News 18.06.2018
Birgt die Übertragung von sensiblen Unternehmensdaten in die Cloud durch Antivirensoftware ein Sicherheitsrisiko?
Wie kann das, von solcher Sicherheitssoftware ausgehende Risiko für die Sicherheit von Systemen, insbesondere bei kritischer Infrastruktur und vertraulicher Unternehmensdaten gesenkt werden?
Dieser Frage ist die Corporate Trust, in Zusammenarbeit mit der Wirtschaftswoche, dem renommierten deutschen Wirtschaftsmagazin, nachgegangen und hat hierzu fünf Kernforderungen definiert.
Für großes öffentliches Aufsehen hat Ende vergangenes Jahr das Verbot von Kaspersky Antiviren Software in US-Behörden gesorgt. War es doch die Firma Kaspersky, die weltweit eines der erfolgreichsten Sicherheitsprogramme auf den Markt gebracht hat, um Schadsoftware zu entdecken, die nicht entdeckt werden will. Hintergrund des Verbots: Ein NSA-Mitarbeiter hatte, verbotenerweise, streng geheime NSA-(Spionage-)Software und Dokumente auf seinen Privatcomputer geladen. Die auf diesem Computer installierte Kaspersky Sicherheitssoftware identifizierte Teile der NSA-Daten als auffällig und übertrug diese in die Kaspersky Cloud zur näheren Analyse. Der US-Vorwurf: Von hier sollen NSA-Daten in die Hände des russischen Geheimdienstes gelangt sein.
Die Übertragung von Unternehmensdaten in die Cloud – bei Kaspersky ein Einzelfall?
Nein, die meisten Hersteller bedienen sich inzwischen dieser Funktion.
Sicherheitssoftware hat seit jeher sowohl umfassenden Zugang zu Dateien, als auch umfassende Rechte auf dem System, auf dem es ausgeführt wird. Kaum beachtet von vielen Unternehmen hat sich der klassische Virenschutz in den vergangenen Jahren zu einem Rund-um-Analysewerkzeug entwickelt. Die Jagd nach Schadsoftware mittels Signaturen ist seit Jahren bei den erfolgreichen Endpoint-Protection Produkten nur mehr Nebensache. Im Mittelpunkt stehen inzwischen Heuristik- und Verhaltens-basierte Analysen, zumeist verbunden mit Cloud-Funktionen. Wurden bei klassischer Virenschutzsoftware hauptsächlich Daten in die verwaltete IT-Infrastruktur in Form von Aktualisierungen transportiert, werden inzwischen viele Daten aus dem Netzwerk in die Cloud zu Analysezwecken übertragen.
Wie umfassend diese Übertragung von Daten sein kann, zeigt ein Vorfall eines Endpoint Detection and Response (EDR) Sicherheitsproduktes. Aufgrund einer Sicherheitslücke auf der dazugehörigen Cloud-Infrastruktur konnten große Mengen an Daten potentiell von jedermann abgerufen werden. Dazu gehörten neben sensiblen Unternehmensdaten auch Zugangsdaten zu IT-Systemen.
Betrachtet man diese Vorkommnisse in Ihrer Gesamtheit, zeigt sich eine fundamentale Schwäche derzeitiger Sicherheitsprodukte in diesem Bereich: Fehlende Transparenz!
Somit müssen sich die Sicherheitsverantwortlichen in den Unternehmen die paradox klingende Frage stellen: Wie kann das von Sicherheitssoftware ausgehende Risiko für die Sicherheit von Systemen, insbesondere bei kritischer Infrastruktur und vertraulicher Unternehmensdaten gesenkt werden?
Dieser Frage ist die Corporate Trust, in Zusammenarbeit mit der Wirtschaftswoche, dem renommierten deutschen Wirtschaftsmagazin, nachgegangen und hat hierzu folgende fünf Kernforderungen definiert:
- Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“
Unternehmen müssen jederzeit in der Lage sein, einfach überprüfen zu können, welche Daten das Unternehmen verlassen haben und welche sensiblen Funktionen (z.B. Anfertigen eines Arbeitsspeicherauszuges eines laufenden Prozesses) aus der Ferne ausgelöst wurden und werden können.
- Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen
Unternehmen müssen ausreichend und einfach granularen Einfluss darauf nehmen können, welche ihrer Daten übermittelt und wie analysiert werden; und welche nicht. Sensible Funktionen müssen granular steuerbar sein (z.B. Ausführung bestimmter Funktionen erst nach Freigabe durch einen internen Mitarbeiter).
- Sicherheit der Daten in der Cloud und während der Übertragung
Unternehmen brauchen Transparenz und Nachweise darüber, dass die Sicherheit Ihrer Daten und Systeme, gemäß gängiger Standards, während der Übertragung und in der Cloud gewährleistet ist.
- Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud
Unternehmen sollten die Möglichkeit haben, ihre Daten zusätzlich schützen zu lassen. Darüber hinaus müssen sie jederzeit in der Lage sein, ihre möglicherweise sensiblen Daten vollständig löschen zu lassen.
- Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein.
Corporate Trust hat mittels öffentlich verfügbarer Informationen sechs Sicherheitsprodukte in Hinblick auf die Kernforderungen bewertet. Grundlage für die Recherche war die detaillierte Checkliste „Transparenzoffensive Cloud-based Endpoint Protection“, welche Sie am Ende des Artikels finden. Diese ist auch eine Hilfestellung für Unternehmen, die tiefer in die Materie und in die Diskussion mit ihrem Hersteller von Sicherheitsprodukten eintauchen wollen.
Die Recherche zeigte bei allen sechs Sicherheitslösungen große Schwächen bezüglich der Transparenz übertragener Daten und Zugriffe, dem „Schaufenster“. Dies gilt auch für Steuerungsmöglichkeiten bei bereits in die Cloud übertragener Daten. Bei der Kernanforderung „Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen“ bieten alle Lösungen zumindest einige Konfigurationsmöglichkeiten. Uneinheitlich ist das Bild bei den Kernforderungen 3 und 5. Jeweils bei vier von sechs Produkten ergab die Recherche keine aussagekräftige Information.
Insgesamt ist die Umsetzung der Kernanforderungen bei allen Produkten in weiten Teilen als unbefriedigend bzw. nicht existent anzusehen.
Eine zusammenfassende Darstellung der Ergebnisse finden Sie in der Tabelle „Zusammenfassung des Vergleichs der Kernanforderungen“.
Fazit:
Hersteller von Sicherheitslösungen sind gezwungen, im Wettlauf mit der Zeit, neue Wege der Analyse zu gehen, um Unternehmen rechtzeitig vor Angriffen auf die IT zu schützen. Dabei bedienen sie sich der Daten ihrer Kunden, ohne die notwendige Transparenz und Steuerungsmöglichkeiten.
Bei allem Verständnis für die technischen Herausforderungen, denen sich die Hersteller von Sicherheitslösungen gegenübersehen, dürfen sie nicht die Bedürfnisse und das Vertrauen ihrer Kunden aus den Augen verlieren.
Die Hersteller sind aufgefordert „Schaufenster“ in die Produkte zu integrieren, um mehr Transparenz, bezüglich der übertragenen Analysedaten und erfolgten Fernzugriffen zu erreichen. Ferner muss die Sicherheit der Daten belegbar sein.
Unternehmen gibt die Corporate Trust den Rat, bei Ihren Partnern für Sicherheitslösungen zumindest auf die Umsetzung der fünf Kernanforderungen zu drängen, denn die Verantwortung der Unternehmensdaten bleibt immer beim Dateneigentümer.
Unsere Checkliste „Transparenzoffensive Cloud-based Endpoint Protection“ hilft Ihnen, eigenständig das Thema tiefer zu beleuchten.
[/fusion_text][fusion_text]
Mehr lesen zur Zusammenfassung des Vergleichs der Kernanforderungen …