Aktuelle Bedrohungslage

Kommunale IT im Fadenkreuz der Cyberangreifer

Klassische Sicherheitslösungen sind beim Schutz vor Angriffen mit unbekanntem Schadcode limitiert. Die Isolation von Gefahren am Endgerät auf Basis von Virtualisierung lautet deshalb ein neuer Ansatz. Er lässt Angriffe auf Hardware, Betriebssystem und Applikationen ins Leere laufen und verhindert damit auch Zugriffe auf Behördennetze, wie Jochen Koehler, Regional VP Sales Europe bei Bromium, im Interview erläutert.

Jochen Koehler, Regional VP Sales Europe bei Bromium

Jochen Koehler ist Regional VP Sales Europe bei Bromium in Heilbronn.

IT-DIRECTOR: Herr Koehler, welchen Gefahren ist eine kommunale IT grundsätzlich ausgesetzt? Wie sieht hier die aktuelle Bedrohungslage aus?
J. Koehler:
Die zentralen Gefahren für die kommunale IT bestehen in der E-Mail-Kommunikation, im Zugriff auf Webseiten und im Downloaden von Dokumenten. Und dabei besteht im Vergleich zu Unternehmen ein gravierender Unterschied: Restriktive Sicherheitsvorgaben wie auf Unternehmensseite – etwa Beschränkungen beim Webseitenzugang oder beim Öffnen von E-Mail-Attachments – sind im Behördenumfeld nicht ohne Weiteres umsetzbar, schließlich kann jede E-Mail ein wichtiges Anliegen einer Bürgerin oder eines Bürgers beinhalten. Zur aktuellen Bedrohungslage ist zu sagen: Wie auch Unternehmen geraten Behörden zunehmend ins Visier von Cyberangreifern. Vor allem Phishing-Mails kursieren in immer größerem Umfang. Auch Social Engineering liegt momentan im Trend und stellt eine große Gefahr für jedes Sicherheitssystem dar. Dass eine verschärfte Bedrohungslage besteht, hat auch BSI-Präsident Arne Schönbohm bei der Eröffnung des Deutschen Sicherheitskongresses Ende Mai 2019 bestätigt. So sei die Anzahl an Cyberattacken auf staatliche und zivile Ziele in jüngster Vergangenheit stark gestiegen.

IT-DIRECTOR: Was sind die Schwachstellen herkömmlicher Sicherheitslösungen wie Antiviren-Programme und Firewalls? Warum sind sie nicht in der Lage, der Gefahren Herr zu werden?
J. Koehler:
Herkömmliche Sicherheitslösungen wie Next-Generation-Firewalls, Intrusion-Detection- und Prevention-Systeme oder Antiviren-Tools sind auf die Detektion von Cyberattacken ausgerichtet. Hierzu werden u.a. Signaturen, Verhaltensanalysen oder heuristische Verfahren genutzt. Ziel ist, Angriffe zu erkennen und zu blockieren, um einen Zugriff auf das Behördennetz zu verhindern. Die Abhängigkeit von der Erkennung ist der größte Nachteil dieser Lösungen, denn einen zuverlässigen Schutz vor Cyberbedrohungen können solche Sicherheitslösungen nur bieten, wenn sie Schädlinge zu 100 Prozent aufspüren. Das ist aber aufgrund sich ständig ändernder und neuer Schadsoftware reine Utopie.

IT-DIRECTOR: Was muss eine Client-Sicherheitslösung (z.B. für Stadtverwaltungen) anno 2019 grundsätzlich leisten können?
J. Koehler:
Wenn keine zuverlässige Erkennung möglich ist, muss zwangsläufig eine andere Lösungsoption gewählt werden – und zwar eine, die nicht auf Detektion, sondern auf Isolation setzt. Das technische Hilfsmittel der Wahl ist dabei die Virtualisierung. Darauf basiert beispielsweise auch unsere Lösung „Secure Platform“. Sie erzeugt hardware-isolierte Micro-VMs für alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen, d.h., sie isoliert z.B. das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder den Zugriff auf die Daten eines portablen Speichermediums. Ein Angriff durch ein Schadprogramm bleibt dadurch immer auf die jeweilige Micro-VM beschränkt, die zudem nach Beendigung einer Aktivität wieder automatisch gelöscht wird. Eine Kompromittierung des Endgeräts und nachfolgend des Behördennetzes über einen dieser häufig genutzten Angriffspfade ist damit nahezu ausgeschlossen.

IT-DIRECTOR: Welche Rolle spielt hier Künstliche Intelligenz (KI), was kann sie ermöglichen und wo liegen wiederum ihre Grenzen?
J. Koehler:
Richtig ist, dass Security-Unternehmen derzeit stark mit dem Begriff KI werben. KI-gestützte Sicherheitssysteme, die lernbasierte Verfahren, Mustererkennungen oder statistische Prognosemodelle nutzen, bieten einen zentralen Vorteil: Sie können gigantische Datenbanken durchforsten und nach immer feineren Angriffsmustern oder Anomalien suchen, um Gefahren völlig selbstständig abzuwehren. Allerdings ist nicht garantiert, dass sie alle Risiken auch identifizieren. KI-gestützte Sicherheitssysteme haben gewiss ihre Berechtigung, gerade im Netzwerkbereich, in dem es um die Analyse großer Datenmengen geht, auf Client-Ebene aber ist ein Einsatz weniger sinnvoll.

IT-DIRECTOR: Welche Trends sind für den IT-Security-Markt zu erwarten?
J. Koehler:
Generell gehen wir davon aus, dass im Bereich Sicherheit die Virtualisierung das beherrschende Thema der nahen Zukunft sein wird. Auch wir werden den eingeschlagenen Virtualisierungsweg beibehalten. Ziel ist die „Isolation von kompletten Zugriffswegen mittels Virtualisierung“. Das heißt, wir entwickeln eine Lösung, mit der Zugriffe auf kritische Systeme und Applikationen wie Domain Controller, Datenbanken oder ERP-Systeme auf Basis einer hardware-isolierten Virtualisierung geschützt werden. Dieser Schutz besteht auch dann, wenn der Zugriff von einem kompromittierten Rechner aus erfolgt, auf dem etwa ein Keylogger installiert ist. Technisches Fundament dafür ist ein hochsicherer Tunnel, der abseits des eigentlichen Betriebssystems realisiert wird, z.B. mittels einer RDP-, also Remote-Desktop-Protocol-, oder ICA-, also Independent-Computing-Architecture-Verbindung.

Bildquelle: Bromium

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok