Als zentrale Schwachstelle im Unternehmensnetz kristallisieren sich die Mitarbeiter heraus. Vor allem Social-Engineering-Angriffe gefährden die Unternehmenssicherheit dabei zunehmend, meint Sicherheitssoftware-Anbieter Bromium.
Die Einschätzung, dass Mitarbeiter die letzte Verteidigungslinie in Sachen Sicherheit sind, mag zwar ein Klischee sein, wahr ist sie aber trotzdem. Folglich sind Endanwender auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, stellt dabei eine große Gefahr für jedes Sicherheitssystem dar.
Die Sensibilisierung der Mitarbeiter ist eine erste Gegenmaßnahme, reicht aber nicht: auch unterstützende technische Maßnahmen müssen ergriffen werden. Und dabei zeigt sich, dass herkömmliche Sicherheitslösungen wie Intrusion-Prevention-Systeme, Antiviren-Tools und ihre Weiterentwicklungen, die sogenannten Next-Generation-Antiviren-Produkte oder Next-Generation-Firewalls, nicht genügen. Das Problem mit ihnen: Sie fokussieren auf die Detektion von Angriffen, beispielsweise unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Das heißt: Sie sind auf die Erkennung von Schadsoftware angewiesen. Bei bisher unbekannter, neuer Malware stoßen sie an ihre Grenzen, also auch bei Phishing-Mails mit neuem Schadcode.
„Dass herkömmliche Sicherheitslösungen keinen zuverlässigen Schutz bieten können, ist aber noch lange kein Grund für Resignation. Detektion kann nicht der Weisheit letzter Schluss bei der Abwehr von Social-Engineering-Attacken sein“, erklärt Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn. „Man muss nur eine andere Methode wählen, das heißt, nicht krampfhaft versuchen, alle Angriffe aufzuspüren, was ohnehin nicht klappt, sondern einfach alle riskanten Prozesse isolieren und potenzielle Angriffe damit ins Leere laufen lassen. Eine inzwischen bewährte Methode ist dabei die Isolation mittels Virtualisierung.“
Bei der sogenannten Micro-Virtualisierung ist es völlig egal, ob Schadprogramme einen Rechner erreichen oder nicht. Sie kapselt jede einzelne Anwenderaktivität wie das Öffnen eines E-Mail-Anhangs, das Downloaden eines Dokuments oder das Aufrufen einer Webseite in einer eigenen Micro-VM. Eine mögliche Schädigung bleibt immer auf die jeweilige Micro-VM beschränkt, die nach Beendigung einer Aktivität, etwa dem Schließen eines Files, automatisch gelöscht wird. Eine Kompromittierung des Endgerätes und nachfolgend des Unternehmensnetzes über einen dieser Wege ist damit ausgeschlossen – und auch raffinierte Social-Engineering-Angriffe wie Phishing-Mails mit bislang unbekanntem Schadcode verpuffen damit folgenlos.
