Gastkommentar: IT-Sicherheit: Resignation ist unangebracht

Statt ihren Mitarbeiter eine Mitverantwortung für IT-Sicherheit aufzubürden, sollten Unternehmen ihre Konzepte überdenken und in Lösungen investieren, die Gefahren nicht nur aufspüren, sondern auch isolieren, rät Jochen Koehler von Bromium.

Jochen Koehler, Regional Director DACH bei Bromium
(Foto: Bromium)

Je besser ein Hausbesitzer Fenster und Türen absichert, desto ruhiger kann er schlafen. Die Dynamik im IT-Sicherheitsmarkt ist eine ganz andere: Je mehr Unternehmen in Sicherheitslösungen investieren, desto mehr Einbrüche finden statt. Traditionelle Firewalls & Co. sind scheinbar wertlos oder sorgen für nur geringen Zusatznutzen. Tatsächlich können Unternehmen mit der Absicherung ihrer IT kaum Schritt halten: Hacker geben den Takt vor, was Firmen dazu verdammt zu reagieren. In vielen Fällen fehlt auch noch der strategische, integrierte Ansatz.

Viele Unternehmen versuchen, die Verantwortung zumindest teilweise auf ihre Mitarbeiter abzuwälzen: Mitarbeiterschulung und -sensibilisierung, heißt es immer wieder, würde etliche Sicherheitsvorfälle verhindern. Das Involvieren der Mitarbeiter ist auf jeden Fall empfehlenswert – aber kann Mitarbeitern ernsthaft eine Mitverantwortung für die IT-Sicherheit übertragen werden? Mitarbeiter sollten sich sorgenfrei ihren Aufgaben widmen können. Es sieht wie ein Akt der Hilflosigkeit aus.

Nicht aufeinander abgestimmte Produkte hier, veraltete Systeme dort, und dann noch der Druck auf die Mitarbeiter: Das kann keine Basis sein, und es sieht so aus, als müssten Unternehmen ihre IT-Sicherheit von Grund auf überdenken. Resignation ist allerdings nicht angebracht.

Klar nutzen alle sicherheitsbewussten Unternehmen Intrusion-Prevention-Systeme, Antiviren-Tools und Next-Generation-Firewalls. Diese Lösungen haben aber ein Manko: Sie können neue Zero-Day-Attacken, Advanced Persistent Threats oder immer raffiniertere Ransomware-Trojaner nicht zuverlässig aufspüren, weil sie auf die Erkennung von Schadsoftware angewiesen sind und bei bisher unbekannter, neuer Malware an ihre Grenzen stoßen. Deshalb müssen Unternehmen Lösungen einführen, die einen neuen Weg einschlagen: Nämlich Gefahren isolieren statt sie lediglich aufzuspüren.

Die technische Basis dafür liefert die Virtualisierung. Viele Softwarenanbieter entwickeln in diese Richtung, darunter auch Microsoft. Windows 10 zum Beispiel enthält den Device Guard, der zentrale Betriebssystem-Services isoliert, sodass bei einer Kompromittierung kein Diebstahl von unternehmenskritischen Daten erfolgen kann. Auch virtuelle Surfumgebungen belegen den zunehmenden Virtualisierungstrend: Sie kapseln den Browser vom Betriebssystem vollständig ab, decken aber nur das Thema Browsing ab. Noch weiter gehen Hardware-isolierte Micro-VMs: Sie isolieren neben gängigen Browsern auch Office- und PDF-Dokumente aus E-Mail-Anhängen oder portablen Speichermedien. Eine Kompromittierung des Endpunkts und des Unternehmensnetzes über diese Angriffspfade ist damit ausgeschlossen. So lässt sich IT-Sicherheit auf ein deutlich höheres Niveau bringen.