Geräts, zum Beispiel durch den Besuch einer betrügerischen Website, kann so effektiv minimiert werden.
Geht man die Infektionskette weiter, findet sich häufig noch ein zweiter, nicht weniger bedeutsamer, Einfallvektor für Cyberkriminelle: Häufig setzen Angreifer auch auf gestohlene Zugangsdaten, wenn sie sich Zugriff zu den sensiblen Daten eines Unternehmens verschaffen wollen. Diese gestohlenen Identitäten stammen zumeist aus vorherigen Angriffen auf andere Firmen. Wird die Gültigkeit eines Nutzer-Accounts nicht regelmäßig hinterfragt, bekommen Hacker quasi einen Schlüssel an die Hand, mit dem sie noch leichter Zugriff auf die Daten weiterer Unternehmen bekommen. Besonders groß ist der Schaden, wenn es sich dabei um Zugangsdaten zu privilegierten Accounts handelt. Diese sogenannten Admin-Accounts haben im Normalfall Zugriff auf alle Ressourcen des Unternehmens und sind mit umfassenden Rechten ausgestattet, was den Abfluss der Daten an die Kriminellen erleichtert.
In allen Fällen ist der Faktor Mensch entscheidend. Ihre Mitarbeiter, egal ob aktive oder bereits ausgeschiedene Kollegen, können unwissentlich zu Helfern beim Einstieg in die IT eines Unternehmens werden, indem sie unbedacht Anhänge öffnen oder ihre Nutzerdaten in manipulierte Formulare eintragen. Unzufriedene Mitarbeiter können diese Informationen aber auch ganz bewusst preisgeben. Industriespionage ist ein lukratives Geschäft und manche Menschen werden durch gezielte Ansprache manipuliert. Mit der Azure AD Identity Protection kann aber auch dieser Vektor abgesichert werden, indem sie den risikobasierten bedingten Zugriff auf Unternehmensressourcen ermöglicht. Bei diesem, auch Conditional Access genannten, Verfahren werden Zugriffe auf ihre Plausibilität hin geprüft. Haben Sie sich zum Beispiel vor 10 Minuten an Ihrem Standort in Deutschland am System angemeldet, ist der Zugriffsversuch aus Übersee nur wenige Minuten später wahrscheinlich nicht legitim und wird abgewiesen.
Ihre Identität ist bestens geschützt.
Auch wenn einem Angreifer zunächst keine Informationen über Ihre Identität vorliegen, kann er sie aus den Spuren auf einem mit Malware infizierten Gerät durchaus herauslesen. Und das nutzt er natürlich zu seinem Vorteil. Erlangt der Hacker dieses Wissen, kann er sich weitestgehend ungehindert von weiteren Sicherungsmechanismen in Ihrem Netzwerk bewegen. Dabei sammelt er weitere Informationen über Ihre Infrastruktur aus Konfigurationsdateien – immer mit dem Ziel, die Zugriffsdaten eines privilegierten Nutzers herauszufinden oder eine eventuell noch bestehende Session eines solchen Administrators zu kapern. Gelingt ihm dies, hat er sein Ziel erreicht: Ihm stehen sämtliche Server und Datenbanken offen – auch die Domänen-Controller, die in Windows Netzwerken unter anderem die Zugangsberechtigungen verwalten.
Microsoft Defender for Identity setzt an diesem Punkt an und schützt die Identitäten Ihrer Mitarbeiter und Kollegen vor der Übernahme durch Cyberkriminelle im Rahmen eines Angriffs. Cloudbasiert nutzt dieser Dienst Echtzeitanalysen und Informationen aus den bereits gesammelten Daten, um tatsächliche Bedrohungen von legitimen Zugriffen zu unterscheiden und sie entsprechend zu priorisieren. Ihr Sicherheitsteam kann sich auf die wichtigen Vorgänge konzentrieren und wird nicht durch falsche Signale abgelenkt. Selbst wenn kein Angriff stattfindet, kann die intelligente Lösung bereits präventiv Konfigurationslücken erkennen und Empfehlungen geben, die Ihre IT dabei unterstützen, die Lücken zu schließen, bevor sie zum Einfallstor für Angreifer werden.
Datenabfluss erkennen und verhindern.
Nutzt ein Unternehmen bis zu diesem Punkt keine Schutzmaßnahmen, kann der Angreifer nun sein eigentliches Ziel erreichen. Mit dem Zugriff auf privilegierte Identitäten können Kriminelle hochsensible Daten abführen. Im nächsten Schritt werden sie diese veröffentlichen oder gewinnbringend verkaufen. Ihre Daten sind gefragt: Spammer interessieren sich für Ihre Kundendaten, um Ihren guten Ruf auszunutzen. Sie versuchen, minderwertige Produkte an Ihre Kunden zu verkaufen und täuschen sie mit der gestohlenen Identität. Aber auch Mitbewerber, Konkurrenten und unter Umständen fremde staatliche Apparate können Interesse an Ihren Daten haben. Industriespionage ist ein lukratives Geschäft. Technisches Know-how und Eigenentwicklungen fließen ab und gefährden Ihren Wettbewerbsvorteil.
Um das zu verhindern, nutzt die Microsoft Cloud App Security anspruchsvolle Analysefunktionen. Damit werden Cyberbedrohungen für Cloud-Dienste erkannt und bekämpft. Die Lösung beschränkt sich jedoch nicht auf die Dienste von Microsoft, sondern stellt als Cloud Access Security Broker auch die Möglichkeit her, Anwendungen von Drittanbietern zu integrieren. So gelingt es Ihnen, alle Cloud-Apps zu identifizieren und zu verwalten, um Compliance und Sicherheit zu gewährleisten. Sie erkennen dann ungewöhnliches Verhalten, das durch Ransomware oder sonstige, nicht autorisierte, Anwendungen ausgelöst wurde. Hochgradig risikoreiches Nutzungsverhalten kann so identifiziert, analysiert und zur Begrenzung des Risikos unterbunden werden.
Sicherheit beginnt schon beim Device.
Microsoft bildet den Schutz entlang der Cyber Kill Chain nicht nur mit den vorgestellten Lösungen ab, sondern schließt mit der Surface Familie perfekt darauf abgestimmt die Lücke zwischen Sicherheitslösung und Endgerät. Mit DFCI und der Bereitstellung via Windows Autopilot erhalten die Surface Devices eine sichere Firmware, die Angriffe auch auf Hardware-Ebene erkennt und unterbinden kann. Hello for Business ermöglicht es Ihnen, den bedingten Zugriff auf Ihre wichtigen Assets zu steuern und zu verifizieren. Dabei bieten die einzelnen Devices für jeden Anspruch die richtige Lösung – egal, ob Sie die Kollegen in der Produktion, mobile Arbeiter im Außendienst, Kundenberater oder auch Ingenieure, Designer und Forscher mit modernen, zuverlässigen und sicheren Geräten ausstatten wollen. So können Sie und Ihre Angestellten geschützt vor Datenabfluss entlang der gesamten Cyber Kill Chain von jedem Ort der Welt und zu jeder Zeit Ihr Geschäft vorantreiben.
Sie wollen mehr erfahren? Sehen Sie sich kostenlos die Aufzeichnung des Webinars „So flexibel wie Ihre Anforderungen – moderne IT-Security mit Bechtle und Microsoft“ an. Dort gehen wir vertieft darauf ein, wie eine solche Attacke entlang der Cyber Kill Chain ablaufen kann. Erfahren Sie darüber hinaus:
- Wie die Lösungen von Microsoft den Angriff hätten stoppen können.
- Welche Maßnahmen ergriffen werden müssen, damit ein gewisser Grundschutz erreicht werden kann.
- Wie Sie diesen Grundschutz bis hin zur „Rundum-sorglos-Lösung“ erweitern können.
- Wie KI-gestützte Sicherheitsmaßnahmen den Schutz noch weiter erhöhen können.
- Welche Rolle die verwendete Hardware dabei spielt.
- Wie die speziell auf Ihre Bedürfnisse abgestimmten Lösungen von Microsoft und Bechtle Sie bei der Einführung eines modernen IT-Sicherheitskonzepts unterstützen können.
