Ihr

Systemhaus ITk-LöSUngen In Der prAxIS

2

2017

IT-SIcherheIT Im UmbrUch

IT-STrATegIe

TIppS & TrIckS

mit Automatisierung gegen hacker

Alternativen zum klassischen Datacenter

Jede projektminute erfassen

Innovative Ansätze im Kampf gegen Cyber-Attacken – Seite 6

Services lösen traditionelle ITKonzepte ab – Seite 18

Zeit ist Geld: Intelligente Software hilft bei der Abrechnung – Seite 34

IT-InfrASTrUkTUr neU geDAchT

modernes netzwerk für engineering Ab Seite 10

www.IhrSySTemhAUS.De

IT-SecurITy

It-sicherheit im umbruch

mit automatisierung gegen hacker Klassische IT-Sicherheitskonzepte stoßen an ihre Grenzen, denn die Zahl der Attacken wächst und die Hacker agieren immer raffinierter. Anbieter von IT-Sicherheitsprodukten halten dagegen, etwa mit Lösungen, die auf Automatisierungsfunktionen, Künstliche Intelligenz und die Analyse des Nutzerverhaltens zurückgreifen.

teXt Bernd reder FOtOs Logrhythm, IBM, Forbes Insights / BMc, Fujitsu, Trend Micro, TAO.De Fidelis cybersecurity

6

V

on Entspannung kann bei der Lage im Bereich IT-Sicherheit keine Rede sein. Im Gegenteil: Sowohl die Zahl der Angriffe als auch deren Qualität hat in den vergangenen zwölf Monaten zugenommen. Vor allem Angriffe mithilfe von Erpresser-Software (Ransomware), die Daten auf Servern und Endgeräten verschlüsselt, erfreuen sich wachsender Beliebtheit. Welche Belastung dies für die IT-Fachleute und IT-Sicherheitssysteme in Un-

Ihr systemhaus 02-2017

ternehmen und öffentlichen Einrichtungen bedeutet, belegt folgende Zahl: Nach Angaben des IT-Sicherheitshauses Kaspersky Lab stieg alleine die Zahl der Angriffe auf Basis von Exploits (Schwachstellen in Software) im vergangenen Jahr auf 700 Millionen. Das waren 24,5 Prozent mehr als im Jahr zuvor. Vergleichbare Zuwachsraten sind bei anderen Angriffsformen zu verzeichnen, etwa Denial-of-ServiceAttacken, Phishing und zielgerichteten Social-Engineering-Angriffen

auf einzelne Mitarbeiter, etwa Administratoren und Manager. Dies bringt nicht nur die Sicherheitsteams an den Rand ihrer Kapazität, sondern auch die IT-Sicherheitsinfrastruktur. Die Folgen können fatal sein: „Viele Unternehmen verlassen sich auf Computer. Es ist nicht nur ein finanzielles Risiko, es kann im schlimmsten Fall auch den Ruf eines Unternehmens schädigen, wenn es Opfer eines Datenverlustes oder Datendiebstahls geworden ist“, sagt Jamie Wilkie, Senior Director Security Technology Office EMEIA bei Fujitsu.

IT-SECURITY

Eine Option, um der wachsenden Zahl von Angriffen und dem damit verbundenen Anstieg von Alarmmeldungen Herr zu werden, ist die Automatisierung von IT-SecurityAktionen. Das gilt für das Erfassen und Analysieren von Daten, aber auch für Reaktionen auf Angriffe („Incident Response“). Allerdings legen viele Anwender noch eine zögerliche Haltung gegenüber solchen Techniken an den Tag: „Die Erfahrung zeigt, dass die meisten Unternehmen automatisierte Verfahren mit Erkennungsund Response-Möglichkeiten erst dann einsetzen, wenn ein Vorfall ihnen die Schwächen ihrer bisherigen Konzeption aufgezeigt hat. Insofern findet zunächst ein Umdenken und besseres Verständnis für die Vorfälle statt. Wird dies nicht regelmäßig geschult, verliert sich allerdings dieses Verständnis mit der Zeit wieder“, so Werner Richard, Business Consultant bei Trend Micro Deutschland.

Bewusstsein schärfen Hersteller von IT-Sicherheitslösungen sowie Systemhäuser und ITBerater müssen somit bei Nutzern noch Aufklärungsarbeit leisten. Das gilt allerdings auch für elementare Dinge, etwa bei mittelständischen Unternehmen: „Das Bewusstsein für IT-Security ist im Mittelstand definitiv noch nicht angekommen; hier glauben viele noch immer an die heile Welt“, stellt Michael Krause fest, Gründer und geschäftsführender Gesellschafter des Systemhauses TAP.DE Solutions. „Hinzu kommt, dass die IT-Verantwortlichen sich teilweise schwertun, die vielfach komplexen Situationen oder Bedrohungsszenarien verständlich an die Geschäftsführung zu kommunizieren und notwendige Budgets zu erhalten.“ Allerdings müssen auch Systemhäuser ihre Hausaufgaben machen, stellt Oliver Keizers fest, Regional Director für die DACH-Region bei Fidelis Cybersecurity, einem Anbieter von Next-Generation-Intrusion-

„Fidelis setzt auf eine Echtzeit-Analyse der gesamten Sessions, darüber hinaus auf eine Untersuchung von allen Ports und allen Netzwerk-Protokollen, nicht nur der üblichen Mail- und Web-Ports und Protokolle.“ Oliver Keizers, Fidelis Cybersecurity Prevention-Lösungen: „Was ITSicherheitsmaßnahmen betrifft, denken viele IT-Fachleute, aber auch Experten von Systemhäusern noch sehr in ‚Silostrukturen‘. Aber für eine übergreifende Sicherheitsinfrastruktur ist die Integration von Perimeter- und Endpunkt-Sicherheit unabdingbar.“

me auch nur annähernd Schritt zu halten“, sagt beispielsweise Dawid Kowalski, Technical Director bei FireMon, einem Anbieter von Produkten in den Bereichen Securityund Cloud-Security-Management. Versuche, die Datenflut mithilfe von einfach gestrickten Automatisierungsfunktionen zu bewältigen,

Traditionelle SIEMLösungen reichen nicht In der Praxis setzen die meisten Unternehmen auf einen Mix aus unterschiedlichen IT-Sicherheitskomponenten: Firewalls, Virenschutz-Software und SIEM-Lösungen (Security Information and Event Management). Hinzu kommen gegebenenfalls Intrusion-Prevention-Systeme und Lösungen für die Absicherung von Endpoints, inklusive mobilen Endgeräten. Doch dieses Konzept hat Grenzen: „So bleiben in der Praxis SIEMLösungen häufig hinter den Erwartungen zurück, weil es IT-Sicherheitsteams nicht gelingt, mit der großen Zahl der anfallenden Alar-

Bei CIOs zählt laut einer Studie von Capgemini Security-Automation zu den wichtigsten Themen im Jahr 2017.

02-2017 IHR SYSTEMHAUS

7

IT-SecurITy

wendet. Mit dem „Siegeszug“ von Ransomware seit etwa zwei Jahren hat sich das geändert. MachineLearning-Algorithmen erhöhen die Chancen, dass eine IT-Sicherheitslösung auch solch ausgefeilte Attacken erkennt und abwehren kann. IBM beispielsweise setzt mittlerweile kognitive Verfahren auf Basis der Watson-Technologie ein, um große Mengen sicherheitsrelevanter Daten zu analysieren und Bedrohungen bereits im Anfangsstadium zu identifizieren.

„Automatisierung ist bei Sicherheitslösungen vor allem wegen der Menge und der wachsenden Durchschlagskraft von Malware wichtig.“ Werner richard, Trend Micro Deutschland hätten sich zumindest bei SIEMSystemen als wenig hilfreich erwiesen. So hat eine Untersuchung des Beratungshauses Ponemon Institute ergeben, dass es sich etwa bei der Hälfte der Alarmmeldungen von SIEM-Systemen um „False Positives“ handelt, also Fehler. Die Lösung aus Sicht von FireMon: Ergänzend zu SIEM-Lösungen wird ein Sicherheitsmanagement-System eingesetzt. Es erfasst automatisch strukturierte und unstrukturierte Daten, inklusive E-Mails und Log-Daten, und setzt sie zueinander in Beziehung. Dabei helfen Techniken wie maschinelles Lernen. So lassen sich bei überschaubarem manuellem Aufwand Risiken frühzeitig erkennen.

Doch Machine Learning hilft nur bedingt, wenn Unternehmen Schlupflöcher für Angreifer offenlassen. So weist Oliver Keizers von Fidelis auf einen wichtigen Punkt hin: „Was die Automatisierung von IT-Sicherheitsmaßnahmen betrifft, ist aus unserer Sicht Folgendes wichtig: Die Endpoints müssen in den Security-Perimeter eingebunden werden. Anschließend lassen sich dort Automatisierungsfunktionen einsetzen, etwa um Angriffe automatisch zu stoppen und Daten für forensische Untersuchungen zu sammeln.“ Erfolgt das nicht, können sich vor allem mobile Endgeräte wie Smartphones und Notebooks zum Einfallstor für Schadsoftware und zu Sicherheitsrisiken entwickeln.

„Böse“ anhand ihres Verhaltens identifizieren Automatisierung kommt zudem bei Lösungen zum Zuge, die ein spezielles Sicherheitsproblem ansprechen: Angriffe, bei denen Konten von IT-Nutzern mit privilegierten Rechten im Spiel sind, also von „Privileged Users“. IT-Sicherheitsfachleute müssen dabei zwei Faktoren berücksichtigen: externe Hacker, die Nutzerkonten „gekapert“ haben, sowie illoyale eigene Mitarbeiter („Insider“), die sich Zugang zu verwertbaren Informationen verschaffen wollen. Für IT-Sicherheitsteams ist es besonders schwer, solche Angriffe zu erkennen. Teilweise dauert es mehr als 100 Tage, bis solche Aktivitäten entdeckt werden. Ein Grund dafür ist, dass „IT-Fachleute nicht in der Lage sind, aus der Menge der unstrukturierten Daten verwertbare Informationen zu extrahieren“, erläutert Péter Gyöngyösi, Produktmanager bei Balabit. Um speziell den Missbrauch von Privileged-User-Accounts zu unterbinden, hat das Unternehmen aus Ungarn mit „Blindspotter“ eine Lösung für Privileged User Behavior Analytics (UBA) vorgestellt. Vergleichbare Ansätze haben beispiels-

machine Learning hält einzug Maschinelles Lernen, „Cognitive Cybersecurity“ und damit kürzere Reaktionszeiten und eine höhere Erkennungsrate bei neuartigen Bedrohungen halten laut Trend Micro derzeit bei Front-End-Systemen im IT-Sicherheitsbereich Einzug. Zuvor wurden solche Techniken wegen des hohen Ressourcenbedarfs und des hohen False-Positive-Anteils vorzugsweise im Backend ver-

8

Ihr systemhaus 02-2017

„Das Bewusstsein für IT-Security ist im Mittelstand definitiv noch nicht angekommen; hier glauben viele noch immer an die heile Welt.“ Michael Krause, TAP.De Solutions

IT-SecurITy

DIe ChatBOts KOmmeN ein neuer Trend im Bereich Security Automation ist der einsatz von chatbots von Anbietern wie endgame und Demisto. IT-Fachleute können diesen Fragen stellen wie etwa: „Welche auffälligen Aktivitäten gab es in den letzten 24 Stunden?“. Der Bot stellt dann die entsprechenden Informationen zusammen und präsentiert sie auf einem Dashboard. Die eingabe der Fragen erfolgt derzeit über die Tastatur, soll in Kürze aber auch via Sprache möglich sein. Der Vorteil: um resultate zu erhalten, sind keine Scripts oder komplexen Abfragen erforderlich. Die Daten, welche die chatbots nutzen, stammen von den implementierten Sicherheitssystemen, etwa Intrusion-Prevention-Lösungen und SIeM-Komponenten. Mithilfe solcher Bots wollen die Anbieter ein Problem lösen: den Mangel an erfahrenen IT-Security-experten. Die Systeme von endgame und Demisto können auch IT-Fachleute bedienen, die keine Sicherheitsspezialisten sind. weise Exabeam, IBM, Rapid7 und Securonix entwickelt. UBA erstellt ein Profil des normalen Verhaltens eines IT-Nutzers mit speziellen Zugriffsrechten. Darin fließen Informationen ein wie der Ort und die Endgeräte, von denen aus der User auf das Unternehmensnetz zugreift, die Arbeitszeiten sowie die Applikationen, die er für gewöhnlich verwendet. UBA-Lösungen werten zudem biometrische Daten aus, etwa das Tipp-Verhalten auf der Tastatur oder die Art, wie ein User die Maus bewegt. Bei ungewöhnlichen Aktionen, etwa Log-inVersuchen von einem Rechner in Fernost, können die Zugriffsversuche automatisch unterbrochen werden.

Wichtig: Daten klassifizieren Auf einen speziellen Aspekt im Zusammenhang mit der Automatisierung im Bereich IT-Sicherheit weist Secude hin. Der Anbieter aus Walldorf hat sich auf Datenschutzlösungen für SAP-Nutzer spezialisiert. Secude plädiert für eine bessere Absicherung der Daten: „Eine automatisierte und kontextbezogene Klassifizierung von Daten wird in den kommenden Jahren einen Schlüsselfaktor für die Datensicherheit darstellen“, betont Volker Kyra, Ge-

schäftsführer von Secude. Entsprechende Lösungen legen fest, welche Informationen besonders sensibel sind und daher strengeren Sicherheitskriterien unterliegen müssen. „Überlässt man die Einstufung den Mitarbeitern, kommt es häufig zu Fehleinschätzungen und zu einer erheblichen Verlangsamung von Arbeitsvorgängen.“

Eine Option besteht darin, solche Dienstleistungen im Rahmen von Managed-Security-Services anzubieten. Solche Angebote sind vor allem für mittelständische Unternehmen interessant, die nur über kleine IT-Abteilungen verfügen. Die Mitarbeiter dort sind in der Regel nicht in der Lage, neben dem Tagesgeschäft eine wasserdichte IT-Security-Strategie zu erarbeiten und umzusetzen. Allerdings warnt Michael Krause von TAP.DE vor allzu hohen Erwartungen: „Die Qualität des Datenschutzes ergibt sich letztlich aus einer Kombination aus Aufklärung und moderner Technologie, die bestmöglich an die Anforderungen des Unternehmens angepasst werden muss. Eine hundertprozentige Sicherheit kann und wird es aber nie geben, denn schließlich müssen die Anwender mit den zu schützenden Daten ja auch noch arbeiten. Es ist ein Spagat zwischen Sicherheit und Produktivität.“

Verschärft wird die Situation dadurch, dass Maschinen und Applikationen in immer stärkerem Maße ohne Zutun von Menschen untereinander Informationen austauschen. Für Unternehmen ist es laut Kyra daher ohne entsprechende Hilfsmittel praktisch unmöglich, die Kontrolle über die logische Datenkommunikation zu erlangen. Die Folge: erhöhte Sicherheitsrisiken und Verstöße gegen Compliance-Vorgaben.

Managed Security Services Für Systemhäuser heißt das, dass sie ihren Kunden einen ganzheitlichen Ansatz offerieren könnten: Die Absicherung der IT-Infrastruktur und Endgeräte, gleichzeitig Lösungen, mit denen Nutzer Daten entsprechend ihrer Bedeutung für das Unternehmen sortieren und schützen können – und dies idealerweise unter Einsatz von Automatisierungsfunktionen.

„es ist nicht nur ein finanzielles risiko, es kann auch den ruf eines unternehmens schädigen, wenn ein unternehmen Opfer eines Datenverlustes oder Datendiebstahls geworden ist.“ Jamie Wilkie, Fujitsu

02-2017 Ihr systemhaus

9