alphaspirit - Fotolia

Eindringlinge im Netzwerk – so erkennen Sie die Warnsignale

Um Eindringlinge schnell und zuverlässig erkennen zu können, muss man genau wissen, was im Netzwerk passiert, und was davon normaler Datenverkehr ist.

„Sind wir gehackt worden?“. Das ist die große Frage, auf die viele Unternehmen nicht wirklich eine passende Antwort haben. Vor allem nicht-technische Führungskräfte glauben, dass Datendiebstahl oder Virenbefall auffällige Ereignisse sind, über die jeder sofort Bescheid weiß.

Bei manchen Sicherheitsproblemen ist das auch so, etwa wenn Angreifer über Denial-of-Service-Attacken ganze Systeme lahm legen, Unternehmensdaten an die Öffentlichkeit bringen oder mit einem Erpressungstrojaner verschlüsseln.

Aber viele andere Einbrüche in das Netzwerk – wahrscheinlich sogar die Mehrheit – sind sehr viel schwerer zu entdecken. Bleibt das Ereignis unerkannt, können Cyber-Kriminelle und Hacker über Monate oder Jahre im Netzwerk schalten und walten, wie sie wollen.    

Warum Eindringlinge im Netzwerk so schwer zu entdecken sind

Bei der Suche nach Eindringlingen sind die Unternehmen im Nachteil. Die Angreifer haben alle Zeit der Welt und viele Sicherheitslücken werden von Dritten öffentlich gemacht, bevor die Betroffenen selbst sie bemerkt haben. Um Netzwerkeinbrüche überhaupt entdecken zu können, muss man wissen, wie der „normale“ Zustand des Netzwerks aussieht.

Merkwürdigerweise denken Unternehmen oft erst nach nach einem erfolgreichen Angriff über diese Tatsache nach. In einem durchschnittlichen Netzwerk herrschen so viel Verkehr und Rauschen, dass es schwierig sein kann, Unterschiede zwischen Netzwerkereignissen wie legitimen DNS-Lookups und Infektionen mit fortschrittlicher Malware, große Mengen von Streaming-Daten und Denial-of-Service-Attacken oder Penetrationstests und Privilegienmissbrauch zu unterscheiden. Vor diesem Hintergrund ist es nicht einfach, herauszufinden, was für ein Unternehmensnetzwerk normal ist.

Darüber hinaus sind die IT-Mitarbeiter von ihrem spezifischen Job-Profil und ihren Routinen geprägt, so dass jeder eine andere Vorstellung davon hat, was normal ist und was nicht. Natürlich kommt es auch auf die grundsätzliche Einstellung zur Netzwerksicherheit an. Ich hatte Kunden, die nie Security Assessments durchgeführt oder ihr Netzwerk aktiv überwacht haben und die der festen Übersetzung waren, dass alles in Ordnung sei, weil ja „nichts passiert ist“. Sie hatten keine Ahnung, auf was sie sich eingelassen hatten. Ihre Wahrnehmung der Realität unterschied sich deutlich von der Wirklichkeit. Sie wussten nicht, was sie nicht wussten, wie das Sprichwort sagt.

Die Warnzeichen erkennen

Leider gibt es keine eine eindeutigen Warnzeichen für Netzwerkeinbrüche. Um einen Eindringling zu erkennen, müssen viele kleine Informationsbruchstücke zusammengetragen werden; das ist das Problem für Unternehmen und Sicherheitsexperten. Es gibt keine festen Definitionen für Richtig und Falsch in der sich ständig verändernden Welt eines Unternehmensnetzwerks.

Netzwerk-Administratoren und Sicherheits-Manager müssen mit dem Normalzustand im Netzwerk vertraut sein. Sonst haben sie keine Chance, „guten“ von „schlechtem“ Netzwerkverkehr zu unterscheiden. Technische Sicherheitsmaßnahmen können dabei helfen – aber auch schaden. Die Log-Dateien und Alarme traditioneller Firewalls und bis zu einem gewissen Grad auch die von Intrusion-Detection- und Intrusion-Prevention-Systemen können mehr Probleme schaffen, als sie lösen.

Ich sage nicht, dass diese Technologien nicht notwendig sind, um die Netzwerkumgebung abzusichern. Bedenkt man jedoch, wie komplex die Netzwerke heute sind, wie wenig Zeit zum Sammeln und Analysieren der Informationen zur Verfügung steht und wie häufig es an der Vorstellung fehlt, wonach man überhaupt suchen muss, schaffen traditionelle Technologien ein falsches Gefühl von Sicherheit in den Unternehmen, das am Ende oft mehr schadet, als dass es hilft.

Neuere Technologien wie Mobile Device Management, Data Loss Prevention (DLP), SIEM-Systeme (Security Information and Event Management), Cloud-Access Security Broker für eine bessere Sichtbarkeit auf Cloud-Zugriffe oder ähnliche Analysetechnologien helfen, ein vollständiges Bild davon zu bekommen, was geschieht und was für die gegebenen Netzwerkinfrastruktur normal ist oder nicht. Selbst traditionelle Netzwerkanalyse-Tools wie OmniPeek und Wireshark können die Netzwerksicherheit  verbessern, weil sie Unternehmen eine Maß für die normale Netzwerkaktivität zur Verfügung stellen. Diese Klarheit ist nicht nur notwendig, um selbst die kleinste Anomalie entdecken zu können, sondern auch, um ein umfassendes Bild davon zu bekommen, was wirklich im Netzwerk vor sich geht.

Wenn eine Sicherheitslücke erst einmal ausgenutzt wurde, ist es zu spät. Die ausgespähten oder gestohlenen Daten sind für immer verloren und lassen sich nicht wieder zurückholen. Die Unternehmen mögen nicht genau wissen, wie und wo sie im Netzwerk nach Einbrüchen suchen sollen, aber eines ist sicher: Wenn sie keine gute Vorstellung davon haben, was der Normalzustand in ihrem Netzwerk ist und keine angemessenen Technologien zur Erkennung und Reaktion einsetzen, haben sie keine Chance gegen aktuelle Bedrohungen. Die Unternehmen müssen ihre Systeme, Netzwerke und Risiken nicht perfekt kennen, aber so gut wie möglich, bevor sie effektiv reagieren, und letztendlich Netzwerkeinbrüche verhindern können.

Über den Autor:
Kevin Beaver arbeitet als Berater, Gutachter und Referent zum Thema Informationssicherheit für Principle Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments und Risiko-Management-Analysen. Beaver ist zudem Autor und Co-Autor zahlreicher Bücher, darunter „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“. Sie können Ihn über seine Webseite erreichen und auf Twitter unter @kevinbeaver folgen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close