agsandrew - Fotolia

Das Risiko des ausgehenden Datenverkehrs reduzieren

Der ausgehende Datenverkehr wird nur in wenigen Netzen ausreichend kontrolliert. Dabei können sich in ihm Hacker, Malware und DDoS-Angriffe verbergen.

Die zunehmenden DDoS-Attacken (Distributed Denial of Service) durch manipulierte Router und Geräte aus dem Internet der Dinge haben klargemacht, dass nicht nur der eingehende, sondern auch der ausgehende Datenverkehr vermehrt überwacht werden sollte. IT- und Security-Verantwortliche müssen heute nicht mehr nur dafür sorgen, dass keine Daten das Unternehmen unkontrolliert verlassen. Sie müssen auch nicht autorisierte Uploads und Internetnutzung, die nicht den Firmenrichtlinien entspricht, verhindern. Zu einer Gefahr entwickeln sich außerdem bisher als meist unverdächtig angesehene drahtlose Hotspots, Multifunktionsdrucker und andere Geräte.

In den meisten Netzwerken gibt es so viele Aktivitäten, dass die IT-Abteilungen gar nicht wissen, was direkt vor ihren Augen passiert. Ein Beweis dafür sind die zahllosen Vorfälle und Datendiebstähle, die in der Vergangenheit schon bekannt geworden sind. Nach Erkenntnissen von Skyhigh Networks werden in einem durchschnittlichen Unternehmensnetz mehr als 1400 Cloud-Dienste genutzt. Dabei handelt es sich nur um die nicht gefährlichen Services. Was aber nicht heißt, dass sie offiziell akzeptiert sind und supported werden.

In diesen Datenverbindungen können sich die Aktivitäten von Malware und Hackern verbergen, die vor allem von ungepatchten und schlecht konfigurierten Systemen ausgehen. Die Entwicklung betrifft jeden. Oder, um es in anderen Worten zu formulieren: Oft weiß man nicht mal, was man nicht weiß.

Aber nicht nur das. Skyhigh Networks hat herausgefunden, dass 32 Prozent der befragten IT-Profis Security-Alarme ignorieren, weil zu viele False Positives auftreten. Wie kann die Geschäftsführung eines Unternehmens in dieser Situation noch wissen, wie es um die IT-Sicherheit steht, wenn ihre Mitarbeiter selbst keine Ahnung haben, was geschieht, wer in einem Netz aktiv ist und welche Risiken bestehen?

Verdächtige Aktivitäten aufspüren

Bevor IT-Security-Verantwortliche nun damit beginnen, sich intensiver mit dem ausgehenden Datenverkehr zu beschäftigen, müssen sie sich mögliche Auswirkungen vergegenwärtigen. Es können natürlich zusätzliche Kosten entstehen oder auch zusätzliche Mitarbeiter erforderlich sein.

Ich selbst führe immer wieder interne Sicherheitstests mit OmniPeek durch, bei denen ich nach ungewöhnlichem Traffic an den Internet-Zugangspunkten suche. Oft finde ich dabei Kommunikation, die dort nicht sein sollte. Dabei handelt es sich immer wieder um Arbeitsplatzrechner, die Daten mit ungewöhnlichen Ländern austauschen. Ein solcher Vorgang deutet auf das Eindringen von Hackern ins Netzwerk und auf Infektionen mit Malware hin. Und dabei handelt es sich nur um einen relativ einfachen Test, der aber schnell Hinweise auf verdächtige Aktivitäten liefert. Für umfangreichere Netzwerk-Security-Tests benötigen Unternehmen andere Werkzeuge und Prozesse, die einen fortwährenden Einblick geben. Dadurch lassen sich die Risiken auch auf lange Sicht reduzieren.

Die folgenden Beispiele weisen auf mögliche Sicherheitsprobleme in Ihrem ausgehenden Datenverkehr hin:

  • SSL/TLS oder andere verschlüsselte Verbindungen, insbesondere wenn unbekannte Systeme daran beteiligt sind
  • Netzwerkfehler und Protokollanomalien wie verlorene Netzwerkpakete, Authentifizierungsfehler oder auch eine Zunahme des Traffics bei den für das Domain Name System (DNS) und das Network Time Protocol (NTP) verwendeten Protokollen
  • Das Antreffen von ungewöhnlichen oder im Unternehmen nicht unterstützten Protokollen, insbesondere wenn sie in Bereichen des Netzwerks auftreten, die eigentlich nur für Drucker, Gäste-WLANs und andere weniger auffällige Systeme gedacht sind
  • Bedrohungen auf Anwendungsbasis, wie Advanced Persistent Threats (APTs) oder Zero-Day-Traffic, die sich etwa an DNS-Anfragen zu unbekannten Servern, Kommunikation mit entfernten Hosts und einem hohen Datenverkehr zwischen mehreren kleineren Hosts bemerken lassen.

Nach meinen Erfahrungen bei der Analyse von Firewall-Regeln, blockieren nur wenige Security- und Netzwerk-Teams den ausgehenden Datenverkehr an der Firewall. Oft wird dies als zu aufwändig eingeschätzt. Darüber hinaus führe dies nur zu Beschwerden und Telefonanrufen der Anwender, weil manche Dienste nicht funktionieren oder nicht genutzt werden können. Es gibt neben Firewall-Regeln aber noch andere Möglichkeiten, den ausgehenden Datenverkehr zu kontrollieren. Dazu zählen zum Beispiel Access-Control-Listen, Proxies und erweiterte Router-Konfigurationen. Aber auch sie sind kein Allheilmittel und können ebenso wie Firewall-Regeln für Ärger im Unternehmen sorgen.

Tools und Technologien für das Traffic-Monitoring

Gezielt entwickelte Technologien wie Web-Proxies, Next-Generation Firewalls (NGFWs) und Cloud Access Security Broker (CASBs) können den ausgehenden Traffic auf Anomalien überwachen. Darüber hinaus können Tools zur Netzwerkanalyse und für forensische Untersuchungen eingesetzt werden.

In vielen Fällen ist es jedoch am besten, diese Aufgaben an einen spezialisierten Anbieter von Managed Security Services zu übertragen. Dadurch lassen sich zahlreiche Risiken reduzieren. Ich halte es für wenig sinnvoll, wenn IT- und Security-Profis neue Aufgaben und Verantwortungen übernehmen, weil dies zu Lasten anderen Pflichten geht.

Für welchen Weg auch immer Sie sich entscheiden, Sie sollten das durch den ausgehenden Traffic entstandene Risiko nicht aus den Augen verlieren. Diese Daten müssen nicht nur einfach überwacht werden. Es ist auch nötig, die darin enthaltenen Gefahren zu verstehen und gegebenenfalls angemessene Gegenmaßnahmen zu ergreifen. Ausgehender Datenverkehr ist einer der Bereiche, den Unternehmen schon vor Jahren in den Griff bekommen wollten, als das Web noch jung war. Aber bis heute bestehen viele Risiken und Gefahren weiter und sind noch nicht unter Kontrolle. Bis das endlich gelingt, können Kriminelle diesen schwachen Punkt in vielen Netzwerken weiter ausnutzen und für Problem sorgen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Report: Verschlüsselter SSL-Traffic ist eine Gefahr für Unternehmen

Wie lassen sich verborgene SSL-Angriffe erkennen und abwehren?

Unverzichtbare Enterprise-Funktionen von Netzwerk-Monitoring-Systemen

Cloud-Sicherheit: Cloud Access Security Broker ergänzen SIEM

Artikel wurde zuletzt im Februar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close