zurück zum Artikel

RSA-Konferenz: „Wir leben im finsteren Mittelalter der IT-Sicherheit“

RSA-Konferenz: „Wir leben im finsteren Mittelalter der IT-Sicherheit“

Amit Yoran während seines Vortrags.

(Bild: RSA)

Bei der Eröffnungsrede zur diesjährigen RSA Conference zeichnete der Chef des Sicherheitsunternehmens ein dunkles Bild: Aktuelle Schutzmaßnahmen in Unternehmen sind hoffnungslos überfordert.

Amit Yoran, seit kurzem Chef des IT-Sicherheitsanbieters RSA, sagte während seiner Eröffnungsrede zur RSA Conference 2015 [1], dass „wir im finsteren Mittelalter der IT-Sicherheit leben“. Er bezog sich damit auf die zahlreichen spektakulären Angriffe der letzten Jahre und die offensichtliche Unfähigkeit von Unternehmen, ihre Daten trotz teurer Sicherheitskomponenten zu schützen. Dies liege laut Yoran zum einen daran, dass die falschen Schutzmechanismen verwendet würden und zum anderen am fehlerhaften Verhalten von IT-Spezialisten in Unternehmen.

Mit letzterem meinte er das oftmals nach Entdecken von infizierten Maschinen praktizierte Vorgehen, die Rechner sofort zu säubern und neu aufzusetzen – anstatt zu versuchen, mehr über die Attacke zu erfahren. Es sei wichtig, Informationen über weitere infizierte Maschinen zu sammeln und vor allem in Erfahrung zu bringen, welche Daten abflossen und wohin. Wenn die Einzelheiten der Attacke nicht verstanden würden, so Yoran, sei es unmöglich, den Angreifer nachhaltig aus dem System zu werfen.

In Bezug auf die verwendeten Sicherheitskomponenten sagte Yoran, dass sich viele Sicherheitsspezialisten auf die nutzlose Sammlung von Telemetrie verlassen, die von quasi blinden Systemen wie IDS, Antiviren-Plattformen und Firewalls stammt. Das von vielen Anbietern, darunter auch RSA mit enVision, propagierte SIEM (Security Information and Event Management) nannte Yoran abfällig ein „zunehmend nutzloses Fass ohne Boden“.

Er verwies in diesem Zusammenhang auf den Data Breach Report 2014 von Verizon: Aus diesem ginge hervor, dass weniger als ein Prozent aller erfolgreichen Angriffe auf Unternehmen mittels einer SIEM-Lösung entdeckt wurden. Seiner Meinung nach versuchten sich IT-Abteilungen mittels einer Karte im Gewirr der modernen Bedrohungen zu orientieren, die eine längst veränderte Welt zeige. Betroffene und Hersteller täten aber nach wie vor so, als wäre die Karte korrekt.

Yoran gab daher Ratschläge, die Unternehmen helfen sollen, sich wirksam zu schützen: Zuerst solle man sich vom Gedanken verabschieden, dass selbst moderne Schutzmechanismen hinreichend sind. Zum einen würden Angreifer immer einen Weg finden, den Schutz auszuhebeln. Zum anderen komme oftmals nur Social Engineering zum Einsatz und keine Malware.

Darüber hinaus müssen IT-Abteilungen tiefe Einblicke in ihre komplette Infrastruktur haben: Vom Treiben auf den Endgeräten bis hin zum Full Packet Capture auf Netzwerkebene. Außerdem rät Yoran dazu, möglichst viele Informationen über Bedrohungen (Threat Intelligence) in maschinenlesbarer Form zu nutzen, um Abwehrmechanismen automatisiert zu betreiben und menschlichen Spurensuchern möglichst detaillierte Hinweise auf Anomalien im Netz zu liefern. (Uli Ries) / (fab [2])


URL dieses Artikels:
http://www.heise.de/-2617232

Links in diesem Artikel:
[1] http://www.rsaconference.com/
[2] mailto:fab@heise.de