Sicherheit von Endgeräten im Zeitalter des Homeoffice

In den letzten Monaten hat sich die Telearbeit weitgehend etabliert, und im Bereich der Cybersicherheit wirft eine solche Veränderung neue Fragen auf. Mit einer offeneren IT-Umgebung, Mitarbeitenden im Homeoffice und einer größeren Heterogenität der genutzten Endgeräte, darunter Arbeitsplatzrechner, Mobiltelefone und Tablets, wie kann man sich da vor Bedrohungen schützen?

In Luxemburg arbeiten heute Tausende Beschäftigte aus der Ferne. Zur Bewältigung des Tagesgeschäfts nutzen sie entweder vom Arbeitgeber zur Verfügung gestellte oder aber eigene Geräte. Durch diese – zwar aus der Krise hervorgegangene, aber vermutlich anhaltende – Entwicklung entstehen im Bereich der Cybersicherheit neue Herausforderungen. Schnell stellte sich den Betroffenen angesichts der sich entwickelnden Bedrohung die Frage, wie man sein IT-Umfeld, d. h. die digitalen Unternehmensressourcen, schützen kann. Dies gilt für Daten ebenso wie für Server und Nutzerterminals.

Antivirus-Software auf dem Arbeitsplatzrechner reicht nicht mehr aus

Wenn sich die Rechner nicht vor Ort befinden, wie sollen große Unternehmen Angriffen durch Ransomware vorbeugen, sie erkennen und abwehren, ihnen entgegenwirken und sie analysieren, um eine schnelle Ausbreitung des Schadens und eine Lähmung des Betriebs abzuwenden?

„Antivirus-Software reicht dafür nicht aus. Derartige Schutzprogramme basieren auf bekannten Signaturen und funktionieren bei alten Viren. In vielen Fällen genügt dies jedoch nicht. Es muss eine EDR-Lösung hinzugenommen werden“, erklärt Alban Rocheteau, Leiter der zentralen Geschäftsstelle für Cybersicherheit bei Covéa, Frankreichs führender Versicherungsgruppe, die unter den Marken GMF, MMA und MAAF bekannt ist. „Gegenmaßnahmen basieren dann auf Verhaltensanalysen und bieten einen effizienteren Schutz für jedes einzelne Endgerät.“ 

Am Endpunkt erkennen und reagieren

EDR (Endpoint Detection and Response) ist in erster Linie eine Lösung zur Überwachung der Aktivitäten von Endgeräten. Dazu zählen Arbeitsplatzrechner ebenso wie Server. Mithilfe von EDR-Analysen lassen sich Anomalien schnell erkennen, sodass verdächtige Aktivitäten automatisch gestoppt oder solange ausgesetzt werden, bis eine genauere Analyse durchgeführt ist.

Zum Schutz ihres Vermögens hat sich die Covéa-Versicherungsgruppe für die EDR-Lösung des französischen Anbieters TEHTRIS entschieden, die dank ihrer fortgeschrittenen Automatisierung ein hohes Maß an Schutz verspricht. Die Gruppe beschäftigt 23.000 Mitarbeitende im Innen- und 6.000 im Außendienst, die alle vom Unternehmen mit Geräten ausgestattet werden. Insgesamt sorgt Covéa für den Schutz und die Verwaltung von 43.000 Endgeräten, davon 33.000 Arbeitsplatzrechner und 10.000 Server. „Bei Angriffen durch Ransomware, die auf das gesamte Vermögen des Unternehmens abzielen, muss schnell gehandelt werden. Im Schnitt gelingt es dieser Art von Angreifern, pro Minute mehr als 500 Arbeitsplatzrechner zu lähmen“, erklärt Nicolas Cote, Head of Solutions bei TEHTRIS. „Wenn ein Angreifer mehrere Geräte des Unternehmens erreicht, kann er sich in kürzester Zeit im gesamten Umfeld ausbreiten. Es kann passieren, dass er die IT-Systeme mittlerer oder großer Unternehmen innerhalb weniger Minuten vollständig lahmlegt. Um sich vor solchen Bedrohungen zu schützen, sie einzudämmen und zu stoppen reicht es nicht mehr aus, sich allein auf Humanressourcen zu verlassen. Die Automatisierung muss den Menschen ergänzen.“ 

Ohne Automatisierung geht es nicht

Zur Bewertung des Problems erfasste das Security Information and Event Management (SIEM), das ebenfalls von TEHTRIS betreut wird, bei Covéa zwischen dem 1. Juli und dem 31. August 2021 rund 64 Mrd. Einzelereignisse. Darunter waren 8 Mrd. sicherheitsrelevante Elemente. Es wurden 117 Mio. Regeln ausgelöst, von denen 60 Mio. als wichtig einzustufen waren. Aufgrund dieser Ereignisse und nach einer Korrelationsanalyse führten die Auswertungen des SIEM zu einer Eskalation von 38 Ereignissen in das Security Operation Center von Covéa. Dies können Ereignisse unterschiedlicher Natur sein, etwa das Erkennen einer Malware auf einem Arbeitsplatzrechner, die Abwehr einer Ransomware, eine zu große Zahl von Verbindungsversuchen an einem Server... „Bei dieser Zahl von Ereignissen wird klar, dass es ohne Automatisierung keine Gewährleistung dafür gibt, dass Angriffe nicht übersehen werden und auf das gesamte System übergreifen“, betont Alban Rocheteau.

Bedrohungen am Endgerät abwehren

Die Automatisierung betrifft die Erkennung von Ereignissen und deren Eskalation in das SIEM und ermöglicht eine Korrelationsanalyse mithilfe von künstlicher Intelligenz, Machine Learning und Deep Learning. „Ein hoher Automatisierungsgrad ermöglicht eine analytische, transversale Betrachtung und erhöht die Entscheidungsfähigkeit. So wird es leichter zu erkennen, zu schützen und zu reagieren. In vielen Fällen können Bedrohungen dank der eingesetzten Schutzmechanismen eingefroren werden, um Zeit für tiefergehende Analysen zu gewinnen“, erklärt Nicolas Cote.

Diese Instrumente tragen in hohem Maße dazu bei, die Kompetenzen von Unternehmen im Bereich der IT-Sicherheit zu verbessern. „Moderne EDR-Lösungen können Bedrohungen erkennen und abwehren, und dank des Betriebs auf dem Arbeitsplatzrechner, Mobiltelefon oder Server bieten sie ein Höchstmaß an Granularität. Angriffe lassen sich auf diese Weise lokal abwehren oder isolieren, sodass eine Ausbreitung verhindert wird“, so Nicolas Cote.