Im Nachgang von WannaCry müssen Unternehmen ihr Netzwerkkonzept überdenken

Ransomware

Von Jay Chaudhry, CEO und Gründer von Zscaler

Der jüngste Ransomware-Angriff hat mit mehr als 200.000 infizierten PCs weltweit hohe Wellen geschlagen. Und die Folgen dieser Malware werden noch lange nachhallen, nicht nur durch Varianten, die noch im Nachgang der Erstinfektion aktiv sind. Denn wie sich deutlich gezeigt hat, lassen sich immer Schutzlücken finden, obwohl Unternehmen längst die nötigen Sicherheitsmaßnahmen zur Hand gehabt hätten. Im Zuge der Analysen nach der WannaCry-Attacke ist die Frage berechtigt, ob nicht ein generelles Umdenken hinsichtlich der Netzwerksicherheit angebracht ist. Einige Überlegungen zu einem neuen Netzwerkkonzept werden hier vorgestellt.

Schon heute investieren Unternehmen Millionenbeträge in ihre Sicherheitsinfrastruktur. Wie konnte also ein solch flächendeckender Angriff passieren? Um diese Frage zu beantworten, müssen wir weit vor die Jahrtausendwende zurückblicken. Damals prägte Sun Microsystems die Phrase ”The network is the computer” und brachte damit die Ära des Local Area Netzwerks treffend auf den Punkt. Damals war es im Computerbereich State o the Art, Ressourcen wie beispielsweise Daten oder Druckserver über ein LAN zur Verfügung zu stellen. Protokolle, wie auch der Microsoft Server Message Block (SMB), wurden vorrangig für LAN-Umgebungen entwickelt. Es herrschte die Annahme vor, dass das interne Netzwerk sicher und von der Außenwelt geschützt war.

Und damit sind wir in der Gegenwart beim WannaCry-Angriff angekommen. Dessen rasante Verbreitung erfolgte über das SMB-Protokoll. War der Erpresser-Trojaner einmal in ein Unternehmensnetz gelangt, sprang er von einem ungepatchten Windows System zum nächsten über. Heute bewegen sich Unternehmen allerdings vielfach in einer Welt jenseits des LANs, wodurch sich weitere Malware-Angriffsflächen auftun.

Das Internet ist das neue Unternehmensnetz…

Die Ausbreitung der Wolke verändert das Unternehmensnetzwerk. Anwendungen werden in der Cloud vorgehalten, Daten werden in der Cloud gespeichert und die Anwender greifen von überall aus auf diese Ressourcen zu. Für den Anwender ist das interne Netz kaum mehr zu unterscheiden vom externen Netzwerk in der Wolke, auch vorangetrieben durch die zunehmende Mobilität in der Arbeitswelt. Für den User ist es entscheidend, dass er unabhängig von seinem Standort in der Firmenzentrale, in einem Regionalbüro, vom Home Office oder auf Geschäftsreise schnell und sicher auf seine Daten und Anwendungen zugreifen kann.

Für die Sicherheit wird aufgrund der geänderten Arbeitsweisen ein Umdenken erforderlich: Da Anwender und Daten sich nicht mehr im internen Netzwerk bewegen, wird deutlich, dass auch eine Sicherheitsinfrastruktur, die ursprünglich zum Schutz des internen Netzwerks entwickelt wurde und um dessen Perimeter wirkt, auf den Prüfstand gestellt werden muss.

Eine logische Schlussfolgerung kann sein, dass Unternehmen das Internet als das neue Unternehmensnetzwerk betrachten. Wird der Netzwerkgedanke in diese Richtung fortentwickelt, muss die Internet-Sicherheit mit neuen Maßnahmen hinsichtlich der Zugangskontrollen angepasst werden. Folgende Überlegungen und Best Practises gehen aufbauend auf den Lernfaktoren auch durch die WannaCry-Angriffswelle einher:

  1. Die User Authentifizierung und Zugriffskontrolle muss vor dem Zugang auf die entsprechenden Systeme erfolgen. Da die Anwender mobil sind, muss der Zugriff ausgehend vom Anwender eingeleitet werden. Es gilt also, die Frage zu stellen, wer der Anwender ist und nicht länger, in welchem Netzwerk er sich befindet.
  2. Zum Schutz des Internets als neues Unternehmensnetzwerk sind moderne Sicherheitsmaßnahmen erforderlich. Zum Schutz vor Advanced Threats sind Techniken wie Verhaltensanalysen in der Sandbox sowie https-Scanning für den Internet-Datenverkehr erforderlich.
  3. Firewalls um das Rechenzentrum müssen Schutz vor eingehenden Verbindungen auf die Unternehmensressourcen bieten und dies auf Applikationsbasis (Next Generation Firewalling)
  4. Für den einzelnen Anwender bedeutet das, dass Security Policies aufbauend auf seinen persönlichen Zugriffsberechtigungen auf Anwendungen und Daten festgelegt werden müssen. Diese Policies folgen dem Anwender überall hin und werden unabhängig davon angewendet, wo er sich befindet und von wo aus er auf das Internet zugreift. Diese Policies werden zentral vorgehalten.

Mit diesen Sicherheitsüberlegungen ist es möglich, das Internet zum neuen Unternehmensnetzwerk zu machen.